Health Check Voorbeeldrapportage

Transcriptie

1 Health Check Voorbeeldrapportage

2 INHOUDSOPGAVE 1 INLEIDING DOELGROEP DISCLAIMER ARCHITECTUUR VOLGENS HET OSI-MODEL OSI-LAAG ACTIEVE NETWERKCOMPONENTEN Core / Distributie switches Acces-switches SPANNING-TREE (STP) AGGREGATED LINKS VLAN S OSI-LAAG IP PLAN ROUTERING OSI LAAG 4 T/M SECURITY Firewalls Port-authenticatie WIRELESS CONCLUSIE

3 ARP DOCUMENTGEGEVENS Document titel: Health check rapportage, 17 januari 2018 Versiehistorie: Versie Datum Auteur(s) Status document Marco Kerstens 1 ste conceptversie 0.2 Document controle 1.0 Definitieve versie Distributielijst: Naam Functie Organisatie Verzenden Dhr. ICT Manager KLANT X B.V. Dhr. Rudi van de Pas Sales Consultant ARP Nederland BV Dhr. Marco Kerstens Solution Consultant 4IP BV 3

4 1 Inleiding In opdracht van KLANT X heeft de Ictivity groep (4IP) een netwerk health-check uitgevoerd. Dit onderzoek is uitgevoerd met als doel het inzichtelijk maken van eventuele knel- en verbeterpunten waaraan de netwerkinfrastructuur van KLANT X onderhevig is. In deze rapportage is een set van maatregelen opgenomen, welke aan de hand van de inventarisatie als noodzakelijk of wenselijk worden geacht om de netwerkinfrastructuur van KLANT X naar een hoger platform te tillen. 1.1 Doelgroep Dit document is bestemd voor: Intern; Medewerkers van KLANT X, die een directe relatie hebben met het technische beheer en vormgeving van de netwerkinfrastructuur; Extern; Leveranciers, die technische ondersteuning bieden aan KLANT X, welke gerelateerd zijn aan de netwerkinfrastructuur; 1.2 Disclaimer De inhoud van dit document is gebaseerd op de informatie van de uitgevers, de praktische ervaring die 4IP heeft met de genoemde software, configuratie, uitvoering en/of organisatie en de bekende informatie van de betreffende locaties van KLANT X. Voor de toepassing van deze informatie dient te allen tijde verder onderzoek en/of specificatie plaats te vinden om de specifieke situatie en benodigde informatie te verkrijgen. 4

5 1.3 Architectuur volgens het OSI-model Dit document refereert veelvuldig naar het OSI-model, dit is een abstract referentiemodel voor netwerkcommunicatie bestaande uit 7 individuele lagen, iedere laag stelt een bepaalde functie van het netwerk voor. Van onder naar boven zijn dit: de fysieke laag, de datalinklaag, de netwerklaag, de transportlaag, de sessielaag, de presentatielaag en de applicatielaag. Netwerkcommunicatie wordt door het OSI-model in kleinere en meer eenvoudige stukjes opgedeeld en daarnaast gestandaardiseerd zodat ontwikkeling en ondersteuning voor meerdere partijen gemakkelijker wordt. De 7 lagen van het OSI model zijn te verdelen in 2 groepen, de onderste en bovenste lagen zoals hierboven is weergegeven. Wanneer we over de bovenste lagen spreken refereren we aan software gerelateerde functies zoals applicaties, formaat en structuur van data en de start en onderhoud van sessies. Bij de onderste lagen gaat het vooral om infrastructurele zaken zoals routering, logische adressering, segmenteren van data, toegang tot netwerkmedia en binaire transmissie. Wanneer we spreken over een netwerkinfrastructuur refereren we voornamelijk naar de onderste OSI-lagen. Wanneer binnen dit document gesproken wordt over bijvoorbeeld de fysieke laag of datalinklaag, zal dit worden afgekort met OSI-laag 1 of OSI-laag 2. 5

6 2 OSI-laag 2 In dit hoofdstuk worden de knel-, verbeter- en/of aandachtpunten genoemd welke betrekking hebben op laag 2 van het OSI model. 2.1 Actieve netwerkcomponenten Het netwerk van KLANT X is opgebouwd uit een aantal locaties: - Nederland (Hoofdlocatie) - Griekenland - Spanje - Duitsland - Turkije - Engeland - Japan (rechtstreekse WAN koppeling) Het globale netwerkoverzicht van de hoofdlocatie wordt in de volgende tekening weergegeven: 6

7 2.1.1 Core / Distributie switches De netwerkomgeving binnen KLANT X bestaat uit een Core-firewall waarop de routeringen plaatsvinden, deze zijn gekoppeld aan een distributielaag (laag-2) welke weer gekoppeld zijn aan de access-switches. (zie tekening uit vorige paragraaf). De Core-firewall zal in hoofdstuk 3 en 4 verder uitgelicht worden. De beide distributieswitches zijn van het type XSM4324s. Deze hebben 10Gb uplinks, zijn onderling verbonden en hieraan zijn de switches uit de drie zones gekoppeld d.m.v. LAG s (Link aggregations) Acces-switches In het netwerk van KLANT X wordt er als access-laag gebruik gemaakt van Netgear switches van verschillende types welke met LAG s zijn gekoppeld naar de distributielaag. Afhankelijk van de switches zijn er een aantal Vlan s geconfigureerd welke in paragraaf 2.4 worden weergegeven. Een aantal switches zijn Layer-3 switches waarop Vlan IP-adressen zijn geconfigureerd. Aangezien de routeringen en Vlan-scheidingen plaatsvinden op de Cyberoam firewall wordt het aangeraden om alleen Vlan1 te voorzien van een IP-adres (voor het beheer van de switches). Hiermee voorkom je dat de hosts in de verschillende Vlan s met elkaar kunnen communiceren (zie ook paragraaf 3.2). 2.2 Spanning-tree (STP) Op de huidige switches is het standaard spanning-tree protocol actief om netwerk-loops te voorkomen. Dit protocol is relatief traag en kan tot 30 seconden schakeltijd nodig hebben. Aanbevolen wordt om het multiple spanning-tree protocol (MSTP) te gebruiken. Alle switches zijn hiervoor geschikt en de schakeltijd zal beperkt worden tot enkele seconden. MSTP is een open standaard en kan daarmee ook in combinatie met niet-netgear switches gebruikt worden. 2.3 Aggregated Links Tussen distributie-switches en een aantal access switches zijn aggregated-links (ook wel etherchannel of LAG s genoemd) actief. Een etherchannel kan tot maximaal 8 links uitgebreid worden. Let op! De links in een etherchannel moeten bestaan uit gelijkwaardige poorten. Er kan dus geen poorten van verschillende bandbreedtes gecombineerd worden. 7

8 2.4 VLAN s Vlan s worden gebruikt voor het segmenteren van verschillende netwerken (broadcast domains). Dit voor het scheiden van verschillende data-stromen. Het netwerk van KLANT X is onderverdeeld in een aantal segmenten: Vlan Naam Omschrijving 1 CMP Vlan voor o.a. werkstations, printers en servers 2 REN 8 AZO Leverancier netwerk 9 GBS Leverancier netwerk 50 WIFI Wifi gebruikers t.b.v. gasten en handscanners. Opmerking: Vlan 1 is een Vlan (broadcast domein) waarin onder andere alle gebruikers, printers en servers in geplaatst zijn. Een groot broadcast domein wil zeggen dat er veel broadcasts (overhead) plaatsvindt in het vlan. Een broadcast storm veroorzaakt door een gebruiker kan er voor zorgen dat ook alle servers niet meer kunnen communiceren. Aanbevolen wordt daarom om een separaat Server-Vlan te maken zodat deze geen last hebben van eventuele broadcast storms of andere netwerk-overhead. 8

9 3 OSI-laag IP plan De IP adressering is bij KLANT X ondergebracht in een aantal logische reeksen. Waarbij in elke reeks één octet refereert aan het bijbehorende Vlan nummer. 3.2 Routering In het netwerk van KLANT X fungeert de Firewall als default gateway voor de verschillende Vlan s. Deze routeert de netwerken d.m.v. statische routeringen. Doordat de Vlan s gerouteerd worden op de firewall kan het verkeer beveiligd worden door middel van firewall policies. Dit is beveiliging op laag 4 van het OSI model (blokkeren van TCP/UDP poorten). Opmerking: De layer-3 switches welke in de accesslaag gekoppeld zijn, zijn geconfigureerd met een ip-adres op elke Vlan interface. Dit maakt het mogelijk om buiten de firewall om te routeren tussen Vlan s.. Dit wil zeggen dat zelfs gast-gebruikers uit Vlan 50 servers kunnen benaderen uit Vlan 1!! Aanbevolen wordt om de ip-adressen van de Vlan interfaces te verwijderen met uitzondering van het (beheer) ip-adres van Vlan1. 9

10 4 OSI laag 4 t/m Security Firewalls KLANT X heeft op hun hoofdlocatie twee Cyberoam UTM-firewalls van het type CR100iNG welke als core-firewall gepositioneerd zijn. Deze zorgen voor beveiliging tot laag 7 van het OSI model richting internet en tussen de Vlan s welke gerouteerd worden. Tevens ontsluiten de firewalls de IP-Sec VPN s naar de verschillende locaties, en kunnen thuiswerkers d.m.v. SSL-VPN connecties remote inloggen op het netwerk. Opmerkingen: - De firewall is voor het beheer te benaderen d.m.v. HTTP verkeer (poort 80), dit is verkeer dat niet versleuteld wordt. Het verkeer van een http sessie zou daarmee als clear-test onderschept kunnen worden. Aanbevolen wordt om HTTP verkeer voor beheer uit te schakelen en alleen nog maar gebruik te maken van HTTPS (Secure) sessies. De firewall is hiervoor benaderbaar op TCP-poort 444. Via is beheer mogelijk. - KLANT X beschikt over twee identieke firewalls welke op dit moment nog niet als cluster zijn geconfigureerd. Dit is overigens bekend bij systeem beheer en zou met een volgende software versie aangepast worden. - De software-versie welke nu is geïnstalleerd is versie MR-1 welke uitgebracht is in oktober De laatste beschikbare versie is versie en is uitgebracht in november Uit security oogpunt wordt het daarom aanbevolen om deze te upgraden naar de laatste versie. - Voor remote beheer is HTTPS toegang vanuit het internet geconfigureerd. Dit wil zeggen dat vanuit de hele wereld toegang mogelijk is tot het inlogscherm van de firewall. Met z.g.n. dictionairy attacks zou toegang tot de firewall mogelijk zijn. Het wordt daarom ten zeerste aanbevolen om dit aan te passen. Door alleen beheer van specifieke publieke adressen toe te staan of d.m.v. het gebruik van een SSL-VPN verbinding kan dit opgelost worden. - De IP-sec VPN s maken gebruik van 3DES encryptie en SHA1 authenticatie. Deze vorm van authenticatie/encryptie is sterk verouderd en gevoelig voor aanvallen. Aanbevolen wordt om minimaal AES-128 encryptie met SHA-256 authenticatie te gebruiken. 10

11 4.1.2 Port-authenticatie Binnen het netwerk van KLANT X wordt er op dit moment nog geen gebruik gemaakt van portauthenticatie. Om de veiligheid van het netwerk te garanderen is het belangrijk om te weten wie gebruikt maakt van het netwerk. Voor onbevoegden / onbekenden dient de toegang tot de resources binnen de organisatie ontzien te worden. Voor bevoegden / bekenden dient bepaald te worden tot welke resources (Vlan s) deze groep toegang mag krijgen. Network Access Control (NAC) kan de toegang tot het netwerk reguleren. De IEEE standaard 802.1x (dot1x) is ontworpen om de veiligheid op netwerkniveau te verbeteren door het verhinderen dat onbevoegde gebruikers en/of netwerkcomponenten toegang verkrijgen tot het netwerk. Deze techniek wordt reeds langere tijd gebruikt binnen draadloze netwerken en is nu ook aan een opmars bezig binnen de traditionele bedrade netwerken. De huidige switches van KLANT X ondersteunen het 802.1x protocol. Poorten op de switch hoeven daarom niet meer statisch aan vlans toegekend te worden. Op basis van de gebruiker (Medewerken, leverancier of gast) en/of het device (laptop, thin-client, printer of accesspoint) wordt automatisch het juiste Vlan toegekend. Aruba s Clearpass is een oplossing welke voor zowel het bedrade als WiFi netwerk uitermate geschikt is hiervoor. 4.2 Wireless Het wireless netwerk binnen KLANT X bestaat uit een Netgear omgeving. Dit is een omgeving waarbij de accesspoints centraal geconfigureerd worden met een Proasafe wireless controller. Het WiFi netwerk bestaat uit een tweetal SSID s. CMP-guests (gasten) en CMP_RM (handscanners). Beide SSID s maken op dit moment gebruik van WPA/WPA2 Preshared-key security. Aanbevolen wordt om dit op basis van alleen WPA-2 Pre shared key te doen. Opmerkingen: - Handscanners welke verbinding maken met het SSID CMP_RM worden doorgezet naar Vlan 50 net als de gast-gebruikers. Hiermee zijn de handscanners en de scanner-server bereikbaar voor gast-gebruikers. Aanbevolen wordt om hier een apart (afgeschermd) Vlan voor de creëren. - Binnen de 2.4Ghz frequentieband zijn er 3 niet overlappende kanalen beschikbaar (1,6 en 11). In het wifi netwerk van KLANT X zijn er 4 kanalen geconfigureerd (1,5,8,11). Deze kanalen hebben overlap wat ervoor kan zorgen dat wireless devices last hebben van verstoringen vanuit een ander kanaal. - Door gebruik te maken van 802.1x security is het mogelijk om op een veilige manier verbinding te maken met het Wifi netwerk. In combinatie met Clearpass (zie paragraaf 4.1.2) kan er hiermee op basis van identiteit (medewerker, leverancier) toegang verleend worden. Gasten toegang zou op basis van een portal aangeboden kunnen worden zodat een gast binnen KLANT X d.m.v. tijdelijke credentials gebruik kan maken van het wifi netwerk.. 11

12 5 Conclusie Tijdens het bezoek op de locatie in.. zijn er een aantal zaken ontdekt welke op korte termijn verbetering kunnen opleveren. Deze zijn onderverdeeld in verbeteringen met hoge prioriteit en met een lagere/middel-hoge prioriteit. Lage/ middel-hoge prio: - Apart Vlan creëren voor servers; - Gebruik maken van het Multiple spanning-tree protocol; - Firewalls als cluster configureren; - Firewalls upgraden naar laatste software versie; - IP-sec VPN encryptie/authenticatie beter beveiligen; - Handscanners doorzetten naar apart (afgeschermd) Vlan; Hoge prio: - Vlan IP-adressen verwijderen op de layer-3 switches (m.u.v. Vlan 1); - HTTPS uitschakelen voor beheer op firewall; - Beheer vanuit het internet beperken. 12