TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC

Transkript

1 TI GRUNNLEGGENDE TILTAK FOR SIKRING AV EGNE NETTVERK MED ET SPESIELT FOKUS PÅ MACSEC Aleksander Rasmussen Nasjonal Sikkerhetsmyndinghet Sikkerhetskonferansen 2017 Oslo Kongressenter SLIDE 1

2 Innhold Kort om nettverkstiltakene Felles forutsetninger Tiltak MACsec Oppsummering Referanser SLIDE 2

3 Kort om nettverkstiltakene Grunnleggende nettverkssikkerhet Anbefales at tiltak iverksettes i angitt rekkefølge Prioriteringskriterier Viktig med egen risikoanalyse SLIDE 3

4 Tiltakene finnes på NSMs nettside SLIDE 4

5 Felles forutsetninger for tiltakene Aktuell funksjonalitet støttes For eksempel VLAN Public Key Infrastructure (PKI) Tillit på tvers av virksomheten Asymmetrisk krypto RADIUS Autentisering SLIDE 5

6 Tiltak 1 Etabler nettverkssoner og filtrer nettverkstrafikken mellom soner og på perimeteren Sikkerhetsfordeler Reduserer skadepotensialet ved en eventuell kompromittering - Hindrer kartlegging av nettverket Økt filtreringsevne - Flere filtreringspunkter - Rollebasertfiltrering SLIDE 6

7 Tiltak 1 Etabler nettverkssoner og filtrer nettverkstrafikken mellom soner og på perimeteren 1.1 Identifiser alt utstyr som er tilkoblet nettverket. Klienter: nettbrett, smarttelefoner, stasjonære og bærbare PCer, Servere: Filservere, webservere og databaseservere Ikke nettverksutstyr (svitsjer og rutere) 1.2 Grupper utstyr etter funksjon og tillitsnivå Tillitsnivå: Kontorklienter og VPN klienter Funksjon: Webservere eller printere 1.3 Identifiser kommunikasjonsbehov mellom soner Kontorklienter trenger å kommunisere med printere 1.4 Etabler aksesskontroll mellom soner Brannmurregler SLIDE 7

8 SLIDE 8

9 Tiltak 2 Isoler klienter fra hverandre Sikkerhetsfordeler Hindrer kompromitterte klienter i å kompromittere hverandre - Klienter som blitt infisert via epost Hindrer angriper i å kartlegge nettverket - Angriper som prøver å finne sårbarheter Private VLAN blokkerer peer-to-peer kommunikasjon Blokkerer uønsket kommunikasjon Blokkerer ønsket kommunikasjon - F eks Lync SLIDE 9

10 Tiltak 2 Isoler klienter fra hverandre 2.1 Etabler VLAN i klientsoner Private VLAN opererer på VLAN nivå 2.2 Aktiver private VLAN i alle klientsoner Klienter som ikke virker med private VLAN bør omkonfigureres eller plasseres i egen nettverkssone uten private VLAN SLIDE 10

11 Tiltak 3 Logisk deaktiver og fysisk koble fra nettverkskabler fra ubrukte nettverksporter i svitsjer Sikkerhetsfordeler Hindrer angriper i å koble seg til ubrukte nettverkspunkter - Ubrukte kontorplasser - Resepsjon Reduserer risiko for feilkobling - Datalekkasje SLIDE 11

12 Tiltak 3 Logisk deaktiver og fysisk koble fra nettverkskabler fra ubrukte nettverksporter i svitsjer. 3.1 Fysisk koble fra nettverkskabler som ikke er i bruk. Kabler bør merkes i begge ender Kabler kan legges klar uten å være tilkoblet 3.2 Logisk deaktiver ubrukte nettverksporter. Gjøres via administrasjonsgrensesnittet Verifiseres ved at uplink- og power-lys slukkes SLIDE 12

13 Tiltak 4 Blokker uønskede DHCP- og ARP-meldinger i nettverket Sikkerhetsfordeler Hindrer spoofing (forfalsking) av nettverksadresser Stopper mange vanlige nettverksangrep - Denial of service (DOS) - Man-in-the-middle SLIDE 13

14 Tiltak 4 Blokker uønskede DHCP- og ARP-meldinger i nettverket 4.1 Marker dine DHCP-servere som tiltrodde Markere porter i svitsjen som trusted 4.2 Aktiver DHCP-snooping og dynamic ARP-inspection Bør aktiveres i nettverkssoner hvor DHCP brukes Forsikrer at klienter bare bruker angitt IP Bare tiltrodde DHCP-servere tillates Hindrer feilaktig tilkobling av ugyldige DHCP-servere DHCP-snooping avhenger av dynamic ARP-inspection SLIDE 14

15 Tiltak 5 Begrens antall MAC-adresser per nettverksport Sikkerhetsfordeler Hindrer uønsket utvidelse av nettverket - Uønskede aksesspunkter på hotellrom eller kontor Hindrer angriper i å koble til eget utstyr - Sniffe nettverkstrafikk SLIDE 15

16 Tiltak 5 Begrens antall MAC-adresser per nettverksport 5.1 Definer en grense for maks antall MAC-adresser per port Kun en MAC-adresser per port i klientsoner Aldri fler enn nødvendig 5.2 Aktiver sticky-ports (port security) i nettverks-switcher. Husk at noen nettverksenheter bruker flere MAC-adresser SLIDE 16

17 Tiltak 6 Autentiser enheter som kobler seg til nettverket Sikkerhetsfordeler Gir kontroll over tillatte enheter i nettverket Hindrer ugyldige enheter i nettverket Forutsetninger PKI RADIUS Identitetsserver - Active Directory (AD) - Lightweight Directory Access Protocol (LDAP) SLIDE 17

18 Tiltak 6 Autentiser enheter som kobler seg til nettverket 6.1 Generer maskinsertifikater under virksomhetens PKI Utstyrsautentisering har også navnet 802.1X Enheter fremviser maskinsertifikat ved autentisering Enheter har en felles tiltrodd Certificate Authority (CA) 6.2 Bruk EAP-TLS som autentiserings mekanisme Autentiserer begge parter over TLS X509 sertifikat RFC2716 SLIDE 18

19 Tiltak 7 Beskytt trådløse klientnettverk med sterke sikkerhetsmekanismer Sikkerhetsfordeler Hindrer angripere i å sniffe nettverkstrafikken - Passivt nettverksangrep Hindrer angriper i å koblet seg til trådløse nettverk - Aktivt nettverksangrep Forutsetninger PKI RADIUS SLIDE 19

20 Tiltak 7 Beskytt trådløse klientnettverk med sterke sikkerhetsmekanismer 7.1 Generer maskinsertifikat under virksomhetens PKI. Felles tiltrodd PKI Støtte for revokering av sertifikater 7.2 Aktiver WPA2-enterprise i trådløse klientsoner. Bruk WiFi sertifiserte aksesspunkter WiFi sertifiserte etter 2006 støtter WPA2 SLIDE 20

21 Tiltak 8 Benytt linkkrypto på eksponerte nettverkskabler Kommer tilbake til dette tiltaket til slutt SLIDE 21

22 Tiltak 9 Benytt kryptert VPN for kommunikasjon utenfor egne nettverk Sikkerhetsfordeler Reduserer risiko når man kobler til nettverk med lavere tillit. Utnytter sikkerhetsmekanismer i hjemmenettet. Forutsetninger PKI Tunneler all trafikk gjennom VPN tunnel SLIDE 22

23 Tiltak 9 Benytt kryptert VPN for kommunikasjon utenfor egne nettverk 9.1 Generer maskinsertifikat under virksomhetens PKI. Virksomhetens CA stoler på et signert sertifikat 9.2 Opprett en egen nettverkssone for VPN klienter. Lik tillit eller kommunikasjonsbehov? 9.3 Benytt sterke sikkerhetsmekanismer for VPN. IPsec TLS-basert VPN SLIDE 23

24 Tiltak 10 Aktiver logging på nettverkskomponenter Sikkerhetsfordeler Øker sporbarheten og deteksjonsevne i nettverket Viktig verktøy i hendelseshåndtering SLIDE 24

25 Tiltak 10 Aktiver logging på nettverkskomponenter 10.1 Etabler en sentral logginnsamler Integritetsbeskyttelse 10.2 Aktiver logging på nettverkskomponenter som støtter det Send kopi av logger til sentral logginnsamler syslog eller syslog-ng SLIDE 25

26 Tiltak 8 Linkkrypto med MACsec (IEEE 802.1AE) Hva er en eksponert link? Trusler MACsec sikkerhetsfunksjonalitet SLIDE 26

27 Eksponerte Nettverkslinker Kontorbygg Datasenter AS Virksomhet A Virksomhet B Sensitive Data Virksomhet B Virksomhet C Virksomhet A Under bakken SLIDE 27

28 Trusler Passiv sniffing Brukernavn og passord Sessions Windows HASH Injeksjon Angrep Man-in-the-middle Targeted DoS SLIDE 28

29 MACsec sikkerhetsfunksjonalitet Autentisering Security Association (SA) Pre-shared keys Signering Integrity Check Value (ICV) Kryptografisk HASH Kryptering Session keys GCM AES 256 Replay Protection Pakkenummer SLIDE 29

30 Oppsummering Tiltakene er grunnleggende Start øverst på tiltakslisten Sikkerhet i dybden Spørsmål? SLIDE 30

31 Referanser Les mer S N k-sikkerhet/n-01-network-security-guidance.pdf N k-sikkerhet/n-03-security-guidance-for-switches-and-routers.pdf SLIDE 31