Security audit van het schoolnetwerk en de pc infrastructuur

Transcriptie

1 Security audit van het schoolnetwerk en de pc infrastructuur Project aangeboden door Ruben Basyn voor het behalen van de graad van Bachelor in de New Media and Communication Technology Academiejaar Stageplaats : Grenslandscholen Stagementor : Vanhaverbeke Kris Stagebegeleider : Ameel Hans

2 Woord vooraf Informatica is een sector waarin vernieuwingen aan een hoog tempo worden doorgevoerd, die zorgen voor de vereenvoudiging van vele taken. Ik, Ruben Basyn, heb het geluk geboren te zijn in een generatie waar dergelijke technologie bereikbaar is geworden voor het gewone volk. Onze eerste computer herinner ik mij nog goed. Uren van mijn vrije tijd heb ik aan deze computer besteed. Weggegooide tijd, zeiden mijn ouders, maar enkele jaren later koos ik net een opleiding in deze sector aan de Howest. Hoewel ik al langer bezig was met IT als hobby, maakte mijn kennis een grote sprong voorwaarts tijdens mijn studies New Media and Communication Technology. Tijdens mijn opleiding maakte ik kennis met alle aspecten binnen de informatica. Maar toch blijft mijn passie nog steeds de hardware. Vroeger was ik dagelijks bezig met computers herstellen, krachtiger maken of nieuwe toestellen assembleren. Het was een hobby waarbij ik via het internet stelselmatig bijleerde. De keuze voor NMCT was dan ook relatief snel gemaakt toen ik de beslissing genomen had om nog enkele jaren verder te studeren. Als afsluiter van deze opleiding dient elke student een stage te lopen bij een bedrijf of instantie. Hierbij wordt de student projectmatig in een praktijkomgeving losgelaten om de opgedane kennis toe te passen en nieuwe vaardigheden bij te leren. Ook voor de stageplaats biedt een stage voordelen, zo kan men nieuwe inzichten verkrijgen in bepaalde situaties of, in sommige gevallen, zelfs een nieuwe werkkracht bekomen. Ik ben dan ook zeer tevreden met de kansen en mogelijkheden die mijn stageplaats, de Grenslandscholen, mij geboden hebben. Een goede begeleiding kreeg ik door de steun van mijn stagementor ter plaatse, Dhr. Kris Vanhaverbeke, waarvoor dank. Het project dat ik gedurende mijn stage uitvoerde, bestond erin om de beveiliging van de IT infrastructuur te onderzoeken en waar mogelijk aan te passen. Het gewenste resultaat was een rapport waarbij de door mij ontdekte problemen en verbeteringen werden weergegeven. Hierbij bekeek ik stelselmatig het door mijn stagementor opgelegde probleem, de mogelijkheden en de oplossingen. Omdat de beveiliging van een netwerk soms complex kan zijn, ben ik ook mijn stagebegeleider Dhr. Hans Ameel dankbaar voor zijn verhelderende visie en vooral voor zijn boeiende lessen betreffende informaticabeveiliging tijdens het vijfde semester van mijn opleiding. Ook de Howest wens ik te bedanken voor het aanbieden van de opleiding Nmct en voor het voorzien van een leuke studeeromgeving. Alle docenten Nmct ben ik dankbaar voor het delen van hun kennis in alle aspecten van de opleiding. De bedoeling van dit rapport is om mijn ervaringen en oplossingen betreffende IT-beveiliging in een schoolomgeving mee te delen aan iedereen die hiermee in aanraking komt. Daarbij denk ik in eerste plaats aan IT-coördinatoren in het middelbaar en lager onderwijs. Daarnaast kan dit rapport ook inzicht geven aan personen die interesse hebben in de beveiliging van een IT-infrastructuur. Deze bachelorproef werd geschreven in functie van de situatie van de Grenslandscholen. Tijdens het lezen van dit rapport moet men rekening houden met het feit dat er geen algemene kijk wordt gegeven op IT-beveiliging voor een doorsnee school. Zoals reeds vermeld geeft dit verslag de ontdekte problemen weer van één school in een momentopname. Echter kunnen er bepaalde situaties voorkomen waarmee ook andere scholen in aanraking komen. Dit rapport kan een basis vormen voor een potentiële oplossing.

3 Samenvatting Computerbeveiliging is een onderwerp dat steeds actueler en belangrijker wordt. Een correct beeld hebben over de beveiliging van de computerinfrastructuur is dan ook erg belangrijk. Aan de hand van een security audit wordt de actuele situatie betreffende IT-beveiliging in de Grenslandscholen weergegeven. Het steeds belangrijker worden van IT-beveiliging zorgde ervoor dat dit onderwerp ook in de opleiding NMCT is opgenomen. Echter zijn er veel mensen die werkzaam zijn in de informaticawereld die weinig tot niets over beveiliging afweten. Hoewel de systeembeheerder van de Grenslandscholen zich zorgen maakt over die beveiliging, is het moeilijk om zonder extra opleiding zicht te krijgen op dit specifieke aspect. Men stelt zich vragen over wat leerlingen kunnen uitvoeren op het netwerk, het risico op fraude met punten en dergelijke. De systeembeheerder van de Grenslandscholen wou dan ook een goed en globaal beeld krijgen over de IT-beveiliging aan de hand van een audit. De aangehouden werkwijze bestaat er in om via verschillende vragen grondig te onderzoeken hoe men het doel uit de onderzoeksvraag kan bereiken. Hierbij wordt telkens bekeken hoe men het doel kan bereiken, worden methodes getest en tegenmaatregelen voorgesteld. Allereerst wordt in dit rapport de beveiliging van het draadloze netwerk onder de loep genomen. De huidige beveiliging bestaat erin om via WPA(2) wachtwoord toegang te verkrijgen tot het draadloze netwerk. In dit hoofdstuk wordt onderzocht wat de risico s van deze beveiligingsmethode zijn en wat een beter alternatief kan zijn. In een volgend hoofdstuk wordt de veiligheid van de fysieke infrastructuur getest. In welke mate kunnen er kabels worden doorgeknipt of krijgt men fysieke toegang tot de netwerkapparatuur. Via een sitesurvey wordt bekeken waar probleemsituaties zich voordoen. Daarnaast wordt gekeken hoe men van op afstand de netwerkswitches kan saboteren en welke aanvallen men kan uitvoeren op de tweede laag van het OSI-model. Ook aanvallen op de derde laag van het OSI-model worden besproken. Vervolgens bekijken we hoe de personeelsleden en de leerkrachten omgaan met hun wachtwoorden. In dit hoofdstuk worden de resultaten van de afgenomen enquête besproken en worden tips en technieken besproken die helpen bij de keuze van een goed wachtwoord. In het voorlaatste hoofdstuk wordt onderzocht hoe een leerling een computer kan gebruiken voor andere doeleinden. In de huidige situatie is de leerling erg beperkt in zijn mogelijkheden om zaken uit te voeren op de schoolcomputers. Er wordt onderzocht waar de zwakheden zitten en hoe op een eenvoudige manier er volledige toegang tot de machine kan verkregen worden. Ook wordt er onderzocht hoe een leerling kan surfen naar websites die op school worden geblokkeerd en hoe men toegang tot bestanden op de server kan verkrijgen. We kunnen besluiten dat de Grenslandscholen goed beveiligd zijn op niveau van rechten en uitvoermogelijkheden van leerlingen. Leerlingen hebben te weinig rechten om computers te misbruiken of om toegang te krijgen tot niet toegelaten mappen of computers. Er is echter een groot probleem met de fysieke beveiliging van het netwerk. Ook de netwerkapparatuur is te weinig bestand tegen eenvoudige aanvallen wat kan leiden tot verlies van data en het compromitteren van de operationaliteit van het netwerk. Ook al zou de volledige infrastructuur optimaal beveiligd zijn. Toch staat of valt een groot deel van de beveiliging met de keuze van een goed wachtwoord en met de omgang ervan door de eindgebruiker.

4 Verklarende woordenlijst Woorden Acroniem Captive Portal Collision domain Hashes Hotspot OSI-model Plain text Regenboog tabellen Shoulder surfing Social Engineering Een letterwoord waarbij elke letter voor een apart woord staat. Technologie die ervoor zorgt dat gebruikers doorverwezen worden naar een webpagina voor authenticatie, vooraleer men toegang krijgt tot het internet. Gedeelte van het netwerk waarbinnen datapakketten met elkaar botsen waardoor de data ongeldig wordt. Resultaat van een hashing algoritme dat gegevens omvormt naar een onleesbaar resultaat van vaste lengte. Omgeving waar draadloze internettoegang wordt aangeboden. ISO standaardmodel voor standaarden omtrent datacommunicatie. Niet-geëncrypteerde tekst Vooraf geprogrammeerde tabellen met mogelijke wachtwoorden en hun overeenstemmende hashes. Een techniek waarbij personen het wachtwoord ontfutselen van gebruikers door mee te kijken op het klavier terwijl een gebruiker het wachtwoord intypt. Techniek waarbij personen worden gemanipuleerd zodat ze een actie uitvoeren of confidentiële informatie doorgeven. Afkortingen BIOS Basic Input/Output System CMOS Complementary Metal Oxide Semiconductor DES Data Encryption Standard DNS Domain Name System DOS Denial of Service GPO Group Policy Object GUI Graphical user interface ISO International Organization for Standardization MD4 Message-Digest 4 Algorithm NTLMV2 NT LAN Manager Version 2 SAM Security Accounts Manager VLAN Virtual LAN WPA Wi-Fi Protected Access

5 Inhoudsopgave 1 Inleiding Stagebedrijf Campussen Praktische informatie De keuze voor Grenslandscholen Toelichting project Projectdefinitie Projectinhoud Projectkeuze Onderzoeksmethode Draadloos netwerk evaluatie huidige beveiliging Voldoet de huidige beveiliging aan de toekomst? Probleemstelling Eisen en wensen vanuit de school Huidige situatie Oplossingen WPA(2) Enterprise Captive portal Captive portal mogelijkheden PacketFence Untangle Pfsense Overige captive portal oplossingen Implementatie probleem Mogelijke oplossing Optimale oplossing Conclusie Netwerkbeveiliging, de vergeten OSI-lagen Layer 1 fysieke laag Aanval op de operationaliteit De huidige situatie Layer 2 datalink laag... 26

6 3.2.1 Switch managed versus unmanaged Unmanaged switch, CAM-table overflow Overige Layer 2 aanvallen De kern van het probleem aanpakken Layer 3 Netwerk laag Verschillende Layer 3 aanvallen Conclusie Wachtwoorden Hoe bewust gaat het personeel om met wachtwoorden? Repetitieve wachtwoorden Het neerschrijven van wachtwoorden Persoonlijke informatie in wachtwoorden Shoulder surfing Social Engineering Conclusie resultaten enquête Tips en richtlijnen betreffende wachtwoorden Lengte en variatie in karakters Vermijden van betekenisvolle begrippen Gebruik van een acroniem Vermijden van repetitieve wachtwoorden Conclusie Rechten als leerling Huidige situatie betreffende computerrechten van leerlingen Algemene informatie Downloaden van installatiebestanden verhinderen Bezoeken van bepaalde websites verhinderen Software installeren als leerling Installatie van software in de lokale mappen Installatie van software via de lokale gebruiker Tegenmaatregelen Niet toegelaten websites bereiken Werking van OpenDns OpenDNS omzeilen in de Grenslandscholen Toegang krijgen tot documenten op de server... 49

7 5.4.1 Gebruik maken van de account van de leerkrachten Domein administrator worden, toegang tot alles Conclusie Conclusies Literatuurlijst Bijlagen... 55

8 1 Inleiding 1.1 Stagebedrijf Figuur 1 Logo Grenslandscholen De Grenslandscholen bevinden zich op twee locaties, Menen en Wervik. Op beide locaties wordt secundair onderwijs aangeboden voor jongeren van 12 tot 19 jaar op alle niveaus. De verschillende afdelingen zijn verdeeld over drie campussen. Elke campus huisvest één of meerdere afdelingen Campussen Campus Menen bevindt zich aan het Vander Merschplein. Hier worden alle ASO-richtingen onderwezen alsook twee TSO-richtingen. Campus Wervikstraat bevindt zich ook in Menen en is de thuishaven van de houtbewerkingsafdeling. Op Campus Wervik bevindt zich de verzorgingsafdeling. Hier kunnen studenten terecht vanaf het 3de tot het 7de jaar. Daarnaast wordt ook een eerste graad A- en B-stroom aangeboden Praktische informatie Campus Menen Directie: Mevr. Sandra Vandendriessche Vander Merschplein Menen Tel: Fax: menen@grenslandscholen.be Campus Wervik Directie: Dhr. Kevin Dekyen Hellestraat Wervik Tel: Fax: wervik@grenslandscholen.be 8

9 1.2 De keuze voor Grenslandscholen Ik kwam in contact met mijn stageplaats via de stagewebsite van de Howest. Daarop konden bedrijven en instanties een stageplaats aanbieden. Samen met wat informatie en een beschrijving van het project konden de studenten een beeld vormen van wat de stage juist inhield. Het project dat de Grenslandscholen aanboden sprak mij wel aan. Ook het feit dat ik in een schoolomgeving extra ervaring kon opdoen was voor mij een pluspunt. In een bedrijf is het vaak moeilijk om extra tijd te maken voor een stagiair. Ook de locatie was gunstig, iets wat ik persoonlijk wel belangrijk vond. De combinatie van beide factoren zorgde ervoor dat ik mijn interesse kenbaar maakte tegenover de school. Na een gesprek met de directie en stagebegeleider werden de contracten in orde gemaakt en kon ik enkele maanden later starten. 1.3 Toelichting project Projectdefinitie Het doel van het stageproject bestaat erin om de volledige IT-infrastructuur van de school uitgebreid door te lichten op vlak van computer en netwerkbeveiliging. In welke mate is de beveiliging van de school geoptimaliseerd ten opzichte van ongewenste indringers, zowel intern als extern aan de schoolomgeving? Op basis hiervan wordt de huidige situatie in kaart gebracht en worden de nodige aandachtspunten opgesteld om potentiële beveiligingsproblemen op te lossen en/of te voorkomen. Naast de technische kijk op de IT-beveiliging dient ook de sociale kant te worden doorgelicht. Bijvoorbeeld, hoe gaat het personeel om met wachtwoorden, social media en dergelijke? Op deze manier wordt nagegaan hoe eenvoudig het is voor een student om kritieke informatie te bemachtigen Projectinhoud De inhoud van het project werd opgesteld door het stagebedrijf in de vorm van onderzoeksvragen. Deze dienen stuk voor stuk onderzocht te worden waarbij telkens potentiele problemen worden gerapporteerd met al dan niet een tegenmaatregel. De onderzoeksvragen worden doorheen dit rapport per hoofdstuk afgehandeld. Sommige onderzoeksvragen zijn echter samengevoegd tot één gemeenschappelijk hoofdstuk. Onderzoeksvragen We verplaatsen ons in de rol van een student of buitenstaander die de grenzen wil opzoeken van de bestaande beveiligingen: Gebruiker: Student wil administrator rechten op pc om programma s te kunnen installeren. Welke stappen kan hij hiervoor ondernemen? Internet: Student wil graag surfen op sites die niet toegestaan zijn. Hoe kan hij onze huidige beveiliging omzeilen? Netwerk: Student zou graag toegang hebben tot de server om zo aan documenten van leerkrachten te kunnen. Is dit mogelijk? Draadloos: Een buitenstaander of oud-leerling wil gebruik maken van het draadloos netwerk van de school voor privé gebruik. Wachtwoorden: Student wil graag het wachtwoord van leerkracht x of y achterhalen. Hoe veilig is onze infrastructuur? En hoe kan hij een wachtwoord ontfutselen via sociale wegen? Punten: Student heeft tegenvallende resultaten en zou graag het puntenboekje van een leerkracht willen raadplegen en / of aanpassen. Hoe gaat hij te werk? 9

10 1.3.3 Projectkeuze IT-beveiliging kan worden bekeken als een apart vakgebied binnen de wereld van de informatica. Het is een kleine aparte wereld binnen de veel grotere waarbij telkens nieuwe technieken worden ontwikkeld om bepaalde technologieën te testen op vlak van veiligheid. Jammer genoeg, maar eveneens logisch, worden deze technieken soms misbruikt voor onrechtmatige doeleinden. Hoewel men in een school een minder groot risico loopt op financieel verlies, zijn er andere entiteiten die beschermd moeten worden. De keuze voor dit project steunt op dit laatste feit. Ik wil aan de hand van dit rapport de school inzicht geven in de huidige beveiligingssituatie zodat men structureel tegenmaatregelen kan treffen. Dankzij mijn opgedane kennis op vlak van security in mijn opleiding kan ik dit resultaat verwerven Onderzoeksmethode In eerste instantie waren er geen onderzoeksvragen opgesteld (Projectinhoud, 5.3.2). Het was de bedoeling om de werkmethode te koppelen aan het OSI-model, waarbij laag per laag zwakheden in de beveiliging werden gezocht. OSI-model Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer Figuur 2 Het OSI-model Echter bleek al snel dat deze methode in de praktijk niet goed werkte. Elke laag werkt afzonderlijk van elkaar. Indien één laag gecompromitteerd wordt, zijn de lagen erboven zich hiervan niet bewust. Dit zorgt ervoor dat de indeling van mijn onderzoek en documentatie te complex en verwarrend oogde. Als gevolg van het bovenstaande werd er, in samenspraak met mijn stagebegeleider, naar een nieuwe methode gezocht. Deze kwam er in de vorm van onderzoeksvragen waarbij ik structureel aan de slag kon met een specifiek doel. Deze methode werd telkens opgesplitst in een aantal deeltaken. 1. Wat is het te bereiken doel in de onderzoeksvraag? 2. Hoe kan dit worden uitgevoerd? 3. Testen of de resultaten van stap 2 kunnen worden gebruikt. 4. Evaluatie van de resultaten. 5. Welke maatregelen kunnen worden getroffen? 10

11 2 Draadloos netwerk evaluatie huidige beveiliging BYOD is tegenwoordig een duidelijke trend bij eindgebruikers. Deze afkorting staat voor Bring your own device, en betekent dat eindgebruikers hun eigen laptop, tablet of smartphone van thuis meebrengen. Vanuit de eindgebruikers ontstaat steeds vaker de vraag of men met hun persoonlijke apparaten gebruik kan maken van de aanwezige internetverbinding. De beveiliging van het draadloze netwerk moet dus worden bijgewerkt om op een veilige manier aan deze vraag te voldoen. In dit hoofdstuk worden de verschillende opties besproken met hun voor- en nadelen in de situatie van de Grenslandscholen. De definitieve keuze voor een captive portal wordt in detail behandeld, waarbij verschillende captive portal software oplossingen met elkaar worden vergeleken. 2.1 Voldoet de huidige beveiliging aan de toekomst? De evolutie van de consumentenelektronica verloopt aan een verschroeiend tempo. Gevolg hiervan is dat apparaten steeds goedkoper en dus toegankelijker worden voor de consument. Ook het onderwijs springt graag op de kar. Dit doen ze door educatief lesmateriaal in een digitale vorm te gebruiken tijdens de lessen. Bij dit laatste kan men vanuit de school tablets aankopen en deze configureren naar wens. Toch zullen er altijd leerlingen zijn die hun eigen tablet meenemen, al dan niet voor gebruik tijdens de lessen. Als netwerkbeheerder heb je geen controle meer over deze apparaten. Men kan dus stellen dat deze apparaten vanuit beveiligingsoverwegingen als onveilig worden geacht en dus beter niet toegelaten worden op het netwerk Probleemstelling Een buitenstaander of oud-leerling wil gebruik maken van het draadloze netwerk van de school voor privégebruik. Hoe goed is de huidige beveiliging hiertegen bestand? Indien er een beveiligingsrisico is, hoe kan dit risico verminderd worden met zo weinig mogelijk financiële middelen? Het veilig openstellen van de internettoegang via een hotspot kan op verschillende manieren. In samenspraak met de stageplaats heb ik rekening gehouden met de wensen en eisen om een oplossing voor dit probleem te vinden Eisen en wensen vanuit de school De oplossing dient eenvoudig te zijn om te implementeren, zonder al te hoge impact op de eindgebruikers en huidige configuratie van het netwerk. Daarnaast dient de oplossing met zo weinig mogelijk financiële middelen te worden gerealiseerd en dient deze zich te beperken tot het aanbieden van internettoegang tot de eindgebruikers. 11

12 2.2 Huidige situatie In de huidige situatie wordt de draadloze infrastructuur benut door alle leerlingen en personeelsleden. De infrastructuur wordt beveiligd via een WPA(2)-PSK sleutel, afhankelijk van het aanwezige access point. De sleutel wordt vrij meegedeeld aan alle leerlingen, personeelsleden en eventuele bezoekers. Men kan dus gebruik maken van draadloos internet zonder enige vorm van authenticatie op gebruikersniveau of toegangsbeperking. Indien men het WPA paswoord weet, heeft men toegang tot het netwerk. Het huidige systeem vormt een beveiligingsrisico. Een buitenstaander kan eenvoudig het paswoord achterhalen door middel van social engineering via de leerlingen of personeelsleden. Bezoekers kunnen het paswoord vragen aan de receptie zonder argwaan te wekken. Ook familieleden van leerlingen of oud-leerlingen kunnen zonder enig probleem van het netwerk gebruikmaken voor privé doeleinden. Met de toegang tot het draadloze netwerk is er meteen ook toegang tot apparaten aangesloten op het bekabelde netwerk. Draadloze gebruikers komen niet in een aparte VLAN terecht waardoor ze deel uit maken van het bekabelde netwerk. 2.3 Oplossingen Het bestaande beveiligingsrisico kan worden gereduceerd door authenticatie aan users op te leggen. Personen die willen gebruik maken van de draadloze infrastructuur dienen zich dus kenbaar te maken door bijvoorbeeld een gebruikersnaam en paswoord combinatie. De verificatie van de authenticatie kan men bekomen via verschillende mechanismes WPA(2) Enterprise Authenticatie kan worden verkregen door het implementeren van de WPA(2) Enterprise technologie. Hierbij worden inloggegevens van gebruikers bijgehouden in een databank en dient een gebruiker zich kenbaar te maken via een radiusserver. Figuur 3 WPA(2) Enterprise authenticatie mechanisme Deze technologie houdt echter in dat er in sommige gevallen bij de eindgebruiker een zekere configuratiedrempel optreedt. Door de grote variëteit aan apparaten kunnen er namelijk problemen optreden met compatibiliteit. Het ene toestel met besturingssysteem X is niet hetzelfde als een ander toestel met besturingssysteem Y. Gebruikers kunnen dus in specifieke omstandigheden problemen ondervinden. Gezien deze eigenschappen werd in samenspraak met de stageplaats beslist dat deze technologie niet de beste oplossing is om hotspot internet toegang aan te bieden aan de leerlingen. 12

13 2.3.2 Captive portal Bij deze methode worden gebruikers verplicht doorgestuurd naar een captive portal webpagina. Hierbij dient de gebruiker zich via die webpagina te authentiseren. Gebruikers geven een gebruikersnaam en paswoord op die dan geverifieerd worden via het daarvoor voorziene authenticatiesysteem. De enige vereiste is dat het apparaat beschikt over een browser. Er is geen configuratie nodig op het toestel van de gebruiker. Het nadeel van dit systeem is vooral de gebruikservaring. Als de gebruiker bijvoorbeeld snel even zijn berichten wil controleren, dient hij zich eerst aan te melden op de voorziene webpagina. Dit zorgt ervoor dat het systeem minder gebruiksvriendelijk is. Gezien deze lage configuratiedrempel en eenvoudige implementatie van dergelijk systeem werd mij gevraagd deze optie verder te onderzoeken. 2.4 Captive portal mogelijkheden Er zijn voldoende mogelijkheden, zowel commerciële als open-source, om een captive portal systeem te implementeren. Enkele voorbeelden zijn: Pfsense Air Marshal Untangle Packetfence Coovachilli LogiSense Een voorwaarde die de stageplaats stelt, is dat de ondersteunende software gratis dient te zijn. Commerciële toepassingen vallen dus weg. De open-source wereld biedt echter voldoende gratis oplossingen. Deze vrij uitgebreide keuze heb ik herleid naar drie mogelijkheden. Allen hebben ze hun voor en nadelen, deze worden later in dit hoofdstuk besproken. 13

14 2.4.1 PacketFence PacketFence is een gratis, open source Linux applicatie die network access control functionaliteit bevat. Deze applicatie biedt vele features en is te beheren via een browser gebaseerde GUI. Daarnaast kan men extra functionaliteit toevoegen zoals een Intrusion prevention system of een intrusion detection system. Ook wordt er ondersteuning geboden voor verschillende authenticatiebronnen zoals openldap, active directory, cisco acs, De authenticatie radius server wordt voorzien via FreeRadius. Figuur 4 PacketFence aanwezige technologieën Installatie en configuratie De installatie en configuratie van PacketFence verliep in mijn ervaring vrij vlot. Via de browser gebaseerde GUI kon ik de initiële configuratie bepalen, hoewel de eerste stap wat verduidelijking nodig had. Hierbij kon ik kiezen hoe ik de applicatie ging configureren en gebruiken. Er is keuze uit twee uitrol mogelijkheden. De optie Inline enforcement laat toe dat PacketFence zich als tussenschakel gaat opstellen in het netwerk. Hierbij vormt de applicatie de gateway van het netwerk. De VLAN enforcement is een opstelling waarbij de applicatie zich als server gaat gedragen en VLANs gaat toekennen aan managed switches. Een combinatie van beide opstellingen is ook mogelijk. Aangezien mijn stageplaats niet beschikt over een netwerktopologie met managed switches was ik genoodzaakt de eerste optie aan te vinken. 14

15 Figuur 5 PacketFence Installatie Verder in de configuratie worden de netwerkadapters gekozen die beide zijden van het netwerk verbinden met PacketFence. Daarna wordt de database ingesteld. De laatste stappen bestaan er in algemene eigenschappen in te vullen zoals een domeinnaam, DNS-servers, administrator paswoord en dergelijke. Het captive portal werkt standaard al. Er is geen extra configuratie nodig om deze functie te doen werken. De aanmeldpagina aanpassen is echter minder eenvoudig. Hiervoor is toch een zekere vorm van webdevelopmentkennis nodig. Gelukkig is er een vrij uitgebreide documentatie beschikbaar. Gebruikservaringen Zo eenvoudig de initiële configuratie was, zo verwarrend en complex was het overige deel van de applicatie. Een overweldigende hoeveelheid aan features en extra s gaven een ingewikkelde indruk. Na een tijdje vind je echter wel je weg in de verschillende menu s. Ook dankzij de goede documentatie die beschikbaar is op de website van PacketFence ontdek je al snel dat het een vrij complete oplossing is. In dit geval dient er enkel gebruik gemaakt te worden van de captive portal functie. Deze functionaliteit is aanwezig, maar zit vrij diep verweven in de volledige applicatie. Een echte opsplitsing is er niet. Het aanpassen van de aanmeldpagina is vrij moeilijk en uitzonderingen toevoegen verloopt niet vlot. Een ander nadeel is dat PacketFence relatief veel systeembronnen nodig heeft om vlot te draaien. Conclusie Deze applicatie biedt een uitgebreide functionaliteit als network access control oplossing. De captive portal toepassing is ook te uitgebreid naar de noden van de huidige topologie. Het systeem is eerder geschikt bij grote bedrijven, evenementen of hotels. Na overleg met mijn stagebegeleider werd besloten dat deze applicatie een te hoge implementatiedrempel heeft om toegepast te worden in de school. 15

16 2.4.2 Untangle Untangle is een op Linux gebaseerde UTM software oplossing. UTM staat voor Unified Threat Management en betekent dat de software een volledige security gerichte management functionaliteit aanbiedt. Untangle is gratis te verkrijgen en heeft een ruim aanbod aan applicaties. Sommige zijn gratis, andere functies zijn pas na betaling toe te voegen aan de core installatie. De captive portal functionaliteit wordt gratis aangeboden. Deze kan worden uitgebreid met een gratis firewall, spyware blocker, spam blocker en dergelijke. Zo krijgt de installatie een groter doel dan enkel het aanbieden van een captive portal functionaliteit. Installatie en configuratie Figuur 6 Webinterface Untangle Installatie gebeurt zoals bij elke Linux distributie. Er dient tijdens de installatie erg weinig extra informatie te worden opgegeven, wat wel opvallend was. Het installatieproces duurde wel vrij lang in vergelijking met andere distributies. De configuratie verloopt via een web gebaseerde applicatie. Je kunt op een eenvoudige manier extra functies bijslepen. In het configuratiemenu stel je eerder algemene zaken in, maar per applicatie is er een apart menu voorzien wat de overzichtelijkheid zeker ten goede komt. 16

17 Gebruikservaringen De web interface voelt niet echt responsief aan. Ik merkte ook dat de distributie gevoelig meer systeembronnen nodig heeft dan bijvoorbeeld een standaard Debian distributie. De applicaties installeren gaat echter wel vlot. Soms is het vervelend dat je wordt doorgestuurd naar de pagina van de ontwikkelaar als de gekozen applicatie niet gratis is. Dit wordt namelijk niet vermeld in het menu. De captive portal functionaliteit doet wat het moet doen, is eenvoudig en de configuratie is slechts minuten werk. Het aanpassen van de webpagina is eenvoudig uit te voeren, zelfs zonder enige kennis van html. Daarnaast kan je ook zelf een pagina uploaden. Een nadeel is wel dat men niet kan filteren op MAC-adres, maar enkel op IP-adres. Dit laatste vormt een probleem in de huidige netwerktopologie (zie 2.5 implementatie probleem ). Authenticatie kan zowel via een lokale database als via een radiusserver gebeuren. Conclusie Een goede oplossing voor de toepassing die men op de stageplaats wenst. De uitbreidingsmogelijkheden zijn echter beperkt, omdat niet alle toepassingen gratis worden aangeboden. Ook de hoeveelheid nodige resources om deze distributie vlot te laten werken zijn een negatief punt. 17

18 2.4.3 Pfsense Pfsense is een gratis, open source freebsd distributie die zowel router als firewall functionaliteit aanbiedt. Deze distributie is ontstaan als een fork van het populaire Monowall project. Deze firewall distributie biedt naast de standaard functionaliteit ook de mogelijkheid om extra functies te installeren via een package manager. Zo kan de functionaliteit van de distributie worden uitgebreid naar de noden en wensen van de systeembeheerder. Pfsense beschikt standaard ook over een captive portal functionaliteit, waar we in deze situatie gebruik willen van maken. Installatie en configuratie Figuur 7 Pfsense opstartscherm De installatie van Pfsense is zeer eenvoudig. De distributie zelf is niet groot in omvang (100MB); een gewone cd is voldoende om de installatie te kunnen starten. Echt krachtig hoeft de fysieke machine ook niet te zijn. Pfsense springt vrij zuinig om met systeembronnen en kan dus perfect werken op een wat gedateerde machine. Op de Firewall machine zelf worden basiszaken geconfigureerd. Hieronder valt bijvoorbeeld: welke interface voor welke zijde van het netwerk dient, het instellen van het administrator paswoord, toegang configureren voor SSH of het opnieuw starten van bepaalde functies zoals de webconfigurator. 18

19 Figuur 8 Pfsense configuratie console De overige configuratie verloopt via de web gebaseerde GUI. In de eerste fase wordt een standaard setup doorlopen waarin basiszaken worden geconfigureerd. Al snel kom je terecht op de administrator pagina waarop je effectief firewall of andere functies kan gaan instellen, waaronder ook de captive portal functionaliteit. Figuur 9 Pfsense web configurator 19

20 De aanmeldpagina is standaard voorzien, hoewel deze het Pfsense logo bevat en vrij eenvoudig zijn. Het aanpassen van deze pagina s is echter niet moeilijk en kan met basis html kennis worden voltooid. De inlog PHP code staat op de configuratie pagina vermeld. Deze kan men dus gewoon kopiëren en plakken in de html pagina. Na het uploaden van beide pagina s heb je een basis, maar toch vrij goede captive portal functionaliteit. Inloggegevens worden bijgehouden in de lokale database van Pfsense. Er is echter ook een mogelijkheid om via een externe radiusserver te werken. Daarnaast kan men ook met vouchers werken om toegang te verschaffen. Hierbij zou bijvoorbeeld na het ingeven van een adres, naam, klas, en andere gegevens een voucher kunnen worden doorgestuurd om zo tijdelijk internettoegang te verkrijgen. Bij vouchertoegang dient er wel een speciale captive portal webpagina te worden voorzien. Gebruikservaringen Mijn ervaringen met Pfsense zijn vrij positief. De distributie biedt een uitgebreide functionaliteit die eenvoudig uit te breiden is. De administrator pagina zit logisch in elkaar. Hoewel ik al ervaring had met Pfsense had ik de captive portal functionaliteit nog nooit geprobeerd of getest. Toegegeven, zoals bij alles, is het eerst wat zoeken. Maar zonder al te grote problemen kon ik deze functie werkende krijgen. Ik kreeg echter met twee problemen te maken na de configuratie. Zo wou ik de inlogpagina via het https protocol laten werken. Op die manier worden inloggegevens niet in gewone tekstvorm verstuurd, maar versleuteld. Het aanmaken van certificaten kan ook gebeuren via Pfsense. In principe werkt dit, maar wordt het certificaat niet door de browsers erkend als veilig. Gebruikers krijgen dus, afhankelijk van de gebruikte browser, een waarschuwing te zien voor ze naar de inlogpagina worden doorverwezen. Er dient dus een extern certificaat te worden aangemaakt dat wel standaard door de browsers wordt ondersteund. Deze zijn zowel gratis als betalend beschikbaar. Voorbeelden zijn: Verisign, OpenSSL, Instantssl. Een ander probleem ondervond ik met het surfen naar https pagina s voor de gebruiker aangemeld was. Blijkbaar ondersteunt Pfsense dit niet. Indien een gebruiker naar een https pagina surft, wordt de persoon niet doorverwezen naar de inlogpagina, maar krijgt men een connection refused pagina te zien. Dit is een klein probleem, maar kan voor gebruikers verwarrend overkomen. Dit doet zich trouwens ook voor bij Packetfence en Untangle. De reden hiervoor is dat men anders een certificaat fout moet opwerpen door het https protocol. Dit is niet wenselijk voor de gebruiker en wordt daarom liever vermeden. Conclusie Een eenvoudige captive portal functionaliteit dat als bijkomende functie wordt aangeboden in een firewall/router freebsd distributie. Ik had voor deze stage al met Pfsense gewerkt waardoor ik de administrator GUI al wat kende. Dat gezegd zijnde vind ik dat deze distributie ruim voldoet voor de toepassing die de school wenst. Ook mijn stagebegeleider was vrij positief over deze toepassing. 20

21 2.4.4 Overige captive portal oplossingen Chillispot ChilliSpot is een open source WIFI access controller en biedt deze functionaliteit aan in de vorm van een captive portal. Uitbreidingen zijn niet beschikbaar. Een voordeel is wel dat het compatibel is met OpenWRT. Dit houdt in dat chilispot kan worden geïnstalleerd op routers die gebruik maken van die technologie. Zo dient men geen extra machine in te schakelen om deze functie te benutten. Een nadeel is echter dat er geen management GUI beschikbaar is, indien men kiest voor een stand alone installatie. Monowall Figuur 10 Chillispot Technologie Monowall is een distributie dat gelijkt op Pfsense, maar met een iets andere focus. De software richt zich vooral op de embedded systemen. Dit houdt in dat Monowall bijvoorbeeld op specifiek ontwikkelde apparaten kan werken, terwijl Pfsense zich eerder op een gewone desktop machine thuis voelt. Hoewel Monowall ook dezelfde captive portal functionaliteit aanbiedt als Pfsense zijn de uitbreidingsmogelijkheden bij die laatste groter. Daarom gaat de voorkeur niet uit naar deze oplossing. Figuur 11 Monowall web configurator 21

22 2.5 Implementatie probleem De huidige netwerktopologie beschikt niet over een VLAN-indeling, waarbij bijvoorbeeld de Wireless infrastructuur gescheiden wordt van het vaste, bekabelde netwerk. Hierdoor zullen alle apparaten in het netwerk via de authenticatiepagina van het captive portal moeten surfen. Dit is niet praktisch en zorgt voor een verminderde gebruiksvriendelijkheid. Het is de bedoeling dat enkel mobiele apparaten die door leerlingen en/of leerkrachten worden meegebracht van thuis zich moeten authentiseren Mogelijke oplossing In de actuele situatie kan dit probleem omzeild worden door MAC-adressen van vaste apparaten als uitzondering toe te voegen in de configuratie van het captive portal. Op deze manier dienen computers die opgesteld staan in lokalen of gebruikt worden voor administratieve taken zich niet telkens aan te melden om toegang te krijgen tot toepassingen op het internet. Deze oplossing is echter niet optimaal op gebied van beveiliging en beheerbaarheid. Telkens er een nieuwe netwerkadapter wordt toegevoegd in het netwerk, bijvoorbeeld een nieuwe computer of een ander nieuw netwerkapparaat, zal het MAC-adres van dat apparaat als uitzondering moeten worden toegevoegd in de configuratie. Ook kan een mobiel apparaat via MACspoofing het MAC-adres aannemen van een ander vast toestel in het netwerk. Daardoor zou het mobiele apparaat de authenticatie pagina kunnen vermijden Optimale oplossing Een betere oplossing is het implementeren van een VLAN structuur in de netwerktopologie. Dit houdt in dat alle huidige standaard switches vervangen moeten worden door managed switches waarop een VLAN-indeling kan worden geconfigureerd. Zo kan het captive portal enkel op één specifieke VLAN worden ingesteld. Hierdoor maakt men een duidelijk onderscheid tussen de vaste LAN infrastructuur en de Wireless apparaten die door leerlingen worden meegebracht en van de draadloze infrastructuur gebruik willen maken. Zoals vermeld kan deze oplossing pas worden toegepast indien de netwerktopologie wordt voorzien van een managed switch datalink infrastructuur. Hierbij komt echter wel een investeringskost kijken. 2.6 Conclusie Na overleg werd de captive portal techniek als meest geschikte oplossing gekozen. Alle geteste software werd voorgelegd, telkens met hun voor- en nadelen en mijn persoonlijke ervaringen. Uiteindelijk ging de keuze voor Pfsense. Naast de captive portal functionaliteit kan deze software ook worden ingezet als firewall. Aangezien er nog geen volwaardig firewall systeem aanwezig is in de Grenslandscholen was de keuze relatief snel gemaakt. Tijdens mijn onderzoek werd echter ook overlegd om in samenwerking met het volwassenonderwijs, dat gebruik maakt van de gebouwen van de school, een professionele draadloze infrastructuur op te bouwen. Hierbij zou ook een captive portal functie zijn ingebouwd. 22

23 3 Netwerkbeveiliging, de vergeten OSI-lagen De eerste twee lagen van het OSI-Model worden vaak vergeten als men de beveiliging van het netwerk gaat evalueren. Men spendeert meer tijd aan het bepalen van goede rechten, encryptie van data en authenticatie van gebruikers. Nochtans kunnen deze eerste twee lagen een significante invloed hebben op de beveiliging van het netwerk. Naast het verlies van confidentiële data door gebreken op deze netwerklagen kunnen er ook aanvallen gebeuren op de operationaliteit van het netwerk. Daarnaast kan ook de fysieke toegang tot servers of computers een bedreiging vormen. Deze opgenoemde zaken gaan zich vooral afspelen op deze eerste twee lagen van het OSI-model. Allereerst bekijken we hoe we de fysieke netwerklaag kunnen beveiligen en later in dit hoofdstuk wordt ook de beveiliging van de datalinklaag van het OSImodel bestudeerd. Als laatste worden ook aanvallen op de derde laag van het OSI-model besproken. 3.1 Layer 1 fysieke laag Onder deze eerste laag van het OSI-model valt in feite de data in zijn puurste vorm die door fysieke of draadloze media getransporteerd wordt. Data in de vorm van elektrische pulsen, lichtpulsen, radiogolven of andere transportvormen. Op deze laag wordt gebruik gemaakt van een medium om data in zijn gepaste vorm te transporteren. Dit kan bijvoorbeeld via een koperen kabel, fiber, of gewoon via een draadloos signaal. Elk apparaat in een netwerkinfrastructuur beschikt over een layer 1 technologie. Elk apparaat dient namelijk data te versturen via een fysieke of draadloze verbinding. Echter op vlak van security kan men deze laag net iets ruimer nemen. De omgeving waar machines staan of aansluitingen voorkomen, mag namelijk niet vergeten worden. Zo heeft de stroomtoevoer niet rechtstreeks een verband met deze laag, maar aangezien het hierbij het dichtst aanleunt, wordt dit in deze documentatie bekeken als criteria van de fysieke laag Aanval op de operationaliteit De beveiliging op gebied van operationaliteit is een vrij grote uitdaging op deze eerste laag. Het is namelijk zeer eenvoudig om een UTP-kabel te verwijderen uit een switch of een server, of nog eenvoudiger om de stroomvoorziening te onderbreken. Hiervoor is kennis van IT in principe niet nodig. Een ander, iets geavanceerdere aanval kan bijvoorbeeld worden veroorzaakt door het plaatsen van draadloze stoorzenders. Hierdoor wordt het draadloze netwerk niet bedreigd op vlak van dataverlies, maar kan de draadloze ontvangst erg verstoord worden. Bij dergelijke aanvallen worden meestal geen gegevens gestolen, maar wordt enkel de werking van het netwerk verstoord. Deze down-time kan grote financiële gevolgen met zich meebrengen. In het geval van een school is het vooral zeer vervelend. Lessen kunnen niet of moeilijk doorgaan of men moet terugvallen op handboeken. Door de digitalisering van het onderwijs is een stabiel, betrouwbaar netwerk dan ook een must. 23

24 3.1.2 De huidige situatie Om de huidige staat te gaan evalueren dienen we eerst een globaal beeld te hebben van de huidige situatie. Om dit te doen is het nodig om fysiek een kijkje te gaan nemen naar de infrastructuur. Aan de hand van enkele criteria heb ik stap voor stap elk gedeelte van de fysieke infrastructuur beoordeeld. Allereerst heb ik het netwerkschema erbij genomen en systematisch elk kritiek aansluitpunt bekeken en geëvalueerd. Op onderstaand plan vindt u telkens aansluitpunten van het netwerk terug. Deze zijn genummerd en worden telkens apart besproken of gegroepeerd indien identieke situaties vastgesteld werden. Voorbeelden van mijn vaststellingen vindt u terug in de vorm van foto s in bijlage Figuur 12 Grondplan gelijkvloers Grenslandscholen Menen 24

25 Figuur 13 Grondplan eerste verdieping Grenslandscholen Menen Evaluatie criteria A. Kan de stroomvoorziening eenvoudig worden weggenomen? B. Kan de bedrading verwijderd of doorgeknipt worden? C. Zijn er aparte zekeringen voorzien? D. Is de netwerkapparatuur afgeschermd? Tabel 1 Overzicht fysieke beveiliging Grenslandscholen aan de hand van opgestelde criteria Aansluitpunt op het plan Evaluatie A B C D Score Opmerking 1 Ja Ja Ja Neen 1/4 Kantoor administrator, lokaal wordt altijd afgesloten. 2 Ja Ja Neen Neen 0/4 Coax verdeler 3 Neen Neen Neen Ja 3/4 Switch zit verborgen achter een kast. 4 Ja Ja Neen Neen 0/4 Kantoor centrum volwassen onderwijs 5 Ja Ja Neen Neen 0/4 Leraarskamer 6 Ja Ja Ja Neen 1/4 Kantoren en printruimte 7 Ja Ja Ja Ja 2/4 Computerlokaal 8 Ja Ja Ja Ja 2/4 Computerlokaal 9, Neen Neen Ja Ja 4/4 Computerlokaal 10 Ja Ja Neen Neen 0/4 Leslokaal 11 Ja Ja Neen Ja 1/4 Leslokaal: hoewel de switch opgeborgen zit, is dit kastje niet afgesloten. 12 Ja Ja Neen Neen 0/4 Studiezaal 25

26 3.2 Layer 2 datalink laag Deze tweede laag van het OSI-model is de thuisbasis voor netwerkapparatuur zoals de switch. Hoewel van die laatste ook een layer 3 variant bestaat, worden deze toestellen vooral tewerk gesteld op de datalinklaag. Kort gezegd verbindt een switch individuele hosts met elkaar waarbij elke aansluiting op die switch een aparte collision domain vormt. Vroeger werden hosts met elkaar verbonden met behulp van een hub. Een hub vormt één groot collision domain met alle aangesloten hosts. Dit had een negatieve impact op de snelheid en stabiliteit van het netwerk. Dit werd veroorzaakt doordat pakketten die verstuurd werden regelmatig met elkaar botsten. Het gevolg hiervan was een binair foutief resultaat en dus diende het pakket opnieuw te worden verstuurd. Het is dan ook logisch dat in een modern ethernet netwerk een switch de voorkeur geniet Switch managed versus unmanaged Een switch is een vrij eenvoudig apparaat in zijn basisvorm. Het kan worden aangesloten op het netwerk en zal meteen zijn functie vervullen. Er zijn echter ook modellen die speciale functies aan boord hebben en ondersteuning bieden aan technologieën zoals VLAN-indeling, spanning tree of andere geavanceerde functionaliteit. Deze types worden managed switches genoemd en dienen ingesteld te worden voor men ze aansluit in een netwerkomgeving. Naast het correct instellen van de werking van het toestel moet er voldoende aandacht worden besteed aan de security instellingen van een switch. Extra functionaliteit zorgt namelijk voor een extra impact op de beveiliging van het netwerk. Hoewel een basis unmanaged switch geen configuratie nodig heeft, vormt het wel een achillespees op vlak van beveiliging. De kwetsbaarheid is misschien wel groter dan bij een managed switch, aangezien men bij die laatste tegenmaatregelen kan treffen indien men ze correct configureert. 26

27 3.2.2 Unmanaged switch, CAM-table overflow In de Grenslandscholen wordt geen gebruik gemaakt van managed switchen. Dit zorgt dat men de kwetsbaarheid van deze basis switch eenvoudig kan gaan misbruiken. Om deze kwetsbaarheid te begrijpen schets ik kort even de werking van een basis switch aan de hand van onderstaande figuur. CAM-tabel Poort P1 P2 P3 P4 Mac-adres D4-DA C-05 AE-0F-06-E4-67-2A D AA-EC-8E B7-64-3B-3A Figuur 14 Basisopstelling switch Elke switch houdt tijdens zijn werking een tabel bij die weergeeft op welke poort welk apparaat aangesloten is. De tabel vormt dus de koppeling tussen de poort en het MAC-adres van het toestel dat aangesloten is op die poort. Zodra de switch een pakket op een poort ontvangt, plaatst hij het MAC-adres van de zender in de tabel die gekoppeld is aan de poort waarop het pakket ontvangen werd. Indien het MAC-adres van de begunstigde niet kenbaar is in de tabel, stuurt de switch het pakket naar alle poorten, behalve naar de poort waarop het pakket ontvangen werd. Dit laatste wordt een broadcast genoemd. Eén van de zwakheden van een basis switch bevindt zich in de maximale grootte van de CAM-tabel. Deze grootte is afhankelijk van switch tot switch, maar indien de maximale grootte bereikt is, worden pakketten automatisch als broadcast verstuurd in plaats van via één specifieke poort te worden doorgestuurd. In feite gedraagt de switch zich nu als een hub. Waarom is dit een security risico? Het overbelasten van de CAM-tabel kan doelbewust worden uitgelokt met behulp van software. Hierbij wordt een switch gebombardeerd met valse MAC-adressen. In een relatief korte tijd schakelt de switch over op fail-over mode waarbij hij alle pakketten als broadcast verstuurt. Indien dit voorkomt kan bijvoorbeeld een pakket worden onderschept die niet voor een andere computer bedoeld was. Het is dus perfect mogelijk om bijvoorbeeld een paswoord te onderscheppen via dit proces. Dit wordt in vaktermen omschreven als password sniffing. Daarnaast is er een relatief grote impact op de prestaties van het netwerk. Deze CAM-table overflow aanval kan in bepaalde gevallen het netwerk in die mate overbelasten dat de operationaliteit verloren gaat. Het is een eenvoudige aanval die één van de grootste problemen van een basis switch misbruikt en waarbij verschillende resultaten kunnen worden bekomen. 27

28 Hoe gaat een CAM-table overflow aanval in zijn werk? Figuur 15 Testopstelling CAM-table overflow aanval Bovenstaande figuur geeft mijn testopstelling weer. Deze opstelling heb ik gebruikt om aan te tonen aan mijn stagebegeleider hoe eenvoudig het is om dergelijke aanval uit te voeren. Het toestel aanvaller werd voorzien van een Linux Backtrack distributie. De overige computers werden voorzien van een Windows XP installatie. Op alle machines werd gebruik gemaakt van Wireshark om het dataverkeer te monitoren. Indien vanaf Host A een ping pakket werd verstuurd naar Host B, werd deze niet waargenomen door de aanvaller. Figuur 16 Screenshot Macof Backtrack 28

29 Zodra de aanvaller echter de CAM-table overflow aanval startte, werden de ping pakketten in een relatief korte tijd wel waargenomen. Na drie minuten viel alle communicatie echter weg door overbelasting van de switch. Een reset van dit apparaat was nodig om de verbinding te herstellen Overige Layer 2 aanvallen MAC-spoofing Bij MAC-spoofing wordt een andere zwakheid van de MAC-adrestabel misbruikt. Zoals in vorig hoofdstuk besproken, leert een switch dynamische MAC-adressen te inspecteren door binnenkomende pakketten. Indien een nieuwe combinatie gedetecteerd wordt, wordt deze in de CAM-tabel geplaatst. Bij MAC-spoofing wordt dit leerproces misbruikt door het MAC-adres van een aanvallende computer te vervangen door een ander geldig MAC-adres van een machine in het netwerk. De aanvallende host stuurt vervolgens met een vals MAC-adres een frame naar de switch. De switch onderzoekt het frame en overschrijft het al aanwezige adres in de tabel door de nieuwe combinatie. Alle frames die bedoeld zijn voor de originele host worden nu ontvangen door de aanvaller. Van zodra de originele host terug een frame naar de switch stuurt, wordt het proces terug omgekeerd naar de oorspronkelijke staat. MAC-adrestabel Poort P1 P2 P3 Poort P1 P2 P3 Mac-adres 1E-D C0-C2 AE-0F-06-E4-67-2A 5A-6B-BA-86-9B-C0 Mac-adres 1E-D C0-C2 AE-0F-06-E4-67-2A 1E-D C0-C2 Figuur 17 Testopstelling Mac-spoofing De technieken om dergelijke aanval uit te voeren zijn gelijkaardig als bij een MAC-flooding attack. Hoewel er software beschikbaar is om een MAC-adres te wijzigen in Windows, is deze vaak niet toegankelijk door GPO-instellingen. Indien men gebruik maakt van een laptop kan dit wel vrij eenvoudig worden gerealiseerd. De tegenmaatregelen zijn identiek aan die bij een MAC-flooding attack. Er moet echter op gewezen worden dat indien men MAC-adressen dynamisch aanleert het nog steeds mogelijk is om een MACadres te spoofen. Enkel indien een MAC-adres statisch aan een poort gekoppeld wordt, is dit niet meer mogelijk. Naar management toe is dit minder aan te raden. Switching loop Een switching loop komt af en toe eens voor in een netwerk wanneer er een nieuwe fysieke verbinding dient aangesloten te worden. Hierbij ontstaat er een tweede identieke verbinding tussen twee switches waardoor broadcast pakketten het volledige netwerk overspoelen. Een switching loop kan ook voorkomen wanneer een kabel op twee poorten van eenzelfde switch wordt aangesloten. Dit laatste kan uiteraard ook doelbewust gebeuren. Op deze manier ontstaat er opnieuw een aanval op de operationaliteit van het netwerk. Hoewel de aanval gebeurt door fysieke toegang plaats ik het toch bij aanvallen op de tweede laag van het OSI-model aangezien het beroep doet op apparatuur op die tweede laag. 29

30 LAN Storm attack Bij een LAN storm attack wordt vooral gemikt op het verminderen van de prestatie van het netwerk door in grote mate broadcast data over het netwerk te versturen. Dit kan leiden tot een denial of service, waarbij het netwerk niet langer correct functioneert. Switchen broadcasten namelijk verkeer door indien een MAC-adres niet in hun tabel voorkomt of als het om een protocol gaat waarbij data moeten worden verspreid over het volledige netwerk. Het is niet mogelijk om alle vormen van data storms aanvallen tegen te houden. Er zijn gelukkig wel methodes die ervoor zorgen dat ze vermeden of gecontroleerd toegelaten worden. Managed switch aanvallen Indien men beschikt over managed switches dient men rekening te houden met nog twee andere potentiele misbruiken. Specifiek gaat het over een VLAN Attack waarbij men een VLAN hop kan uitvoeren. Dit houdt in dat een computer van VLAN wijzigt zonder fysiek van switchpoort te wijzigen. Daarnaast kan het spanning tree protocol worden misbruikt om zo redundante netwerkverbindingen te wijzigen en het netwerk te verstoren De kern van het probleem aanpakken Het lijkt vrij duidelijk dat het netwerk van de Grenslandscholen kwetsbaar is voor een dergelijke aanval. Om dit tegen te gaan zijn er kleine tegenmaatregelen mogelijk. Deze zijn echter niet voldoende om de volledige kwetsbaarheid weg te nemen. De desktop computers die gebruikt worden in klaslokalen en op bureaus kunnen door een dergelijke aanval onbruikbaar worden gemaakt. Dit kan worden vermeden door het BIOS te beveiligen met een wachtwoord. Daarnaast is het aangewezen om het CD-/DVD-station en USB-poorten uit de bootvolgorde te verwijderen. Een Linux distributie is namelijk nodig om de aanval uit te voeren. Deze kan worden opgestart vanaf een USB-schijf of CD/DVD. Door het opstarten van dergelijke media te verhinderen creëert men een extra drempel. Er zijn echter manieren om deze beveiliging te omzeilen. Zo kan het BIOS van een machine worden gereset door de stroomvoorziening van het BIOS-geheugen gedurende een korte tijd weg te nemen. Dit doet men door intern in de machine een kleine knoopcel batterij te verwijderen. Als men de machine daarna terug opstart, zal het BIOS in de meeste gevallen teruggezet zijn naar zijn fabrieksopgave. Met de komst van de virtualisatietechnologie kan een CAM-table overflow aanval echter nog veel eenvoudiger worden uitgevoerd. Via een virtualbox, bijvoorbeeld, kan een virtuele machine met een Linux distributie worden geïnstalleerd op de lokale machine. Vanaf die virtuele machine kan de aanval worden uitgevoerd. Hierbij is toegang tot het BIOS niet nodig aangezien men de virtuele machine opstart in de gewone Windows omgeving. Indien iemand een eigen toestel meebrengt, zoals een laptop, zijn bovenstaande drempels geen probleem meer. De aanval kan dan vanaf dat toestel worden uitgevoerd. De kern van de kwetsbaarheid blijft namelijk nog steeds hetzelfde. Het volledig wegnemen van de kwetsbaarheid kan door de basis unmanaged switches te vervangen door managed switches. Deze switches kunnen namelijk worden ingesteld om dergelijke aanval tegen te houden. Zo kan bijvoorbeeld worden ingesteld dat elke poort maar één of meerdere MACadressen dynamisch aanleert. Als dit aantal overschreden wordt, wordt die specifieke poort afgesloten op de switch waardoor communicatie niet langer mogelijk is. Daarnaast bevatten ze extra functionaliteit die de indeling, kwaliteit en beheerbaarheid van het netwerk verbeteren. 30

31 3.3 Layer 3 Netwerk laag Ook op de netwerk laag kunnen verschillende aanvallen worden uitgevoerd. Sommige lijken sterk op hun layer 2 variant, maar dan met IP-adressen in plaats van met MAC-adressen. Een voorbeeld hiervan is IP-spoofing. Zoals reeds aangehaald maakt men op de derde laag van het OSI-model gebruik van IP-adressen. Elk host apparaat krijgt een IP-adres toegekend zodat verschillende hosts met elkaar kunnen communiceren op basis van dat adres. Aanvallen op deze laag maken dan ook gebruik van IPadressen om hun doel te viseren Verschillende Layer 3 aanvallen Ping Flood Ping wordt in bijna elk netwerk gebruikt als diagnosetool bij netwerkproblemen. Aan de hand van dit commando wordt gecontroleerd of een host al dan niet bereikbaar is. Toch kan het ook misbruikt worden. Er kan bijvoorbeeld een enorme hoeveelheid aan ping pakketten verstuurd worden naar een host waardoor deze vertraagd of bij uitzonderlijke omstandigheden crasht. Man in the middle attack Bij een man in the middle attack doet de aanvaller zich voor als een legitiem apparaat of service in het netwerk. Daarbij probeert de aanvaller individuele connecties te maken met het slachtoffer zodat die verbinding maken met de aanvaller. Vervolgens stuurt de aanvaller alle trafiek van zijn slachtoffer door naar de bedoelde eindbestemming zonder dat dit wordt opgemerkt. Op deze manier kan de aanvaller informatie uit de pakketten afleiden of manipuleren om zo specifieke data te verkrijgen. Denial of Service Attack Bij een DOS aanval of Denial of Service aanval wordt één specifieke host geviseerd. Meestal heeft men als doel het onbereikbaar maken van die host. Dit wordt bekomen door de host te overbelasten met informatie tot deze de informatie niet langer kan verwerken en vervolgens onbereikbaar wordt voor legitieme gebruikers. Dergelijke aanvallen hebben vaak als doel servers en kunnen zowel lokaal als via het internet gebeuren. Bij dit laatste gaat men ook veelal gebruik maken van een DDOS attack of Distributed Denial of Service attack. Hierbij worden verschillende machines ingeschakeld om één specifiek doel onbereikbaar te maken. 31

32 3.4 Conclusie Persoonlijk denk ik dat het grootste probleem qua beveiliging van het netwerk ligt bij de fysieke laag en de datalinklaag. Een leerling moet namelijk geen of weinig kennis hebben om een kabel te verwijderen of de stroomvoorziening te onderbreken. Hoewel ik begrip kan tonen voor het feit dat niet alle switches in een kast opgeborgen zitten, dan nog is het niet correct om ze op een tafel of vensterbank te plaatsen in het bereik van leerlingen. De les Saboteren is erg aanlokkelijk, maar kan ook grote gevolgen hebben op gebied van operationaliteit van het netwerk. Ik kan concluderen dat slechts één lokaal volledig in orde was. Dit computerlokaal werd dan ook gerenoveerd met oog op dergelijke potentiele risico s en kan als maatstaf dienen voor andere lokalen. Op de tweede laag vinden we switches terug die eenvoudig vanop afstand kunnen worden overbelast en geen extra beveiligingsfuncties bevatten. Deze zouden stelselmatig moeten worden vervangen door managed layer 2 switches. De investering in dergelijke switches zou naast een betere beveiliging ook bijdragen tot een betere opdeling van het netwerk aan de hand van VLANs. Er moet echter tijdens de installatie rekening gehouden worden met het correct configureren van deze apparatuur met het oog op netwerkbeveiliging. 32

33 4 Wachtwoorden Wachtwoorden blijven een hekel punt op gebied van computerbeveiliging. Het is het enige stukje informatie dat de netwerkbeheerder niet zelf in handen heeft. Vaak hangt er een bezorgde sfeer betreffende de omgang van gebruikers met hun wachtwoorden. Hoewel netwerkbeheerders er vaak op hameren dat gebruikers een sterk wachtwoord moeten kiezen, slaan eindgebruikers nog steeds te vaak de weg in van eenvoudig. In dit hoofdstuk bespreek ik, aan de hand van de resultaten van een enquête, hoe leerkrachten en het personeel van de Grenslandscholen omgaan met hun wachtwoorden. Daarnaast geef ik tips en richtlijnen mee over hoe gebruikers betere wachtwoorden kunnen kiezen en hoe de systeembeheerder hierbij kan helpen. 4.1 Hoe bewust gaat het personeel om met wachtwoorden? Om een klare kijk te krijgen op de huidige situatie heb ik een enquête opgesteld voor alle personeelsleden van de school. Via deze bevraging wou ik te weten komen hoe elk individueel persoon omgaat met hun wachtwoorden. Hoewel via dergelijk systeem niet iedereen bereikt wordt, draagt het toch bij om een globaal beeld te verkrijgen. De enquête werd opgesteld in samenspraak met mijn stagebegeleider die, in het geval van de Grenslandscholen, ook systeembeheerder is. De bevraging werd vrijwillig aangeboden gedurende een tijdspanne van één maand. Er namen 50 mensen deel aan de enquête. In dit hoofdstuk schets ik het globale beeld van de omgang met wachtwoorden door de personeelsleden aan de hand van de opgedane data. De volledige resultaten kunt u inkijken in bijlage Repetitieve wachtwoorden Een vaak voorkomend probleem met gebruikers en wachtwoorden is dat men voor verschillende toepassingen hetzelfde wachtwoord gaat gebruiken. Het is namelijk eenvoudiger voor gebruikers om slechts één wachtwoord te onthouden in plaats van verschillende. Ergens is dit gedrag te begrijpen. Tegenwoordig heb je voor elke website of applicatie wel een wachtwoord nodig. Daarnaast komen nog eens de pincodes voor de kredietkaart, garagepoort, alarmcentrale, Als we de resultaten bekijken van de enquête kunnen we ditzelfde gedrag vaststellen. Gelukkig gebruikt een groot gedeelte van de personen die kiest voor een repetitief wachtwoord een ander wachtwoord voor de werksituatie en de privésituatie. Het risico van dergelijk gedrag is dat, als iemand het wachtwoord ontdekt, hij of zij meteen toegang krijgt tot andere toepassingen. Het is namelijk algemeen geweten dat veel personen repetitieve wachtwoorden gebruiken. In een schoolomgeving kan dit voor vervelende situaties zorgen. Indien bijvoorbeeld het wachtwoord van de leerkracht ontdekt wordt, kan een leerling toegang verkrijgen tot privé informatie. Een scheiding van wachtwoorden voor de werksituatie is dan ook aan te raden. Een extra bewustmaking zou hier aan te raden zijn. 33

34 Grafiek 1 In welke mate gebruikt u andere wachtwoorden voor werk en privé toepassingen 38% 41% Ik gebruik voor elke toepassing hetzelfde wachtwoord waar mogelijk Ik gebruik voor elke toepassing een uniek wachtwoord 21% Ik gebruik hetzelfde paswoord weliswaar verschillend in privé en werktoepassingen Het neerschrijven van wachtwoorden Om het gebruik van repetitieve wachtwoorden tegen te gaan, kiezen systeembeheerders er vaak voor om zelf een wachtwoord op te leggen. Deze manier van werken zorgt ervoor dat er terug volledige controle is over de sterkte en kwaliteit van de wachtwoorden. Een nadeel van bovenstaande methode is dat, als wachtwoorden willekeurig en complex zijn, gebruikers deze moeilijk gaan onthouden. Het is dan ook een logisch gevolg dat verschillende gebruikers hun wachtwoord gaan noteren op papier. Indien dit document verloren gaat, is het wachtwoord niet langer veilig. Het neerschrijven van wachtwoorden gebeurt niet alleen bij opgelegde wachtwoorden. Al te vaak schrijven mensen hun private wachtwoorden ergens neer, bijvoorbeeld in een agenda. Toch zal dit minder vaak gebeuren, omdat gebruikers wachtwoorden kiezen die ze zelf goed kunnen onthouden. Men verwerkt bijvoorbeeld persoonlijke informatie in het wachtwoord of men kiest een eenvoudig wachtwoord. Dit sluit aan bij de resultaten van de enquête. Grafiek 2 Schrijft u wachtwoorden ergens neer? 2% 21% Ja, allemaal Ja, als ik ze niet vaak nodig heb Neen 77% 34

35 4.1.3 Persoonlijke informatie in wachtwoorden Gebruikers verwerken vaak persoonlijke informatie in hun wachtwoorden. Het zijn gegevens die men eenvoudig onthoudt en die vaak uniek zijn per persoon. Toch kan het gebruik van persoonlijke informatie voor een potentiele zwakheid zorgen in een wachtwoord. Hoewel persoonlijke informatie zoals een datum, persoon, huisdier meestal uniek is, mag men er tegenwoordig niet langer vanuit gaan dat deze informatie niet publiek is. Met de opkomst van verschillende sociale media en de controverse die ontstaat rondom de zwakke beveiliging van profielpagina s zijn dergelijke gegevens niet langer veilig. Een wachtwoord bestaande uit de naam van de partner gecombineerd met de datum van huwelijk kan vrij eenvoudig worden achterhaald met dergelijke bronnen. Ook in een schoolomgeving zoeken leerlingen soms contact met leerkrachten via sociale media. Het gebruik van dergelijke gegevens in wachtwoorden in een specifieke situatie, zoals een schoolomgeving, is dan ook af te raden. De resultaten van de enquête geven aan dat een meerderheid van de ondervraagden geen persoonlijke informatie gebruikt, hoewel een nog groter gedeelte dit wel of af en toe doet. Grafiek 3 Indien u een wachtwoord samenstelt, zit hier dan persoonlijke informatie in verwerkt? Dit kan een geboortedatum zijn, naam van een persoon, naam van een huisdier, enz. 38% 34% Ja Af en toe Neen 28% 35

36 4.1.4 Shoulder surfing Shoulder surfing is een techniek waarbij personen het wachtwoord ontfutselen van gebruikers door mee te kijken op het klavier terwijl een gebruiker het wachtwoord intypt. Het is één van de eenvoudigste methodes om een wachtwoord te achterhalen. Een getraind oog in combinatie met onoplettendheid kan al voldoende zijn. Zeker in een schoolomgeving komt het vaak voor dat een leerkracht zijn of haar wachtwoord moet intypen voor het oog van een klasgroep. Gelukkig zijn de meeste personen zich hiervan bewust en schermt men telkens het toetsenbord af in nabijheid van leerlingen. Toch is er bijna een derde die hier geen extra aandacht aan besteedt. Grafiek 4 Schermt u bij het intypen van een wachtwoord op school het toetsenbord af in bijzijn van leerlingen? 36% Ja Neen 64% Social Engineering Een andere vaak onderschatte techniek is social engineering. Hierbij worden gebruikers door personen gemanipuleerd om bijvoorbeeld een wachtwoord kenbaar te maken. Dit kan eenvoudigweg worden verkregen door rechtstreeks een vraag te stellen, maar het kan ook veel verder gaan. Een actueel verschijnsel van social engineering is Phishing. Hierbij wordt meestal via een valse contact gezocht met een gebruiker. In de wordt dan op een professionele manier duidelijk gemaakt dat er bijvoorbeeld een probleem is met zijn of haar wachtwoord en dat dit moet vernieuwd worden. De gebruiker dient een nieuw wachtwoord terug te mailen of er wordt gevraagd via een website een nieuw wachtwoord te kiezen. Dergelijke aanvallen worden steeds vaker gebruikt omdat er altijd wel iemand toehapt. Ze maken vaak misbruik van het vertrouwen van de gebruikers om informatie los te krijgen. Ook in een schoolomgeving moet men zich bewust zijn van dergelijke risico s. Enkel bewustmaking kan hier oplossing bieden. Hoewel de meeste personen op de hoogte zijn van deze risico s ontdekte ik toch dat er verschillende deelnemers waren die te nonchalant omgaan met hun wachtwoorden. 36

37 Grafiek 5 Hebt u ooit al een wachtwoord voor een werktoepassing doorgegeven aan een collega? 9% Ja 70% 21% Ja, indien het om een collega gaat die ik vertrouw Neen Grafiek 6 Vult u soms uw wachtwoord in op onbekende sites of indien u daar via mail wordt om gevraagd? 2% 19% Ja Af en toe Neen 79% Conclusie resultaten enquête De resultaten van de enquête bevestigen de verwachtingen die mijn stagebegeleider had over de omgang met wachtwoorden. Een vrij grote groep is zich bewust van de risico s en springt relatief zorgzaam om met hun wachtwoorden. Toch is er nog ruimte voor verbetering. We kunnen stellen dat nog steeds één vierde van de personeelsleden te veel risico s neemt. Een extra bewustmaking voor die specifieke mensen is dan ook nodig. Als conclusie kan ik meegeven dat de toestand voldoet aan het globale beeld die de systeembeheerder had. Er zijn reeds inspanningen geleverd om gebruikers bewust te maken van de risico s. Toch blijft er een kleine groep over waarvoor extra inspanningen moeten worden geleverd. Het is en blijft een thema waar men moet blijven aan werken. 37

38 4.2 Tips en richtlijnen betreffende wachtwoorden Het kiezen van een goed wachtwoord kan voor de eindgebruiker soms lastig zijn. Hoewel tegenwoordig bijna elke applicatie wat helpt bij deze keuze, kunnen nog steeds te eenvoudige wachtwoorden worden gekozen. Sommige gebruikers zullen weinig waarde hechten aan het kiezen van een goed wachtwoord en anderen zullen dit spontaan wel doen. Het aansporen van de eindgebruiker kan gebeuren via twee methodes. Enerzijds kan de applicatie of website directe feedback geven aan de gebruiker tijdens het kiezen van een wachtwoord. Dit vertaalt zich dan in een stukje code die verifieert of het ingetypte wachtwoord voldoet aan enkele vooropgestelde eisen. Aan de hand daarvan krijgt de gebruiker te zien of zijn gekozen wachtwoord zwak, middelmatig of sterk is. Figuur 18 Voorbeeld wachtwoord keuzehulp Anderzijds kan de gebruiker worden bijgeschoold door de eigenaar van de webpagina of de systeembeheerder. Hierdoor worden gebruikers bewust gemaakt van de gevaren en worden er tips gegeven om goede wachtwoorden te kiezen Lengte en variatie in karakters Een wachtwoord dat voldoende lang is en een grote variatie in karakters heeft, is veiliger dan een wachtwoord zonder die variatie. Dit is waarschijnlijk het meest gebruikte voorbeeld als men hulp aanbiedt bij het kiezen van een wachtwoord. Tot op heden wordt een wachtwoord met een lengte van minimum acht karakters gezien als veilig, hoewel dit geen maatstaf mag zijn. Een korter gevarieerd wachtwoord kan immers even sterk of sterker zijn dan een ongevarieerd acht karakter tellend wachtwoord. We kunnen echter wel stellen dat hoe langer het wachtwoord, hoe langer het potentieel duurt vooraleer dat wachtwoord gekraakt wordt. Maar zoals reeds aangegeven weegt de variatie in karakters meestal zwaarder door. De variatie in karakters kan worden bekomen door verschillende technieken toe te passen. Kleine letters vervangen door hoofdletters Gebruik maken van cijfers Gebruik maken van speciale tekens # $ % ^ & * ( ) 38

39 4.2.2 Vermijden van betekenisvolle begrippen Betekenisvolle begrippen zijn woorden, woordcombinaties of namen die in de dagdagelijkse taal worden gebruikt. Niet alleen zijn ze eenvoudig te kraken via specifieke software, maar ze zijn eenvoudig te raden en af te lezen tijdens het intypen op een toetsenbord. Dit laatste heeft de eindgebruiker min of meer zelf in de hand. Als hij of zij snel genoeg typt of zijn toetsenbord afschermt, dan wordt het aflezen al vermeden. Het kraken en raden vormt een iets groter probleem. Indien een andere persoon het wachtwoord wil gaan raden, zal deze op zoek gaan naar entiteiten die gerelateerd zijn met zijn doelwitgebruiker. Dit gaat dan over informatie zoals de naam van de partner, huisdier, nummerplaat en dergelijke. Daarnaast kunnen het ook woorden zijn die in de dagdagelijkse taal voorkomen zoals een functie in een bedrijf of een beoefende sport. Door gebruik te maken van software kunnen betekenisvolle begrippen eenvoudig worden geraden. Het wachtwoord wordt hierbij vergeleken met specifieke woordenboeklijsten om zo het wachtwoord te raden. Hoewel dergelijke begrippen best worden vermeden, zorgen ze voor wachtwoorden die eenvoudig kunnen worden onthouden door de gebruiker. Indien men toch dergelijk wachtwoord wenst te gebruiken, is alweer de variatie van karakters een onmisbare toevoeging. Bijvoorbeeld, Betekenisvol begrip als wachtwoord: wielrennen Wi3!RenN3n Hierbij wordt gebruik gemaakt van zowel hoofdletters, cijfers als speciale tekens. Ook de minimale lengte van acht karakters wordt bereikt. Toch dient erop gewezen te worden dat er vaak door kraaksoftware rekening wordt gehouden met deze technieken. Aan de andere kant zal de toevoeging van deze variatie de tijd die nodig is om het wachtwoord te vinden aanzienlijk verhogen Gebruik van een acroniem Een andere methode om een goed wachtwoord te verkrijgen, is gebruik maken van een acroniem. In plaats van een woord of een afgeleide te gebruiken als wachtwoord maakt men gebruik van een zin. Deze zin kan verschillende persoonlijke termen bevatten. Een zin zal eenvoudiger te memoriseren zijn dan een complex woord. Bijvoorbeeld, Twee dagen zon zee in Frankrijk 1986! 2dazozeinFr1986! Zoals in het voorbeeld aangegeven, wordt vervolgens de eerste letter of letters gebruikt van elk woord om een wachtwoord te vormen. Het wachtwoord bevat alle benodigdheden en heeft een goede lengte. De zin is eenvoudig te onthouden en toch is het wachtwoord complex voor een externe persoon. 39

40 4.2.4 Vermijden van repetitieve wachtwoorden Zoals ook uit de enquête bleek, is het niet ongewoon dat mensen wachtwoorden gebruiken voor meerdere applicaties en websites. Aangezien je tegenwoordig voor relatief veel websites een account dient aan te maken, heeft het onthouden van één wachtwoord zo zijn voordelen. Je zou kunnen stellen dat, indien enkel het wachtwoord sterk genoeg is, je in principe deze techniek probleemloos zou kunnen toepassen. Gebruikers moeten er echter rekening mee houden, indien ze dit wachtwoord kwijtspelen, de krakers meteen toegang hebben tot een heleboel accounts. Dit kan worden vermeden door voor elke toepassing een ander wachtwoord te kiezen. Maar zoals reeds aangegeven, zullen gebruikers dan te veel verschillende wachtwoorden moeten onthouden. Hierdoor zullen ze vaak terug grijpen naar een reeds gebruikt paswoord. Er zijn twee methodes die kunnen helpen om het gebruik van repetitieve wachtwoorden te verminderen of te vermijden. De combinatie van beide methodes is natuurlijk nog beter. Bij de eerste methode kan de gebruiker wachtwoorden gaan categoriseren. Hierbij maakt men een opdeling van de verschillende websites en applicaties waarover de gebruiker een account beschikt. Men maakt bijvoorbeeld een indeling volgens belangrijkheid van een account. Tabel 2 Voorbeeld categoriseren van wachtwoorden Belangrijk Matig Onbelangrijk Website Forum A Website krant Sociale media Website Kledingwinkel Website Forum B Eenmaal de indeling opgemaakt is, kan men verschillende wachtwoorden gaan kiezen voor de verschillende categorieën. Meestal zal men voor de belangrijkere toepassingen een zeer moeilijk wachtwoord kiezen en zo aflopend de moeilijkheidsgraad verlichten. Een andere methode maakt gebruik van de naam van de toepassing waarvoor het wachtwoord moet gekozen worden. De gebruiker kiest een goed wachtwoord en plaatst hierin bijvoorbeeld de eerste vijf letters van de applicatie. Op deze manier ontstaan unieke wachtwoorden per toepassing en dient men toch een beperkt aantal wachtwoorden te onthouden. Bijvoorbeeld: Wi3!RenN3n Wi3!f@ceRenN3n 4.3 Conclusie De resultaten van de enquête lagen binnen de verwachtingen. Een relatief grote groep gaat bewust om met zijn of haar wachtwoorden. Toch kunnen we vaststellen dat er een kleine groep is die nog extra bewustmaking nodig heeft. Ook voor de totale groep is het blijven bewustmaken belangrijk. Dit heb ik dan ook gedaan via een presentatie tijdens mijn stageperiode. De PowerPoint die gebruikt werd tijdens deze presentatie kunt u inkijken in bijlage 3. Als tips kan worden meegegeven dat wachtwoorden voldoende lang moeten zijn, hoofdletters en kleine letters moeten bevatten. Ook cijfers en speciale tekens zijn aangeraden. Karakters in een woord kunnen worden vervangen door andere tekens. Een wachtwoord kan ook worden opgebouwd via een acroniem en worden ingedeeld in verschillende categorieën. De keuze van een goed wachtwoord en de goede omgang met dat wachtwoord maakt een groot deel uit van de algemene beveiliging. 40

41 5 Rechten als leerling Mijn stageproject is opgebouwd aan de hand van enkele onderzoeksvragen. Ook in dit hoofdstuk bespreek ik enkele van deze vragen. Specifiek bekijk ik in dit gedeelte alles betreffende computerrechten die leerlingen hebben op machines van de school, hoe een leerling bijvoorbeeld extra software kan installeren en hoe hij lokale administrator kan worden op een machine. Daarnaast maak ik een zijsprong betreffende het ontoegankelijk maken van websites voor leerlingen en hoe men deze restrictie kan omzeilen. Als laatste behandel ik in welke mate het mogelijk is voor een leerling om toegang te krijgen tot documenten van leerkrachten op de server van de school. 5.1 Huidige situatie betreffende computerrechten van leerlingen Algemene informatie Alle leerlingen maken gebruik van eenzelfde gedeelde account. De keuze om dit te doen ligt bij het feit dat het leerlingenbestand relatief vaak wijzigt. Qua beheerbaarheid en instellingen is er dus minder werk om alles in orde te houden. Alle leerlingen beschikken wel over een eigen account op het online leerplatform. De account van de leerlingen is een gewone gebruikersaccount zonder enige administratorrechten. Men is dus een gewone Windows gebruiker en kan hierdoor weinig tot niets gaan instellen in bijvoorbeeld het configuratiescherm. Ook de installatie van software is niet mogelijk door de beperkte rechten. De account wordt daarnaast ook nog eens ondersteund door verschillende group policy objecten. Deze zorgen er bijvoorbeeld voor dat leerlingen via een proxy-server surfen. Een overzicht van de GPO s die invloed hebben op de leerling account vindt u terug in bijlage 4. Persoonlijk vind ik dat het qua rechten wel goed zit. Leerlingen kunnen weinig tot geen zaken uitvoeren waartoe men niet bevoegd is. Het feit dat de leerling account gedeeld wordt tussen alle leerlingen is op zich niet slecht, echter kan men geen beroep doen op een inlogdatabase om bijvoorbeeld wireless authenticatie te voorzien. Met andere woorden, uit een security standpunt is deze keuze te verantwoorden, maar het is niet altijd even praktisch. Een leerling kan bijvoorbeeld bestanden wissen van een andere leerling Downloaden van installatiebestanden verhinderen Vroeger gebeurde het vaak dat leerlingen tijdens de lessen installatiebestanden van een spelletje of applicatie downloadden. Vaak ging het om software die kan worden geïnstalleerd in de lokale mappen van de gebruiker. Om dit te vermijden wordt tegenwoordig het downloaden van.exe bestanden geblokkeerd. Dit wordt bekomen door een proxy-server met filter te gebruiken waarlangs alle leerlingen surfen. Telkens een leerling een bestand met de.exe extensie probeert te downloaden, wordt dit verhinderd en gelogd. Ook.zip en.rar bestanden worden op deze manier tegengehouden. Natuurlijk kan dit vrij eenvoudig worden omzeild door het installatiebestand op USB-stick mee te brengen van thuis. Toch zorgt deze kleine drempel er al voor dat leerlingen het al opgeven. 41

42 5.1.3 Bezoeken van bepaalde websites verhinderen Het surfgedrag van de leerlingen wordt via twee methodes beperkt. Enerzijds via het OpenDNS systeem. Hierbij worden websites geblokkeerd op basis van inhoud en categorie. Anderzijds wordt via de proxy-server en proxy-filter het surfgedrag van de leerlingen bijgehouden en wordt er verhinderd dat leerlingen bepaalde bestanden, zoals.exe bestanden, kunnen downloaden. 5.2 Software installeren als leerling Hoewel het standaard niet mogelijk is, zijn er toch methodes om als leerling software te installeren op een lokale machine. Enkele methodes worden toegelicht en vanuit de besproken manieren kunnen dan tegenmaatregelen worden getroffen. Het feit dat ik hier een werkende methode aantoon bewijst dat leerlingen zonder al te veel kennis weldegelijk in staat zijn om de beperking te omzeilen. Alle testen werden uitgevoerd op een standaard installatie Windows 7 64bit, met de domain account voor leerlingen Installatie van software in de lokale mappen Een eerste geval van software installatie benut geen zwakheid of omzeiling van de rechten. Sommige software beïnvloeden geen systeeminstellingen. Er zijn dus geen administratorrechten nodig om de installatie uit te voeren. De applicatie wordt in dit geval geïnstalleerd en uitgevoerd in de lokale mappen van de gebruiker. Natuurlijk kan een leerling ook portable applicaties op een USB-stick meenemen van thuis Installatie van software via de lokale gebruiker Het overnemen van een lokale gebruiker om software te installeren is de meest efficiënte stap om de beperkte rechten als leerling te omzeilen. Daarnaast kan men ook ongemerkt surfen of andere zaken uitvoeren. Een lokale account op een computer is bijna altijd beveiligd met een wachtwoord. Om het wachtwoord van een lokale gebruiker te ontfutselen kan men op verschillende manieren te werk gaan. Zo kan men via brute force het wachtwoord zien te weten te komen, via regenboogtabellen het wachtwoord achterhalen of simpelweg het wachtwoord verwijderen of vervangen. De twee laatste methodes heb ik getest. Voor de aanval met regenboogtabellen heb ik gebruik gemaakt van Ophcrack 1. Deze tabellen zijn vooraf geprogrammeerd met mogelijke wachtwoorden en hun overeenstemmende hashes. De software werd geïnstalleerd als een opstartbare live CD. Na het opstarten zag ik meteen welke lokale accounts er bestonden en probeerde de software de wachtwoorden te achterhalen door de aanwezig NTLMV2 hashes te vergelijken. Dit type hash wordt verkregen door het toepassen van het MD4 algoritme op het plain text wachtwoord. 1 Is een gratis wachtwoord cracking tool gebaseerd op regenboogtabellen. 42

43 Figuur 19 Voorbeeld opbouw Regenboogtabel Na een relatief lange tijd wachten was er eindelijk resultaat. Het ingestelde wachtwoord werd gevonden en ik kon inloggen als lokale gebruiker. De lange duurtijd van dit proces maakt dat het niet al te praktisch is voor een leerling om deze methode te gebruiken. Toch is het geen slechte methode aangezien er geen sporen worden achtergelaten. Het wachtwoord wordt immers niet gewijzigd. Figuur 20 Aanval lokale wachtwoorden via Ophcrack 43

44 De tweede methode is drastischer, maar ook veel sneller toe te passen. Opnieuw werkt het via een opstartbare CD met daarop een op Linux gebaseerd besturingssysteem. Het wijzigen of verwijderen van een wachtwoord in Linux is een koud kunstje. Via Google vind je in enkele seconden verschillende tutorials over hoe je dit moet aanpakken. Het volledige proces berust op het aanpassen van de SAM-file. De SAM-file omvat de hashes van wachtwoorden die toegang bieden tot de account van een lokale gebruiker. Het bestand is niet toegankelijk wanneer het besturingssysteem opgestart is. Daarom is het nodig om via een opstartbare Linux CD toegang te krijgen tot dit bestand. De SAM-file is een versleuteld bestand. De versleuteling gebeurt via de Syskey utility. Deze tool werd geïntroduceerd in Windows NT 4.0 SP3 en versleutelt de SAM-file via een 128-bit encryptie sleutel. Na opstarten vanaf een Linux Rescue CD dient de partitie waarop Windows geïnstalleerd staat gemount te worden. Daarna wordt genavigeerd naar het SAM-bestand. Figuur 21 Lokaliseren SAM bestand Vervolgens wordt de SAM-file uitgelezen via het chntpw commando. Daarna kan een gebruiker worden gekozen en kan via een soort command-line wizard het wachtwoord van de gekozen gebruiker worden gemanipuleerd. Commando SAM-file uitlezen ( -l tonen aanwezige gebruikers): chntpw l SAM Commando Manipulatie gebruiker ( -u gebruiker opgeven): chntpw u Administrator SAM 44

45 Figuur 22 Afbeelden lokale gebruikers uit SAM bestand Figuur 23 Instellen nieuw wachtwoord via manipulatie van het SAM bestand 45

46 5.2.3 Tegenmaatregelen Het verhinderen van dergelijke praktijken is nooit geheel onmogelijk. Toch kunnen er maatregelen worden getroffen om het proces te vermoeilijken. Een eerste drempel kan voor leerlingen soms al fataal zijn. Het instellen van een sterk BIOS wachtwoord kan verhinderen dat men de opstartvolgorde van apparaten wijzigt en zo niet in staat is om een CD op te starten. Hierbij zijn er twee problemen. Enerzijds zijn er altijd toestellen waarbij men geen toegang moet krijgen tot het BIOS om een ander opstartapparaat te kiezen. Anderzijds kan het BIOS wachtwoord gereset worden door de CMOS batterij enkele seconden uit het moederbord te verwijderen. Een andere maatregel is vrij logisch, maar wordt toch vaak genegeerd. Het kiezen van een sterk wachtwoord verhindert niet dat het wachtwoord kan worden gewist of gewijzigd, maar bij een Brute Force of regenboogtabel aanval zorgt het voor een langere duurtijd van het kraakproces. Een lang, niet-betekenisvol wachtwoord met voldoende variatie in karakters en speciale tekens is altijd aan te raden. Zoals reeds vermeld worden wachtwoorden onthouden als een hash. Hierbij maakt men gebruik van verschillende versies. Sinds Windows Vista maakt men standaard gebruik van NTLMv2 hashes. Hoewel deze niet feilloos zijn, zijn ze toch sterker dan de LM hashes die gebruik maken van het DES hashing algoritme bij oudere Windows besturingssystemen. Het oudste besturingssysteem dat gebruikt wordt in de Grenslandscholen is Windows XP. Dit besturingssysteem ondersteund ook NTLMv2 hashes, alleen is dit niet zo standaard ingesteld. Door het aanpassen van enkele registerwaardes kan dit worden gewijzigd. HKLM\System\CurrentControlSet\Control\LSA Een nieuw Dword met de naam NoLMHash en als waarde 1 Nadat bovenstaande waarde is gewijzigd, dient de computer heropgestart te worden en moeten wachtwoorden van lokale gebruikers gewijzigd worden. Daarnaast kan LM authenticatie over het netwerk uitgeschakeld worden, opnieuw door een registerwaarde aan te passen. HKLM\CurrentControlSet\Control\LSA De sleutel LMCompatibiltyLevel met waarde 3 voor clients, en waarde 5 voor servers Meer informatie omtrent de betekenis van de verschillende cijfervormige waardes van deze registerinstellingen vindt u terug in bijlage 5. 46

47 5.3 Niet toegelaten websites bereiken Tegenwoordig komt het bij elk studievak wel eens voor dat er computerlessen moeten worden ingevoegd tijdens het trimester. Tijdens deze lessen gebeurt het wel eens dat de aandacht van een leerling verloren gaat. Men surft dan snel even naar websites die allerminst met het desbetreffende studievak te maken heeft. Ook tijdens de pauzes zullen leerlingen wel eens surfen naar verschillende social media websites of naar websites die spelletjes aanbieden. Om dit misbruik te vermijden legt de school restricties op voor bepaalde categorieën van websites. In de Grenslandscholen maakt men gebruik van de OpenDNS Service om deze beperkingen te regelen. Figuur 24 Logo OpenDNS Werking van OpenDns Het Domain Name System is een systeem waarbij moeilijk memoriseerbare IP-adressen worden vertaald naar eenvoudige namen van computers via het DNS protocol en omgekeerd. Het meest eenvoudige voorbeeld van deze technologie is de vertaling van een domeinnaam naar het desbetreffende IP-adres bij het surfen naar een website. Bijvoorbeeld: De omzetting of query gebeurt via een DNS-Server. Kort gezegd beschikt een DNS-server over de informatie die nodig is om een domeinnaam om te zetten naar het overeenstemmende IP-adres. Deze technologie zorgt ervoor dat gebruikers geen moeilijke cijfercombinaties moeten onthouden, maar gewoon een website kunnen intypen. OpenDNS biedt dergelijke service aan met extra functionaliteiten zoals website restricties, antiphishing, Het blokkeren van bepaalde domeinen via OpenDNS is een functie die in de Grenslandscholen wordt gebruikt om ervoor te zorgen dat bepaalde websites voor leerlingen niet bereikbaar zijn. Via de Domain-blocking functie zijn netwerkbeheerders in staat om aan de hand van verschillende categorieën websites te blokkeren of toe te laten. De lijsten achter deze categorieën worden dagelijks bijgewerkt door een brede community. De werking van OpenDNS wordt via onderstaande afbeelding toegelicht. 47

48 Figuur 25 Conceptuele werking OpenDNS Een computer in het netwerk van de Grenslandscholen wil surfen naar de geblokkeerde website Zoals reeds uitgelegd gaat de browser een query versturen met de vraag om deze domeinnaam te vertalen naar het overeenstemmende IP-adres. Als de DNS-server van OpenDNS deze query ontvangt, controleert men het IP-adres van herkomst. In hun databank staat dat het IP-adres gekoppeld is aan een account van de Grenslandscholen. Doordat de beheerder de website geblokkeerd heeft, stuurt de OpenDNS-server een IP-adres terug naar de gebruiker in de school dat verwijst naar een standaard foutpagina met wat extra uitleg OpenDNS omzeilen in de Grenslandscholen Een eerste manier om de website restricties te omzeilen is door niet gebruik te maken van de DNS technologie. Een leerling kan bijvoorbeeld thuis de IP-adressen van zijn favoriete website opzoeken en noteren. Eenmaal op school typt de leerling een IP-adres in en komt men toch op de website terecht. Door deze methode te gebruiken wordt de domeinnaam namelijk niet vertaald, maar wordt er rechtstreeks naar de website gesurft. Een tweede methode werkt via een portable browser op een USB-stick en een proxy-server. Hierbij zou een leerling een browser kunnen installeren op een USB-stick waarvan hij dan gebruik maakt op school. Het voordeel van een dergelijke mobiele browser is dat alle instellingen volledig kunnen worden aangepast door de gebruiker. Browserinstellingen worden namelijk vaak beheerd door de administrator in een groot computernetwerk. Zo worden de proxy-instellingen op alle browsers in de Grenslandscholen beheerd door de systeembeheerder. Een proxy-server is een externe computer waarlangs alle datatrafiek passeert. Ook alle DNS-query s verlopen via een deze externe servers. Door in een browser een proxy-server in te stellen kunnen alle geblokkeerde websites terug bereikbaar worden gemaakt. Er wordt namelijk niet gebruik gemaakt van de DNS-servers van OpenDns, maar van de DNS-servers van de proxy-server. 48

49 In principe bestaan er ook proxy-websites die kunnen worden gebruikt om het OpenDns systeem te omzeilen. In plaats van een proxy-server in te stellen in de browser verloopt alles rechtstreeks via een proxy-website. Helaas worden alle proxy-websites geblokkeerd waardoor dit laatste niet mogelijk is. Indien er een proxy-website wordt gevonden die niet geblokkeerd wordt, zou deze techniek dus ook werken. Dit laatste was het geval bij Google Translate. Via deze online tool is de gebruiker in staat om webpagina s en teksten te vertalen. Door websites te vertalen wordt de Google Translate server eigenlijk misbruikt als proxy-server om toch toegang te krijgen tot bepaalde websites, hoewel deze niet als proxy-website gecategoriseerd staat bij OpenDNS. Een laatste techniek is het instellen van een VPN-verbinding op de client computer. Bij een VPNverbinding wordt een veilige tunnel opgebouwd voor datacommunicatie tussen twee computers. Door een VPN in te stellen naar bijvoorbeeld thuis of een andere locatie zullen ook alle DNS-query s via de VPN verlopen en afgehandeld worden door de ingestelde DNS-servers aan de andere kant van de VPN-tunnel. 5.4 Toegang krijgen tot documenten op de server Als leerling wordt standaard een gedeelde map van op de server gemount bij het inloggen op een computer in het domein. Hierin staan verschillende bestanden waartoe de leerlingen toegang moeten hebben om de lessen bij te wonen. Uiteraard staan er ook nog andere mappen en documenten op de server. De toegang wordt standaard ontzegd dankzij goede rechtsinstellingen op de server. Toch had mijn stagebegeleider graag gezien hoe het mogelijk is om ondanks de beperkte rechten toegang te krijgen tot deze documenten Gebruik maken van de account van de leerkrachten Aangezien je als leerling bijna geen rechten hebt, zullen de meeste leerlingen waarschijnlijk op zoek gaan naar een account die wat meer ruimte biedt. Enerzijds heb je deze van de leerkrachten en anderzijds die van de lokale gebruikers. De account van de leerkrachten is, net zoals deze van de leerlingen, een gedeelde account voor alle leerkrachten op school. Het wachtwoord is dan ook bekend onder alle collega s. Het is echter al enkele keren voorgekomen dat het wachtwoord werd gelekt en leerlingen inlogden onder de account van de leerkracht. Ook tijdens mijn stageperiode werd in de studiezaal een blaadje gevonden op één van de banken met daarop de gegevens van de leerkracht. Hoewel het administratief eenvoudiger is om een gedeelde account te voorzien, brengt het ook risico s mee, waaronder het lekken van het paswoord. Eenmaal het vermoeden bestaat dat dit wachtwoord de ronde doet onder leerlingen kan deze niet langer als veilig worden beschouwd. Er worden tegenwoordig gelukkig geen examenvragen of rapporten meer geplaatst in deze gedeelde mappen. Toch kan een leerling misschien nuttige informatie vinden wat natuurlijk niet wenselijk is. Punten en examenvragen worden op het digitale schoolplatform Smartschool geplaatst. Het lekken van het wachtwoord van de leerkracht kan nooit helemaal worden vermeden. Toch zou het geven van een aparte account aan elke leerkracht er misschien voor zorgen dat er zorgzamer wordt omgesprongen met het paswoord van een account met lokale administratorrechten. De reden waarom men dit tot op heden niet doet ligt in het feit dat leerkrachten vaak gebruik maken van dezelfde wachtwoorden op verschillende accounts. Indien men hetzelfde paswoord kiest als op het digitale schoolplatform en dat wachtwoord wordt gelekt dan zou dit voor heel wat problemen kunnen zorgen. 49

50 5.4.2 Domein administrator worden, toegang tot alles De administrator van een domein kan alles beheren en instellen. Naast de rechtstreekse toegang tot de server kan men toegang krijgen tot accounts, documenten, software en instellingen. Er moet dus met een zekere zorg worden omgesprongen met de account van de domein administrator. Het verkrijgen van een dergelijk type account is eenvoudiger dan initieel gedacht. Het proces staat uitgebreid beschreven op verschillende websites, die met enkele simpele zoektermen kunnen worden terug gevonden. Omdat een leerling erg beperkte rechten heeft, zal men beroep moeten doen op de account van de leerkrachten of een lokale gebruikersaccount van een computer. Dit laatste werd reeds toegelicht in hoofdstuk 5.1. Het verkrijgen van een domein administrator account gebeurt via een script en een portie geduld. Het script bevat twee regels. net user /domain /add leerlingda wachtwoord net group /domain "Domain Admins" /add leerlingda De eerste lijn maakt een domain gebruiker aan genaamd leerlingda. Vervolgens wordt deze gebruiker in de groep Domain Admins geplaatst. Deze groep omvat standaard domain administrator accounts. Deze twee regels worden in een.bat bestand geplaatst en vervolgens in een specifieke map op de computer geplaatst. De map Opstarten of in het Engels Startup folder voert in ons geval het script uit bij het inloggen van elke gebruiker. Vervolgens moet een portie geduld worden uitgeoefend. De systeembeheerder moet met de domein account inloggen op de desbetreffende machine om het script succesvol uit te voeren. Het script kan uiteraard worden geplaatst op verschillende machines om het proces wat te versnellen. Figuur 26 Locatie opstart map computer 50

51 Hoewel deze manier misschien wat onhandig lijkt, is het vrij goed doenbaar voor een leerling. Er zijn uiteraard ook nog andere methodes om domein administrator te worden, maar vaak zullen deze te complex zijn om door een leerling uitgevoerd te worden. Om dit te vermijden is het aan te raden om niet met de domein account in te loggen op computers in lokalen. Dit gebeurde tijdens mijn stageperiode vrij frequent om herstellingen uit te voeren of om software te installeren. Het aantonen van de eenvoud van dit proces kwam dus enigszins als een verrassing. Om dergelijk fenomeen te vermijden kan bijvoorbeeld een account worden aangemaakt met minder of geen domeinrechten. Deze kan dan worden gebruikt om herstellingen uit te voeren zonder dat men zich zorgen moet maken over het onbewust aanmaken van een gebruiker. 5.5 Conclusie Op gebied van rechten binnen de computerinfrastructuur zit het wel goed. Leerlingen beschikken over een account die voldoende beperkt is en waarmee weinig tot geen ontoelaatbare zaken kunnen worden uitgevoerd. Toch moet er voldoende aandacht worden besteed aan de overige accounts binnen het domein en ook de lokale accounts mogen niet worden vergeten. Deze lijken, in vergelijking met de account van de leerlingen, minder goed beveiligd en beperkt qua rechten. Het beperkingsmechanisme op vlak van websites dat door de Grenslandscholen gebruikt wordt, werkt goed. Toch is er een mogelijkheid om het OpenDNS systeem te omzeilen. Tegenmaatregelen om dit te verhinderen kunnen slechts beperkt worden ingevoerd. Het verhinderen van VPNverbindingen naar buitenaf is hiervan een voorbeeld. Toegang tot de server wordt in eerste instantie voldoende beperkt. Indien een leerling toegang heeft tot de lokale account of die van de leerkracht, dan kan men toch toegang verkrijgen via het relatief eenvoudige script. Het gebruikte script benut het feit dat de domeinadministrator af en toe wel eens inlogt op een lokale machine. Dit laatste moet dan ook zo veel mogelijk worden vermeden. 51

52 Conclusies Een security audit van een organisatie, of dit nu een school of een bedrijf is, zal telkens verschillend zijn. Elke organisatie is anders opgebouwd of hanteert andere regels en werkmethodes. Deze regels en werkmethodes zorgen voor bedrijfsspecifieke security overwegingen. Uiteraard kan er een globaal beeld worden gevormd van elke organisatie, aangezien men in basis telkens over dezelfde componenten zal beschikken binnen een IT-infrastructuur. Er zal telkens een fysieke hardware infrastructuur aanwezig zijn die bijdraagt tot de opbouw van het lokale netwerk alsook een computer en gebruikersbestand die voor een logische indeling zorgt van de eindgebruikers en de machines waarvan men gebruik maakt. De opgestelde security audit voor de Grenslandscholen behandeld deze beide gedeeltes aan de hand van onderzoeksvragen en is specifiek voor deze school. We kunnen besluiten dat er op gebied van infrastructuurbeveiliging te weinig weerwerk kan worden geboden tegen aanvallen op de operationaliteit van het netwerk en aanvallen op het stelen van gegevens via de fysieke infrastructuur. Specifiek dient men bijzondere aandacht te geven aan de afwerking van de netwerkinfrastructuur in de gebouwen. Al te vaak werd vastgesteld dat eindgebruikers deze apparatuur fysiek konden benaderen, wat bijvoorbeeld kan leiden tot verstoring van de werking van het netwerk. Voor dit laatste dient een leerling niet over technische kennis te beschikken. Bijgevolg kan deze zwakheid in de beveiliging eenvoudig worden benut. Uiteraard zal er een zekere financiële input moeten gebeuren om kritieke verdelingspunten in het netwerk voldoende af te werken en af te schermen voor de eindgebruiker. Ook de netwerkapparatuur vormt een potentieel probleem. In de Grenslandscholen maakt men enkel gebruik van basis unmanaged switches. Dit betekent dat er niets kan worden geconfigureerd, wat er voor zorgt dat dergelijke switches bijzonder gevoelig zijn aan eenvoudig uit te voeren aanvallen. Managed switches kunnen wel worden geconfigureerd om weerwerk te bieden tegen dergelijke aanvallen. De investeringskost die gepaard gaat met het aankopen van managed switches weegt niet op tegen de voordelen op het gebied van beveiliging en de beheerbaarheid en indeling van het netwerk. Aanvallen op de derde laag van het OSI-model kunnen tegenwoordig ook vrij eenvoudig worden uitgevoerd. Via een zoekmachine zijn verschillende tools relatief snel te vinden. De beveiliging van de draadloze infrastructuur in de Grenslandscholen is niet langer geschikt om toekomstgericht mobiele apparaten te voorzien van internettoegang. Het instellen van een WPA(2) wachtwoord op elk individueel access point zorgt voor een niet flexibel draadloos netwerk en voor een ongeorganiseerde authenticatie van apparaten. Er is geen concreet overzicht over wie gebruik maakt van de draadloze infrastructuur of wat men via dit medium bereikt. Het implementeren van een captive portal systeem zou een oplossing kunnen bieden om deze gebreken op te lossen. Gelukkig werden er ook positieve vaststellingen gedaan tijdens deze audit. Zo bleken de instellingen en maatregelen betreffende de rechten van leerlingen in het computernetwerk voldoende goed uitgewerkt. 52

53 De implementatie van OpenDNS om bepaalde websites dynamisch te blokkeren werkt goed, ook al zijn er technieken om dit systeem te omzeilen. Installatie van software als leerling op een lokale machine is moeilijk door de beperkte rechten die de leerlingenaccount heeft. Als men gebruik maakt van een ander account, dan is de installatie van software wel mogelijk. Toegang tot documenten op de server is ook voldoende beperkt. Toch is het aan te raden niet als domein administrator in te loggen op machines die gebruikt worden door leerlingen. Deze kunnen namelijk scripts of applicaties bevatten die het wachtwoord registreren of zaken uitvoeren op de server. Daarnaast is het regelmatig monitoren en controleren van de rechten nodig om te verzekeren dat deze nog correct zijn. Als laatste kan ik gematigd positief zijn over de resultaten van de enquête betreffende de omgang met wachtwoorden van leerkrachten en personeelsleden. Men gaat bewust om met zijn wachtwoorden, maar een blijvende bewustmaking is nodig. Goede wachtwoorden bepalen namelijk in grote mate de beveiliging van verschillende onderdelen in de infrastructuur zowel op hardwareals softwarematig niveau. Ook al is de infrastructuur optimaal beveiligd, toch valt of staat er veel bij de keuze en omgang met wachtwoorden van de eindgebruikers. Een goede opleiding van die eindgebruikers is minstens even belangrijk als de fysieke beveiliging van de infrastructuur. Naast de keuze van een goed wachtwoord moet men ook goed omgaan met dat wachtwoord. De eindgebruikers moeten zich bewust zijn dat wachtwoorden op verschillende manieren kunnen worden ontfutseld. Voorbeelden zijn phishing, social engineering, enz. De blijvende bewustmaking vormt hier een erg belangrijk aspect. De security audit van de PC en netwerkinfrastructuur was een interessant project om tijdens mijn stageperiode uit te voeren. Het testen van de beveiliging in een praktijkomgeving zorgde voor een zekere uitdaging. Toekomstgericht zullen de Grenslandscholen bepaalde investeringen moeten doen om de beveiliging op te krikken. Toch kunnen er ook eenvoudige en budgetvriendelijke oplossingen worden geïmplementeerd die bijdragen tot een betere beveiliging van de IT-infrastructuur. 53

54 Literatuurlijst BOGER, P., e.a., CCNA Security Course Booklet Version 1.1, 1 e druk, Cisco Press, Indianapolis USA, 2012 How to Geek [web pagina], , contact@howtogeek.com, URL: Gezien d.d. 23 april 2013 JABBUSCH, J., Security Uncorked [web pagina], 4 december 2009, Jennifer Jabbusch, URL: Gezien d.d. 5 maart 2013 JOHANSSON, J., The Most Misunderstood Windows Security Setting of All Time [web pagina], 2008, TechNet, URL: Gezien d.d. 2 mei 2013 OpenDNS - A Technical Overview [web pagina], 2013, OpenDNS, URL: Gezien d.d. 18 mei 2013 PFLEEGER, C., PFLEEGER, S., Analyzing Computer Security, 2 e druk, Pearson, Michigan USA, 2011 SANDERS, C., How I Cracked your Windows Password [web pagina], 10 februari 2010, TechGenix Ltd, URL: Cracked-Windows-Password-Part1.html Gezien d.d. 24 april 2013 THALIF, M., List of open source captive portal software and network access control (NAC) [web pagina], 14 december 2010, Mohammad Thalif, URL: Gezien d.d. 17 maart

55 Bijlagen Security audit van een schoolnetwerk en pc infrastructuur Ruben Basyn 1. Foto s site survey Layer 1 beveiliging 2. Resultaten enquête Hoe veilig ga jij om met wachtwoorden? 3. Presentatie Wachtwoorden Tips & Tricks 4. Group Policy Objecten leerling account 5. Betekenis register waardes 55

56 Bijlage 1: Foto s site survey Layer 1 beveiliging 56

57 57

58 Bijlage 2: Resultaten enquête Hoe veilig ga jij om met wachtwoorden? In welke mate gebruikt u andere wachtwoorden voor werk en privé toepassingen? 38% 41% Ik gebruik voor elke toepassing hetzelfde wachtwoord waar mogelijk Ik gebruik voor elke toepassing een uniek wachtwoord 21% Ik gebruik hetzelfde paswoord weliswaar verschillend in privé en werktoepassingen Hoe vaak wijzigt u gemiddeld uw wachtwoord? 0% 0% 4% 81% 15% Maandelijks of vaker Per trimester Per semester Jaarlijks Nooit 58

59 Indien u een wachtwoord kiest, houdt u dan rekening met de moeilijkheidsgraad? 26% Ja, spontaan 49% Ja, omdat de toepassing dit mij oplegt Neen 25% Schrijft u wachtwoorden ergens neer? 2% 21% Ja, allemaal Ja, als ik ze niet vaak nodig heb Neen 77% 59

60 Indien u een wachtwoord samenstelt, zit hier dan persoonlijke informatie in verwerkt? Dit kan een geboortedatum, naam van een persoon of een huisdier, enz. zijn 38% 34% Ja Af en toe Neen 28% Indien een collega uw wachtwoord vraagt, zou u dit dan zonder aarzelen doorgeven? 11% Ja Neen 89% 60

61 Hebt u ooit al een wachtwoord voor een werktoepassing doorgegeven aan een collega? 9% Ja 70% 21% Ja, indien het om een collega gaat die ik vertrouw Neen Schermt u bij het intypen van een wachtwoord op school het toetsenbord af in bijzijn van leerlingen? 36% Ja Neen 64% 61

62 Vanaf hoeveel karakters denkt u dat een wachtwoord gezien wordt als veilig? 0% 0% 72% 28% 1 tot 7 8 tot tot 20 meer dan 20 Gebruikt u speciale tekens in een wachtwoord? 11% 21% Ja, combinatie van cijfers 25% 43% Ja, combinatie van cijfers, hoofdletters Ja, combinatie van cijfers, hoofdletters, leestekens en/of symbolen Neen, enkel kleine letters 62