1 Scriptie ingediend tot het behalen van de graad van PROFESSIONELE BACHELOR IN DE ELEKTRONICA-ICT Enterprise Network Security : S.S.O & Security Enha...
Scriptie ingediend tot het behalen van de graad van PROFESSIONELE BACHELOR IN DE ELEKTRONICA-ICT
Enterprise Network Security : S.S.O & Security Enhancement Nick Wuyts Departement Wetenschappen en Techniek Opleiding Elektronica-ICT Academiejaar 2014-2015
Interne promotor: Marc Smets Externe promotor: Erik Van Der Perre
Versie: 12 juni 2015
Dankwoord
Tijdens de voorbije maanden heb ik niet enkel zelfstandig veel bijgeleerd daar aan mijn opdrachten te werken , maar ook door de collega’s die dagdagelijks aanwezig waren op SIGGIS. Telkens als ik met een probleem zat kon ik bij iemand terecht die me met respect behandelen en telkens in de goede richting een duwtje gaf. Voornamelijk wil ik Erik Van Der Perre bedanken voor het delen van zijn ervaring en kennis. Hij deed zijn uiterste best om altijd te helpen. Zelfs na een zwaar ongeval was deze man nog steeds beschikbaar voor mij. Via sociale media of communicatie programma’s. Deze persoon heeft me meer dan alleen het vakgebied leren kennen. Ook hoe het bedrijfsleven er aan toe gaat heeft hij meer dan eens uitgelegd en aangetoond. Ik heb een fantastische stage te danken waarin ik de vrijheid heb gekregen om mezelf te tonen. Peter Vansteenkiste wil ik danken voor de ervaring die hij als CEO deelde met mij. Zo kreeg ik een scherpere blik op hoe ik een project juist moest leren voorleggen aan de minder technische mensen in een bedrijf. Een woord van dank voor Marc Smets nog op zijn plaats. Als mijn stagepromotor waar ik steeds bij terecht kon met vragen of voor feedback op het scriptie. Ik kon steeds rekenen op zijn opbouwende commentaar en kritische blik die me in de juiste richting duuwde waneer dit nodig was. Voor al de wijze raad, Bedankt. Ook een dankwoord voor Tim Dams voor de begeleiding zowel voor de stage als bij aanvang van de stage. Antwerpen, 12 juni 2015 Nick Wuyts
i
Abstract Ik heb mijn stage uitgevoerd bij de onderneming SIGGIS nv. Waar ik ook een stagebegeleider werd toegewezen. Het doel is om een Single Sign On Systeem te ontwikkelen. Dit moet meerdere authenticaties tijdens een sessie elimineren. De werknemers storen zich namelijk dat ze zich herhaaldelijk moeten authentiseren op verschillende services. We gaan een ADFS server implementeren om dit probleem aan te pakken. Er zullen volledige userguides gemaakt worden van mijn configuratie. Ook problemen die we zijn tegengekomen zullen besproken worden. Oplossingen voor de problemen worden uitgewerkt. Tevens heb ik tijdens de stageperiode een security-screening moeten uitvoeren. Vervolgens bespreken we een aantal scenario’s die een probleem kunnen vormen en bespreken we de mogelijke oplossingen. We stellen ook een schema op met de basiselementen om de veiligheid van het bedrijfsnetwerk te verbeteren. Dit zonder iets te moeten implementeren. Men dient ervan uit te gaan dat het grootste veiligheidsrisico, de werknemer zelf is. Na het overlopen van dit script ga je een ADFS kunnen implementeren in een bedrijfsnetwerk, dagdagelijkse risico’s van een bedrijfsnetwerk kennen en kunnen oplossen.
VM = Virtual Machine Vsphere = Een programma voor het beheren van Virtuele Machines ESXI = Software voor servers AD CS = Active Directory Certificate Service AD FS = Active Directory Federation Service AD DC = Active Directory Domain Controller VPN = Virtual Private Network Intern = Lokaal Extern = Vanbuiten af, in dit documentwilt dit zeggen: via een ” ander ”netwerk. DMZ = Demilitarized Zone SSO = Single Sign On DNS = DNS vertaalt IP naar computernamen en omgekeerd. Nu ik verwees naar de DNS van de router WID = Windows Integrated Database
1
HOOFDSTUK 1. INLEIDING
1.2 1.2.1
2
Verklarend Reverse Proxy
In een computer netwerk is een reverse proxy een soort van proxyserver die de ”resourcesophaalt van ´e´en of meerdere servers in opdracht van een ”client-device”. Deze resources zullen beschikbaar worden gesteld aan de client alsof ze rechtstreeks van de proxy server komen. Dit zonder te beseffen dat er een reverse proxy tussen staat. Een reverse proxy server kan het bestaan van de originele server verbergen. Een reverse proxy kan bescherming bieden tegen vaak voorkomende ”web-based attacks”. Een reverse proxy kan gebruikt worden wanneer men meerdere servers wilt kunnen bereiken d.m.v. ´e´en publiekelijk IP adres.
1.2.2
Active Directory
Met de komst van Active Directory is hi¨erarchische structuur in de domeinen mogelijk geworden.Hierdoor kunnen meerdere domeinen in een ”tree”georganiseerd worden en meerdere trees in een ”forest”. Voor grotere bedrijven met meerdere vestigingen biedt dit meer flexibiliteit.
1.2.3
Domain Controller
Dit is een server in een computernetwerk van Windows. Deze beheert wie er tot welk stuk van het domein toegang mag hebben.
1.2.4
VPN
Virtual Private Network is een verbinding van je huidige netwerk naar een vooraf ingesteld netwerk. Op deze manier authentiseren we met de Active Directory.
HOOFDSTUK 1. INLEIDING
1.2.5
3
AD CS
AD CS voorziet ”custom”services voor het maken en beheren van Public Key Infrastructuur (PKI) certificaten die gebruikt worden voor security systems met Public Key-technologie. Het digitale certificaat dat AD CS levert, kan gebruikt worden voor het encrypteren en digitaal signeren van elektronische documenten en berichten. Verder kunnen deze digitale certificaten dienen voor authenticatie op computers, gebruikers, of device-accounts op een netwerk. • Confidentialiteit - encryptie • Integriteit door Digital Signature • Authenticatie door de certificaat keys te associ¨eren met computers, users, of device accounts.
1.2.6
AD FS
AD FS zet de infrastructuur op in een netwerk met 2 gescheiden netwerken om de user na authenticatie services te laten gebruiken van beide netwerken. Je kan ADFS gebruiken voor SSO met Office 365maar dan moet je een Office 365 user account hebben/maken.
1.2.7
DirSync
DIRSYNC Zorgt voor automatische creatie van een user accounts en user groups in Office 365. DIRSYNC spiegelt in essentie een aantal attributen van je ”On-Permise Active Directory” in je Azure Active Directory. Deze wordt gebruikt door Office 365.
1.2.8
Bitlocker
Dit is een service die bij de recentere Windows servers wordt meegeleverd. Deze kan je gebruiken om je schijf te encrypteren. Ongeacht waar de schijf wordt aangesloten. Dit zodat je harde schijf steeds authenticatie vereist. Deze techniek kan gebruikt worden om ”data-theft”bij diefstal te voorkomen.
HOOFDSTUK 1. INLEIDING
1.2.9
4
DMZ
Dit is ook gekend als ”network”. Dit is een fysiek of logisch subnetwerk dat het aantal van extern gebruikte services toont of beschikbaar stelt aan grotere of niet vertrouwde netwerken. Dit is meestal het internet. DMZ biedt een extra laag bescherming aan het LAN . Een externe ”node”heeft enkel toegang tot het DMZ en niet tot een deel van je netwerk. ”DMZ kan je bezien als een staakt-het-vuren grondgebied tussen 2 landen”.
1.2.10
Raid 0
ook gekend als ”striped volume¨en verdeeld data gelijkmatig over 2 of meerdere schijven. Zonder ”parity information”, ”redudancy”, of ”fault tolerance”. Doordat er geen ”redundancy of fault tolerance is, zal bij het ”falen”van 1 schijf, de hele ” array ”falen. Aagezien je data over verschillende schijven staat met deze array, zal dit leiden tot ”total data loss”. Het gebruik heeft ”snelheid” als doel.
Figuur 1.1: Voorstelling van Raid 0
HOOFDSTUK 1. INLEIDING
1.3 1.3.1
5
Inhoud De Probleemstelingen en algemene beschrijving van het project
Het is de bedoeling om een Single Sign On systeem in te voeren op het netwerk.Zodat men zichzelf niet meerdere malen moet authentiseren tijdens een sessie. • Domein • VPN • Office 365 • Mail • ... Men wil dat een computer of account zichzelf authentiseert op services die aanwezig zijn op het domein. Het was mijn opdracht om de netwerkbeveiliging onder mijn bewind te nemen. Het huidige systeem werkt met een standaard username en wachtwoord. De beveiliging wordt ondermijnd doordat werknemers wachtwoorden uitwisselen. Bovendien zijn er recentelijk een aantal werknemers die het systeem kennen naar de concurrentie gestapt. De verschillende beveiligingsmechanismen zullen onderzocht worden.
1.3.2
Het plan van aanpak, werkwijze
Om een Single Sign On systeem te verkrijgen gaan we een ADFS-server gebruiken. Deze stelt ons instaat om een ingelogde gebruiker automatisch te authentiseren op een andere service. We gaan een Single Sign On cre¨eren voor het gebruik van Office 365. De werking verloopt als volgt: een user zal zich inloggen op het domein. Deze user heeft bepaalde attributen zoals een mailadres of username . Deze attributen zullen we via een tool kopi¨eren op de externe service(office 365). ADFS zal ervoor zorgen dat er communicatie is tussen de twee aparte netwerken. DirSync zorgt ervoor dat de attributen van een user of group gespiegeld blijven. Dit gehele concept wordt eerst uitgevoerd in een testomgeving. Daar is een apart netwerk voor opgesteld. Dit netwerk bevindt zich intern bij SIGGIS. Dit netwerk is een kopie van het bedrijfsnetwerk. Wanneer alle toepassingen met succes zijn doorgevoerd op de testomgeving zullen deze in samenspraak worden doorgevoerd op het bedrijfsnetwerk. Om het veiligheidsprobleem aan te pakken moeten er een aantal scenario’s behandeld worden.
HOOFDSTUK 1. INLEIDING
1.3.3
6
Scenario’s
Scenario 1 : iemand vergeet zijn laptop op de trein. Om dit probleem aan te pakken, worden alle computers ge-encrypteerd. Dit wil zeggen dat we Bitlocker op de C-schijf van elke computer configureren. Dit heeft als gevolg dat nog ”voor”het opstarten van de OS men een wachtwoord moet ingegeven. Het is mogelijk om het wachtwoord te vervangen door een USB-flashdrive maar dit is niet ideaal. Men kan een USBflashdrive gemakkelijker vergeten en er is geen weg omheen om de PC op te starten. Anderzijds is het bijna onmogelijk om gegevens van de harde schijf te halen. Ongeacht waar je de harde schijf aansluit zal je het wachtwoord moeten ingeven. Zonder dit wachtwoord kan je niet aan de lokale gegevens van de harde schijf. Scenario 2: iemand weet de gegevens van een andere collega. Men kan voldoende schade berokkenen wanneer men toegang heeft tot het domein. Het is vrijwel onwaarschijnlijk dat een werknemer een collega in een slechte positie gaat brengen. Maar het is momenteel mogelijk omdat wachtwoorden uitgewisseld worden. Het is niet ideaal dat collega’s uw wachtwoord kennen. Dit is een sociaal probleem waar weinig aan te doen is. Ik heb echter een wachtwoord gevonden dat bijna niemand deelt met een ander. De code van je persoonlijke gegevens. De pincode van je Elektronische Identiteitskaart (e-ID). Wanneer dit de nieuwe en standaard vorm van authenticatie wordt zal de kans dat een collega met uw gegevens op het domein inlogt drastisch verminderen. Scenario 3: iemand van buitenaf weet de gegevens van een werknemer. Hiervoor volgen we de oplossing van de vorige stelling. Het gebruik van de elektronische identiteitskaart vereist het bezit van de kaart. De elektronische identiteitskaart is een smartcard die we kunnen uitlezen met een e-ID-reader. Dit betekent dat een persoon zijn e-ID moet afstaan aan een collega, zijn wachtwoord moet vertellenen zijn laptop moet afstaan om authenticatie door een andere gebruiker toe te staan. De configuratie per persoon staat op de persoonlijke laptop van het bedrijf. Bijvoorbeeld op mijn laptop van SIGGIS kan je enkel inloggen met mijn e-ID. Dit is zo geconfigureerd in de Root Certificate Files van The Local Machine. We authentiseren dus op Computer & User tegelijk.
HOOFDSTUK 1. INLEIDING
7
Scenario 4: kan iedereen van buitenaf connecteren via VPN?Omdat die op basis van username & wachtwoord is ? De VPN connectie kan en zal aangepast worden. Men zal zich ook hier moeten authentiseren met dee-ID smartcard. De werkwijze is gelijk aan die van het domein. We cre¨eren per computer een specifiek certificaat dat overeenstemt met de gebruiker zijn e-ID. Dit moet voorkomen dat ook computers die niet in het domein gekend zijn connectie kunnen maken. Zonder een manuele configuratie van een lokale administrator zal je VPN niet werken en heb je van op afstand geen toegang tot het netwerk. Je zult enkel toegang hebben tot het domein wanneer de e-ID overeenstemt met een user in het domein.E-ID zorgt ervoor dat de administrator weet welke user op welke computer zit. Dit is in principe een waterdicht systeem. Functionaliteit van het project Men moet door middel van het invoegen van het Single Sign On systeem slechts 1 keer inloggen in het domein. Alle andere acties gebeuren automatisch. Dit versnelt de bedrijfsprocessen enigszins. Het hoofddoel ”het gebruiksgemak verbeteren” is hiermee bereikt. Verbetering van netwerksecurity heeft een voor de hand liggend doel: het voor externen moeilijker of bijna onmogelijk maken om aan gevoelige informatie te geraken. Zoals eerder besproken moet je in het bezit zijn van een aantal specifieke zaken om aan gevoelige informatie te geraken. Je moet een overeenkomende e-IDsmartcard hebben, de specifieke PC waar het e-ID op is geregistreerd en de pincode van de e-ID smartcard.
HOOFDSTUK 1. INLEIDING
8
Architectuur, Hoe de Onderdelen met elkaar samenwerken Dit is een schematisch overzicht van het intern netwerk van SIGGIS. Hier zie je hoe de communicatie verloopt in grote lijnen.
Figuur 1.2: gedetaileerd overzicht van het SIGGIS netwerk
HOOFDSTUK 1. INLEIDING
9
Dit is een plan van het gelijkvloers. Dit is opgesteld omdat mensen van buitenaf hier soms aanwezig zijn. Zo kan je zien ”waar”je ”welke”connectie kan vinden .
Figuur 1.3: Connection-points van de 1ste verdieping
Hoofdstuk
2
welke tools / software / Configuraties 2.1
Gebruikte Technologie¨ en, Software, Tools & 3th Party Software
ESXI wordt gebruikt als OS op de servers. Vervolgens worden er Virtuele Machines gecre¨eerd met VM-ware. Het beheren van deze Virtuele Machines doen we met V-sphere. WindowsServer2012 of WindowsServer2008R2 wordt gebruikt op de virtuele omgevingen om een virtuele server te generen. Certificaten zijn afkomstig van GoDaddy . Voor de testomgeving hebben we gebruik gemaakt van CaCert.Deze certificaten worden geverifieerd door middel van een rootcertificaat. CaCerten zijn dus gratis. Om authenticatie via e-IDmogelijk te maken is middle-ware van de Vlaamse Overheid nodig. Voor een overzicht van configuraties zou ik willen verwijzen naar de Bijlagen. In onderstaande link is een guide te vinden om met een DirSync module te werken. Deze is noodzakelijk indien je je Cloud Active Directory gelijk wilt houden aan je On-Premises Active Directory. Indien je een hybrid configuratie hebt, kan dit ook in de omgekeerde richting werken. Een handleiding voor het werken met DirSync: http://www.msexchange.org/blogs/walther/ news/dirsync-change-forcingmanual-syncs.html.
Wifianalyser is een tool voor de android. Je kan het gebruiken om signaalsterkte te meten van SSID’s . Dit kwam zeker van pas om te kijken of de acces points werkten, ze niet op het kanaal van andere wifi’s in de buurt zaten , hoe sterk ze versterkten,tot waar , etc. Zo kon ik op een zeer eenvoudige manier door het gebouw lopen en verifi¨eren of er met mijn huidige opstelling wel overal voldoende signaalsterkte was in SIGGIS. Mijn opstelling bevatte maar 3 routers bevatte in plaats van 4. Hieronder vind je de twee commando’s die je moet invoeren om het DirSyncConfigShell.psc1 script te verkrijgen indien dit niet aanwezig is zoals in de guide hierboven.
Introductie Bij aankomst in het bedrijf werd ik warm ontvangen door mijn stagebegeleider. In de voormiddag maakte ik kennis met de serverruimte waar alle hardware staat. Met deze resources heb ik de afgelopen maanden gewerkt. Men heeft me een snelcursus gegeven in verband met hoe alles in elkaar zit op het bedrijf. Hiervan maakte ik een zo goed mogelijk schema van, zodat ik de uitleg van mijn stagebegeleider beter zou begrijpen.
Figuur 2.3: Later heb ik dit schema verbeterd voor algemeen gebruik en onderhoud Mijn stage begon met het installeren van een fysieke server.Om gewend te raken aan de software die men gebruikt op SIGGIS om een server te runnen. In dit geval is dat ESXI versie 5.5.0 . Ook oudere servers met oudereversies heb ik moeten upgraden. Zo heb ik de basis principes geleerd van hoe je een server installeert en configureert. Vcenter is een programma dat we gebruiken om de servers te beheren zodra ze ge¨ınstalleerd zijn. We hebben aan de server die we gaan toevoegen eerst manueel een IP toegekend. Op basis van dit IP voegen we deze server toe aan Vcenter. Vcenter werkt met licenties waarin je een X aantal processors op kan registreren. SIGGIS heeft een licentie voor 6 processors. Er zijn al 3 servers met elk 2 processors aanwezig. Daardoor zijn we genoodzaakt de minst rendabele server te verwijderen. Alle data wordt over gezet op de nieuwe server. Deze bevat meer geheugen en rekenkracht. Tijdens dit gebeuren heb ik kennis gemaakt met Vcenter en leren werken met Vsphere. In de eerste week is er ook een vraag geweest van een collega om een aanpassing te maken in het bedrijfsnetwerk. Dit inzake de ontwikkeling van een applicatie. De vraag was om poort 6180 open te zetten. Dit is alles behalve veilig. Om de security van het bedrijfsnetwerk te behouden
heb ik een aparte router geconfigureerd. Deze bevat een apart netwerk. Zo kan het project verder ontwikkeld worden en wordt het bedrijfsnetwerk gevrijwaard. Nadat dit probleem was opgelost ben ik verder aan de slag gegaan met mijn stageproject. Namelijk ADFS. We hebben een testomgeving nodig voor de ontwikkeling van ADFS. Ik had een aparte server gekregen. Deze moest ge¨upgraded worden naar ESXI5.5.0 om een exacte kopie te zijn van de server die het zal imiteren. Eerst moest ik de gegevens die reeds aanwezig waren op deze server opslaan op een apart medium. Dit zodat men achteraf de server terug kan gebruiken waarvoor die in eerste instantie dienden. Dit heb ik geprobeerd met een VM-ware standalone convertor. De conversie op zichzelf was in orde. We verkregen een VMX en een VMDK bestand zoals het hoort. Maar de virtuele machine gaf de error ”Bad Block” aan. Dit zou te wijten zijn aan het feit dat we Oracle software probeerde te combineren met VM-ware. De gegevens werden niet opgeslagen. Bij het opstellen van de testomgeving moest er met enkele zaken rekening gehouden worden. Een apart subnet en dezelfde specificaties zoals het bedrijfsnetwerk moesten aanwezig zijn. Hiermee bedoel ik Software/firmware/ etc. De versie van ESXI moet hoger of evenwaardig zijn aan de draaiende software op ´e´en van de aanwezige servers in Vcenter. De huidige versie was 5.1 en we hadden een minimum vereiste van versie 5.5.0. Ook heb ik onderzoek gedaan naar een RAID-controller. Mijn stagebegeleider had gevraagd of ik een ”RAID 0”kon configureren op de server. Helaas bleek dat een RAID-controller een hardware component isdat niet aanwezig was in de server waar ik op moest werken. Zodra de ESXI 5.5.0 ge¨ınstalleerd was heb ik een datastorage gecre¨eerd. om een VM te cre¨eren(reverse proxy). Op deze VM heb ik Windows Server 2012 ge¨ınstalleerd. Ook de router had ik al ”basic”kunnen configureren. Dit houdt in:een subnet toekennen, wat voorlopig nog dynamisch is. Wanneer deze server in de server ruimte wordt geplaatst, zal deze range statisch(vast) zijn. Ook moest ik ervoor zorgen dat de router niet draadloos benaderd kon worden. Later heb ook nog de nodige poorten ge-forward.
Reverse Proxy / VPN Ik had een VM geconfigureerd met Windows Server 2012. Op deze VM heb ik een reverse proxy geconfigureerd . De VPN zal op een aparte VM komen, gescheiden van de Reverse Proxy VM. Aangezien ik niet met Vcenter werkte maar met Vsphere kon ik niet rechtstreeks een clone maken. Ik moest in de datastore op de server zelf gaan kijken en dan in de root een mapje aanmaken. De ’VPN’ en de ”VMDK”van de reverse proxy kopi¨eren naar het mapje van de VPN om mijn doel te bereiken. Vanaf ik de VMDK had gekopieerd, kon ik een nieuwe VM aanmaken en dan een bestand (de VMDK) op de datastorage selecteren. Zo genereerde ik een exacte kopie van de bestaande VM-ReverseProxy . Dit is de guide die ik had gebruikt voor het instellen van een VPN. http://www.thomasmaurer.ch/2012/07/how-to-install-vpn-on-windows-server-2012/ Alles is straight forward. Er werd gekozen voor PPTP en dus moesten we In - en Outbound Rules toekennen. Ook moesten we poort 1723 toestaan. Daardoor heb ik op de router deze poort moeten forwarden .
Figuur 2.4: PPTP toegevoegd aan outbound en inbound rules Omdat de connectie (intern) dan nog niet tot stand werd gebracht, was er nog ergens een probleem dat niet in de guide vermeld stond waar ik wel mee te maken had. Routing & remote access >remote access logging & policies >launch NPS(R-mouseclick) >network policies >”Connections to Microsoft Routing and Remote Access server”Deze staan standaard op ”deny all” en deze heb ik moeten wijzigen.
Figuur 2.5: 2 NIC’s zijn vereist De VPN werd intern succesvol tot stand gebracht. Nu moest ik de router gaan installeren zodat we de VPN konden testen voor extern gebruik, De Reverse Proxy gingen we configureren na het instellen van de router.
Router Installeren De router moest worden geconfigureerd met de WAN-settingen. Deze zijn verschillend van de interne test die ik eerder had gedaan. De configuratie was straightforward. Hierna had ik de opstelling aan mijn bureau afgebroken en deze vervolgens terug opgebouwd in de server ruimte. Daardoor moest ik verbindingen dubbel nakijken & een interface voorzien op de switch dat met de WAN router is verbonden(interface 28 in dit geval). R-Telenet >Switch >Router >Server(met VMservers op). Intern bleek alles te werken. Extern kon ik geen connectie maken. Hier heb ik vele mogelijke problemen voor gevonden. Maar geen enkel internetbron heeft me naar de correcte oplossing gebracht. Ik hield mij bezig met de poorten van elke mogelijke VPN protocol. Ook remote acces policies brachten geen resultaten op. Routing protocollen waren correct geconfigureerd. Ik heb meerdere malen de VPN server opnieuw geconfigureerd. Uiteindelijk ben ik op een forum terecht gekomen van D-Link zelf waar ik de mogelijk oorzaak gevonden had. D-Link DIR600L zou het GRE protocol niet ondersteunen. En aangezien we voor PPTP toe te staan poort 1723 en protocol 47 GRE door de firewall moesten loodsen zal een VPN niet werken. Ik heb talloze pogingen gedaan om dit op te lossen. Intern werkte alles maar extern niet. Ik had een oudere router gevonden in de serverruimte en ook hier behaalde ik geen succes mee.Het kon nog steeds aan de router(s) liggen maar ik heb het voorstel gehad om het met Windows server2008 R2 te proberen. Ik heb de ganse procedure nog een keer opnieuw gedaan met Windows Server 2008 R2 als VPN. Om problemen te vermijden gebruikte ik alles van de oudere versie. Dus de oude router en Windows Server2008 R2. Hierbij had een succesvolle VPN verbinding.
Figuur 2.6: Succesvolle VPN Ik had een gedeeltelijke configuratie toegepast op de reverse proxy omdat mijn tijd die dag beperkt was. Een volledige configuratie was niet meer haalbaar en zal daardoor later hervat worden. We voegden een Role toe ”web platform IIS 8”. Dan gingen we web platform installer 5.0 downloaden en installeren . Hier gingen we IRR 3.0 en URL Rewrite 2.0 toevoegen en installeren.
Active Directory Ik begon met het opzetten van een AD. Deze plaatste ik achter de Reverse Proxy. Als aan alle voorwaarden werd voldaan bij de Reverse Proxy zal men doorverwezen worden naar de Active Directory. In de Active Directory zal bepaald worden waar je uiteindelijk terecht komt op de server. De AD installeren was een straight forward installatie. Toen ik de Reverse Proxy wou toevoegen aan het domein kreeg ik een error die me vertelde dat het ”Path” incorrect was. Dit kwam door een typefout in de AD. Namelijk geocortext.eu i.p.v. geocortex.eu Ik probeerde dit op te lossen door het domein aan te passen via een XML-script. Maar dit leverde geen positief resultaat.
Figuur 2.7: Domainlist.xml file waar ik geocortext naar geocortex heb veranderd
Om geen tijd meer te verspillen begon ik met een nieuwe installatie van een clone van de Reverse Proxy. Hier heb ik de bestaande Role (IIS) verwijderd en een snapshot genomen voor toekomstige problemen en terug een AD aangemaakt. Maar wanneer ik het proces bij de Reverse Proxy hervatte, kreeg ik weer dezelfde error. Dit was raar omdat alles correct ingesteld was. Het probleem lag hem bij de DNS. Een DNS vertaalt IP naar computernamen en omgekeerd. Ik verwees naar de DNS van de router die op zijn beurt naar de Telenet router gaat. Aangezien de router die ik heb geprogrammeerd niet weet wie of wat de AD i zal de Reverse Proxy niet automatisch naar het ip 192.168.0.6 gaan. Ik moest dus de DNS veranderen van 192.168.0.1 naar 192.168.0.6. Een Domain Controller heeft een eigen DNS. Deze kan zelf onderscheiden of zien welk IP tot welke server/pc behoort. Als we dus rechtstreeks naar de AD verwijzen vanuit de Reverse Proxy dan wordt de Reverse Proxy wel succesvol toegevoegd aan het domein. Aangezien ik een clone had genomen van de Reverse Proxy moet ik nu een sysprep. doen en de Key opnieuw ingeven. office 365 Straight forward het correcte pakket kiezen en hier een trial account mee starten met mijnstage promotor zijn gegevens. Bij office Cloud had ik nu administrator rechten gekregen om mijn taken verder te kunnen vervullen.
Hybrid We gingen een hybrid maken van Office 365 en onze AD die we gecre¨eerd hadden. Om dit te verwezenlijken moesten we dus office 365 synchroniseren met de AD. Na wat opzoekwerk bleek dat dit verwezenlijkt werd door het gebruik van een DirectoySynchronizer & wachtwoord hashsynchronization. Eerst moesten we nog het domein toevoegen aan office 365. Dit heeft een straight forward wizard in office portal zelf. Hier moesten we op het einde een soort van verificatie doen of bewijs leveren. Dit werd gedaan door naar de ”Provider”te gaan van de site ” one.com ” in dit geval.En daar een TMT en MX verificatie doen. Dit gedeelte heeft mijn stagebegeleider gedaan en daar heb ik geen verder informatie over. Nu bleek dat ik weer een probleem met VPN had. Ik kon connecteren via VPN maar had geen mogelijkheid om een verbinding tot stand te brengen via remote desktop of Vsphere. Aangezien ik kon connecteren, maar geen remote acces kreeg leek het me logisch dat ik eens moest gaan kijken naar de AD in Users & computers. Ik moest kennelijk mezelf en Stage promotor nog toevoegen als object in ”remote user accounts” in ”Builtin” en ik had dan in ´e´en moeite ons ook toegevoegd aan ”domain administrators”bij ”Users”. De volgende stap was het synchroniseren. Het stapje AD remediation. Ik heb de ID-FIX tool gebruikt omdat dit aangeraden werd door online bronnen. Vervolgens had mijn stage promotor me gevraagd om de 64-bit powershell van het office portal te installeren. Ik kreeg vrij snel mijn eerste error die me erop wees dat ik login assistance 7.0 versie of hoger nodig had. Ondanks het feit dat ik kon visualiseren dat ik versie 7.25 had. Internet bronnen boden geen oplossing. De stage promotor had zijn installatie-programma in zijn geschiedenis gevonden en mij deze doorgemaild. Dit werkte. Vervolgens moest ik dan de Directory Synch. installeren en configureren. Maar deze vond vreemd genoeg powershell 2.0 of hoger niet op het systeem.Nochtans had ik die ge¨ınstalleerd. Ik had versie 3.0 en 4.0 ge¨ınstalleerd en kreeg steeds dezelfde error. Na wat opzoekwerk bleek het probleem te zitten dat we in onze zone powershell 2.0/4.0 hadden en dat het programma actief zochtnaar powershell 2,0/4,0. Hiervoor had ik de settingen veranderd van Belgisch (punt) naar English( US ). By default gaat de synchronisatie om het uur automatisch gebeuren. Ik moest mijn veranderingen manueel doorvoeren via powershell voor testing. Ik vond het vreemd dat ik ”hybridenable”niet kon selecteren bij de configuratie van DirSync.
Figuur 2.8: Op dit vinkje kon ik niet klikken tijdens mijn configuratie. Een office bron vermelde dat je voor office 2013 een hybridlicense nodig had. En deze license is enkel verkrijgbaar bij het Enterprisepakket. Aangezien ik de hele omgeving met een trial account ben aan het opzetten, was dit hoogst waarschijnlijk de oorzaak dat ik ”Hybrid Enable”niet kon selecteren in de wizard Na overleg met de administrator heeft mijn stagebegeleider besloten dat de hybrid niet van essentieel belang is. Het had alleen gemakkelijker geweest. Ik zette een testomgeving op, waar weinig of niets via office 365 aangepast zal worden qua username en password. Wijzigingen voeren wij vooral door via de AD. En aangezien de DirSync onze AD spiegelt naar Azure, zal de hybrid wijzigingen van office (azure) doorvoeren of syncen met de AD. We laten het hybrid gedeelte vallen en daardoor was het eerste deel van de testomgeving was opgezet.
ADFS (1) Om een ADFS te cre¨eren moesten we aan een aantal voorwaarden voldoen. De ADFS mag niet op de AD server staan. ADFS moet aanwezig zijn op een server dat tot het domein behoort.
Figuur 2.9: Role Services In Windows server 2012 wordt de ADFS ge¨ınstalleerd of toegevoegd via Roles and Features. ADFS zelf toevoegen op zichzelf is straight forward. De ADFS-Role aanklikken en vervolgens telkens ”next”. Zo kon ik aan wizard van ADFS beginnen.
Zowel voor mezelf als voor mijn stagepromotor is dit nieuw terrein.Tijdens de wizard moet je een certificaat toevoegen. Eerst en vooral had ik een CSR-certificaat nodig. Deze kan op twee manieren gemaakt worden. • Je kan ”certificaat manager”starten en dan het onderstaande voorbeeld volgen om een CRS te maken
• Deze manier heb ik gebruikt omdat deze meer straight forward is of was. Ook omdat bij deze manier ik mijn CRS bestandje vond.
Ik maakte een account aan op CaCert voor het vervolledigen van mijn certificaat. Ik moest het domein toevoegen aan mijn CaCert-account. Dit vooraleer ik het CSR bestand kon gebruiken voor een certificaat. Dit was niet mogelijk omdat ik nog geen volledige wizard op Portal.Office had doorlopen voor het installeren van het domein. Deze wizard heeft mijn stagepromotor voor mij afgemaakt. Wanneer deze wizard was afgerond heb ik mijn stappen op CaCert herhaalt. Er werd een proefverbinding gelegd. Deze was succesvol. Zo konden we vaststellen dat ons domein met portal.office perfect werkte. De volgende stap op CaCert vereiste een mailadres met rechten. Ik moest een Alias cre¨eren op het domein dat conform was met ´e´en van de opties van Cacert. Dit alias verwijst dan door naar mij en naar mijn stagepromotor. Dit alias ” [email protected] ”werd gecre¨eerd en toegevoegd aan een ”group”die ik eerder had aangemaakt.. Deze groups zijn ”Orgnization Units”. De toegevoegde OU’s zijn opgedeeld naar de structuur van het bedrijf. Namelijk: Admin/Management/sales/Development. ”Alias” is de OU dat de admin alias bevat. Deze verbindt CaCert met zowel mezelf als met mijn stagepromotor. Volgens internetbronnen moest ik deze configuraties updaten via powershell.
Dit werkte niet. Ik had de DirSync wizard nog eens doorlopen maar dan met mijn oud mailadres. [email protected] aangezien we het domein naar ”geocortex”hadden gezet zijn alle mails nu @geocortex.eu. Dit verhinderde de synchronisatie.
Daarom moest ik de wizard doorlopen en mijn credentials vervangen. Vervolgens nog een keer manueel een synchronisatie gedaan en nu is mijn [email protected] alias te zien op portal.office. Nu kon de volgende stap op CaCert vervolledigd worden. Wireless Mijn stagepromotor gaf op een gegeven ogenblik voorrang aan een ander probleem. Om WiFi in het hele gebouw te hebben zijn er meerdere routers nodig. Elke router heeft momenteel een eigen SSID en is dus een netwerk op zichzelf. Wanneer men zich verplaatste in het bedrijf , verloor men connectie met router A en connecteerde men met router B achteraf. Tijdens een demo veroorzaakt dit problemen. Ik had de Core-Router (ofwel de main) op zijn plaats laten staan. Ook de configuratie van deze router is niet gewijzigd. Ik heb de resterende routers als range- extenders geconfigureerd. Dit is een topic dat we uitgebreid op school hebben gezien. Voordeel is dat je ´e´en groot netwerk krijgt waardoor je jezelf door het volledige gebouw kunt verplaatsen zonder de connectie te verliezen. Nadeel is dat je de bandbreedte ongeveer halveert op de acces points omdat deze zowel verbinding met de Core-Router als met de clients hebben.
ADFS(2) Nadat het WiFi-probleem was opgelost was ik terug met mijn ADFS project gestart. Hier heb ik een volledige handleiding voor gemaakt. Mijn stagepromotor wou na de installatie van ”the trusted parties” al eens testen. Resultaat: Zolang alles lokaal bleef draaien dan werkte mijn huidige opstelling/configuratie. Vanaf dat ik de reverse proxy naar zichzelf moest laten verwijzen gaf dit problemen. Mijn stagepromotor vertelde me dat dit altijd problemen zou geven. Zo hebben we snel beslist om de opmerking in de research te volgen. Namelijk: de ADFS op een aparte VM zetten. Omdat de resources (RAM-geheugen voornamelijk) beperkt zijn in de test omgeving wou mijn stagepromotor dit vermijden. Ik had hetzelfde probleem met het certificaat zoals hiervoor. Maar ik had nog een powershell script staan dat ik gebruikt had voor het oplossen van hetzelfde probleem. Wanneer deze installatie ten einde was.Gingen we testen of deze service werkte of niet. We ontdekten al gauw dat er nog een paar fouten waren. Het opnieuw installeren van de IIS op de Reverse Proxy Clone heeft niet de settingen van de Proxy ongedaan gemaakt. Daardoor kon ik deze nog steeds manueel afzetten. Vervolgens bleek er een fout te zitten in het HTTP gedeelte, wat enkel kon duiden op een router - of firewall probleem. Aangezien bij het uitschakelen van de firewall het probleem zich nog steeds voordeed, beseften we dat we HTTPS vergeten waren. En dat er dus nog een Rule toegevoegd moest worden voor poort 443 in de router. Dit loste het probleem op. Ik zat nog met een Forbidden error waar ik mijn weg niet in vond. Op aanraden van mijn stage begeleider zag ik in dat er een aantal features nog nodig waren die niet bij de basis installatie van IIS zaten. Alles zou Single Sign On moeten zijn en met elkaar moeten kunnen communiceren op de server. De eerdere problematiek met ISS heb ik genegeerd qua Forbidden error pages. Dit heeft allemaal te maken met het certificaat. Het certificaat is een Self-Signed certificaat en wordt dus niet door een derde instantie gecontroleerd omdat we geen centen uitgeven aan iets dat enkel om te testen dient.Indien
dit werkte ging ik later alles samenvoegen en testen. Dan werd de omgeving naar de lifeomgeving gebracht waar wel een officieel certificaat voor bestaat. Hier zou ik geen problemen mogen krijgen i.v.m. het certificaat en bepaalde Forbidden Rules. Ik ben begonnen aan de testing van het geheel en dit bleek te werken. Ik kon perfect op portal office inloggen door enkel mijn account in te geven.
Ongeluk Stagebegeleider Mijn stagebegeleider heeft een ongeluk met de motor gehad. Hij was voor onbepaalde duur buiten strijd. Ik kreeg orders via Linq/Skype en werd ook op deze manier ondersteund. Bart was aanwezig om te helpen waar hij kon, wanneer Erik niet bereikbaar was. Ik kreeg een unieke kans aangeboden om net dat beetje meer van het echte werkleven te proeven. Wat een leuke ervaring was. Dit bracht mijn leerproces nog een versnelling hoger en het vereiste ook een zeker vorm van maturiteit. UPS De informatie was schaars. Het heeft ook enige tijd gekost om de achterhalen wat voor UPS’en het waren. Dit Na het samen zitten met mijn stagebegeleider Na een lange zoektocht heb ik gevonden welke UPS’en aanwezig waren. En ook wat de specificaties waren uiteraard. Het probleem waarom deze nog niet zijn geconfigureerd zoals het hoort is simpel. Deze UPS’en hebben geen interface kaart. Erik was ervan overtuigd dat het dus niet mogelijk is de UPS te configureren. Ik heb in mijn zoektocht toch 2 internetbronnen gevonden die beweren dat je de UPS via USB kunt configureren.Ik heb deze informatie opgeslagen en doorgestuurd. Erik zal hier ongetwijfeld werk van maken in de nabije toekomst. • Bron A • Bron B Geen van beide bronnen zijn toegepast of getest. Dit moet tijdens een vakantie periode uitvoerig getest kunnen worden.
Certificaten Ik heb oplossingen gezocht voor een self-signed certificaat als default trusted (vertrouwd) te configureren. Hier heb ik geen legale oplossing voor gevonden. Met het certificaat van GoDaddy is dit opgelost op de live omgeving. Dit omdat GoDaddy een ”third-party”(derde partij) is dat instaat voor de garantie van een geldig certificaat. Dit is een gecontroleerde uitgever en wordt dus als ”trusted” aanvaard op het web.
Figuur 2.13: Remote Connectivity Analyzer geeft een failure bij het certificaat
Integratie ADFS Bij de integratie van de ADFS uit de demo omgeving is er niets speciaal gebeurd. Enkel een error in verband met de WID maar deze was opgelost met het opnieuw installeren van server2012 en een reboot van het desbetreffende systeem. Bij de implementatie zelf was alles operatief. En in de resterende paar werkuren van de dag hebben we geen klachten ontvangen.Dus gingen we er van uit dat alles in orde was. De implementatie van de live omgeving is exact hetzelfde verlopen als die van de demo omgeving. Hiervan is een Handleiding voorzien met alle nodige stappen Echter de volgende dag bleek de ADFS niet voor iedereen operatief te zijn. Sterker nog de mailserver was niet meer zo functioneel als deze had moeten zijn. De klachten waren verschillend en dus was het moeilijk om een oorzaak vast te stellen. Aangezien dit in de live omgeving operatief was hebben we na een uur besloten de ADFS er terug uit te halen. Het personeel moest verder kunnen werken. Wanneer Erik terug beter is gaan we de implementatie hervatten in een weekend om zo min mogelijk problemen te veroorzaken.
Nadat het ADFS project op hold werd gezet. Heeft men mij gevraagd of ik een tweede project wou beginnen. Aangezien ik in de helft van mijn stage zat vond ik dit goed. Het project draaide om netwerkbeveiliging. Men had een audit over een paar maanden. Voor deze audit moest alles inorde zijn inzake het desbetreffende onderwerp. Netwerk Security dus. Mijn stage promotor had me de opdracht gegeven om de veiligheid na te kijken. Wat is er op dit moment een risico en wat kunnen we eraan doen. In mijn eerste stadium heb ik een aantal netwerk scans gedaan. Ik heb zowel met kali linux als met free version scans het netwerk geanalyseerd. Ik kreeg telkens vrij gelijkaardige resultaten
Figuur 2.14: Voorbeeld van een netwerkscanner met GUI. Hiervoor heb ik een aparte laptop gekregen met Kali Linux als OS. Dit was nodig om een uitgebreide controle te kunnen doen. Na een paar dagen scannen en testen vond ik een server buiten de DMZ. Dit bleek de CRM te zijn. Ik kon zowel van bij mij thuis als van bij een internetcaf´e de server bereiken. Ik had enkel een username en wachtwoord nodig. Aangezien er een protocol is voor de usernames in het bedrijf, zijn deze niet moeilijk te vinden. Enkele personen zijn op de site van SIGGIS zelf vermeld. Wat de wachtwoorden betreft zou ik gebruik maken van de ”55.000 meest voorkomende wachtwoorden¨als woordenboek in een bruteforce. Dit is via google te vinden.
Ik heb geen actieve brute force gedaan. Dit omdat het systeem kan falen. CRM bevat kritieke data voor SIGGIS. Dat risico is het niet waard. Men weet dat het een risico is. Na wat ”sociaal”zijn kon ik vast stellen dat er minstens 2 collega’s een ”standaard”password hadden. Een voorbeeld van een standaard password is maand + jaartal of ”voornaam/achternaam + jaartal”. Na het analyseren van het netwerk heb ik een aantal toepassingen uitgeschreven waarmee we de veiligheid van data ”beter”kunnen garanderen. Basis Maatregelen • Verzin een moeilijk paswoord. • Schrijf je paswoord nergens niet op. • Deel je paswoord ”niet”met een collega. • Gebruik geen USB dat niet van jou is op een bedrijfstoestel. • Hou alle programma’s up-to-date. • Hou personeel op de hoogte van de nieuwste security threats en social targets van kwaadwillige personen. • Vermijd een draadloos netwerk en beveilig het als het niet anders kan. • Beveilig smartphones. 30 day password change Veel interne personen kennen het wachtwoord van een collega. Dit is niet ideaal. Er wordt hier gewerkt met interims en stagiairs. Het is beter om zeker te zijn als iemand het gebouw verlaat, deze geen ongewenste toegang meer heeft tot vertrouwde informatie. Of dit nu voor onbepaalde duur is of permanent.
3 Attempts , account lock , manual unlock Wanneer er 3 mislukte pogingen zijn geweest voor het inloggen van een gebruiker wordt het account op lock zetten. En deze moet dan manueel worden ge-unlocked. Dit is een haalbare kaart omdat het een relatief klein bedrijf is (40 personen) . Op deze manier kan je bevestigen of de desbetreffende persoon effectief heeft geprobeerd om op zijn eigen account in te loggen of niet. Enhance VPN Momenteel kan iemand van op eender welke client een VPN connectie maken. Zo kan een ontevreden werknemer een VPN verbinding van uit een internetcaf´e starten en zo anoniem zijn gang gaan. Het voorbeeld lijkt extreem, maar het gebeurt. Ook een ontslagen werknemer dat zijn laptop heeft moeten afgeven kan op een eigen laptop een VPN connectie instellen en connectie maken en zo een VPN verbinding tot stand brengen zolang hij of zij in het bezit is van een ” username ”. Wat niet moeilijk is aangezien er een vaste standaard heerst in SIGGIS. Aangezien de meeste collega’s elkaars wachtwoord weten, moet men zelfs niet veel moeite doen voor een succesvolle connectie. VPN op ID zou een oplossing hiervoor zijn. Zo beslist de Administrator welke PCs er op de VPN kunnen connecteren. Bitlocker Wanneer een werknemer zijn laptop vergeet op de trein en lokaal gevoelige data op zijn laptop heeft staan. Zal d.m.v. het plaatsen van de harde schijf in een andere PC de gebruiker niet in staat zijn de data te lezen op de schijf.Als deze niet in het bezit is van een specifieke USB-sleutel of wachtwoord naargelang de encryptie methode die door de administrator gekozen is. Flashdrives Disable FLASH DRIVES DISABLE. Momenteel gebruikt iedereen zijn eigen persoonlijke USB-stick.Dit is niet ideaal. Er kan allerlei schadelijke software aanwezig zijn op dit apparaat. We wensen dus niet om schadelijke software in het domein te krijgen. Een anekdote is bijvoorbeeld de eerste dag op SIGGIS. Iemand had een USB stick gevonden bij ”ESSO” en vroeg : kan je eens kijken wat erop staat. Zo gevraagd, zo gedaan. Dit ”kan”niet normaal gezien. SIGGIS is geen bank maar er kan op dat moment veel informatie onttrokken worden uit een PC.Zoals de verrichte transacties of het stelen van een klantenlijst. Dit lossen we op door USB flash drive standaard in ”deny”te zetten op computers die in het domein zitten.
eID Een algemene oplossing voor security is het gebruik van een smartcard. Een smartcard die je niet ”mag”vergeten. Een smartcard die niet ”mag” / ”kan”vervalst worden. De elektronische pas die we allemaal bezitten. Men zal een e-ID reader moeten hebben als deze al dan niet aanwezig is zoals in de meeste recente computers op het bedrijf. Bij het inloggen geef je geen username en wachtwoord in. De ITadmin gaat jou unieke ID van je e-ID aan jou username toevoegen in het domein. De authenticatie bestaat dan uit de pincode van je e-ID. Deze deel je nooit met iemand anders, onder geen enkele voorwaarde.
Figuur 2.15: Name Mapping om een eID aan een user te koppelen De IT-admin kan ten allen tijde een 2e authenticatie opzetten namelijk username en wachtwoord indien hij zelf veranderingen moet toebrengen , of als iemand zijn e-ID toch is vergeten. Deze zal dan eerst telefonisch contact moeten opnemen met de IT admin die de verantwoordelijkheid draagt van deze policy. Zo is er ten allen tijde een fysieke authenticatie. Voor hackers is de investering voor het omzeilen groter dan het voordeel dat men eruit haalt bij een bedrijf zoals SIGGIS.
keuze Mijn stagepromotor had gevraagd ”Bitlocker” op te zoeken. Ik moest wat de pro’s en contra’s van ”Bitlocker” uitschrijven en zelf een analyse maken. Bitlocker is een goed concept voor kritieke apparaten. Daarmee bedoel ik dat Bitlocker op ” alle ”computers geen meeropbrengst heeft. Met Bitlocker op een computer kan je de hardeschijf encrypteren. Zo is bij diefstal een derde persoon niet in staat de schijf uit te lezen op zijn eigen computer. Bitlocker kan gebruikt worden met een wachtwoord of met een USB flash drive. Het concept van een USB leek me het beste. Dit vereiste een fysieke authenticatie. Men moet zowel de harde schijf als de USB bezitten om de lokale data uit te lezen. Maar een USB verlies je gemakkelijk of vergeet je snel. Bitlocker omzeilen is zeer moeilijk en dus heeft dit geen meerwaarde. Het concept van een wachtwoord is wel goed. Enkel wilt men geen wachtwoord over een wachtwoord hebben. Dit ”lijkt”nutteloos maar is het niet. Er moet door de administrator overwogen worden of dat het nuttig is om de desbetreffende PC met Bitlocker te beveiligen. Dit vraagt tijd om te configureren en te onderhouden. Want elk wachtwoord moet regelmatig gewijzigd worden. Ook moesten de werknemers dit nog een goed idee vinden. En dit was niet het geval. Men wou geen 2 wachtwoorden onthouden en dit regelmatig wijzigen. Op de servers en de laptop van de administrator is Bitlocker wel actief. Wanneer men een remote desktop verbinding heeft met de laptop van de administrator, zijn de bestanden op de laptop van de administrator ge-encrypteerd. En is het dus moeilijk om op de achtergrond gegevens uit te lezen tijden een sessie. Mijn stagepromotor heeft me na dit concept vrij spel gegeven. Mijn opdracht luidde: zoek iets dat veiliger is en gemakkelijker.
Omtrent veiligheid is het in een netwerk moeilijk om iets te beveiligen zonder het moelijker te maken. Maar ik ben op het e-ID concept gestoten. Aangezien het mogelijk is om zich via e-ID te authentiseren op een netwerk, dacht ik een oplossing gevonden te hebben. In plaats van een lang en complex wachtwoord te moeten onthouden kon dit door middel van een eenvoudige 4-digit combinatie. Zo zou men misschien ook minder problemen hebben met het Bitlocker-concept. Ik heb echter een zeer moeilijke ontwikkeling doorstaan met e-ID. Er waren slechts 2 guides op het web te vinden. Dit was nog een vrij nieuw begrip. Aangezien ik me in een vrij nieuw concept bevond moest ik terug van nul beginnen met leren. Naarmate de dagen vorderden en de trial en error testing geavanceerder werd, begon ik ook meer te begrijpen hoe alles in elkaar zat. Zo heb ik uiteindelijk een correcte interpretatie van deze 2 guides kunnen maken. Een volledig guide is uitgeschreven door mezelf. Het is later de bedoeling dat e-ID gebruikt wordt voor alle authenticaties naar het netwerk toe. Zowel VPN , Intranet, Mobile, etc. VPN is username gebaseerd bij aanvang. Het verhaal was identiek aan dat van CRM. Als je een username en wachtwoord hebt en enkele basis gegevens kan je op een useraccount van thuis uit een VPN verbindingen open zetten. of met eender welke computer van bij u thuis of van uit een internetcaf´e gegevens van het netwerk halen. Doordat we VPN nu authentiseren via e-ID is dit niet meer mogelijk. Sterker nog, elke pc kan slechts ´e´en specifiek persoon authentiseren via VPN. Ik kan bijvoorbeeld niet via VPN verbinding maken met mijn stagepromotor zijn laptop. Dit wil zeggen dat als er op persoon X zijn account iets gebeurt via VPN,we mogen stellen dat hij/zij dit zelf is. Want om een VPN verbinding te maken moet je in bezit zijn van de e-ID van de persoon. Men moet ook in het bezit zijn van de harde schijf van dezelfde persoon alsook kennis hebben van het 4-digit wachtwoord van de e-IDen men moet het wachtwoord voor de harde schijf kennen om deze te decrypteren indien bitlocker actief is. Dit wordt gedaan door certificaten van het e-ID te gebruiken om de authenticatie te specifi¨eren naar 1 persoon. Dit vraagt tijd en inzet van de administrator. Maar het vraagt weinig onderhoud. Enkel als men in het bezit komt van een nieuwe e-ID vereist dit onderhoud. Password changes worden door de overheid zelf onderhouden. De persoon kan zoveel veranderen als hij of zij wilt. Dit heeft geen invloed op de administrator zijn netwerk of het account zelf. SIGGIS is geen bank. de kans is weinig waarschijnlijk dat de concurrentie of een hacker al deze moeite gaat doen voor een bedrijf zoals SIGGIS. De inspanningen staan niet in balans met de
HOOFDSTUK 2. WELKE TOOLS / SOFTWARE / CONFIGURATIES verdiensten. Men kan stellen dat op deze wijze de authenticatie ”veilig” is.
38
Hoofdstuk
3
Resultaten ADFS - project was een succes in de testomgeving. Hier was een Single Sign On systeem operatief. Nadat het in de testomgeving functioneerde, is de configuratie in het bedrijfsnetwerk toegepast. Hier hebben we aanvankelijk een succesvolle configuratie verwezenlijkt. Een dag later bleek dat de ADFS niet voor ” iedereen ”werkte. Daarom is de ADFS tijdelijk uit het bedrijfsnetwerk gehaald. Deze zal later terug ge¨ıntegreerd worden. Men moet eerst de mogelijkheid hebben om het te testenin het bedrijfsnetwerk. Hier maakte ik geen deel meer van uit aangezien mijn stageperiode ten einde liep. Bitlocker zorgt voor de encryptie van de harde schijven. Deze is in een testcase toegepast en heeft zijn voor - en nadelen getoond. Op de administrator laptop en servers is bitlocker geinstalleerd. Verder is deze toepassing nog niet actief. E´en van de grotere voordelen is dat je een extra laag van beveiliging krijgt. Er zal een extra wachtwoord vereist worden bij het opstarten van de PC. Een Start-Up Key van Bitlocker is een ”knap”concept hiervoor. Men moet dan een USB flashdrive gebruiken voor het opstarten. Dit is niet ideaal omdat een USB flashdrive snel en gemakkelijk vergeten kan worden. Bitlocker is moeilijk te omzeilen waardoor het niet de moeite is om te configureren. Het wachtwoord op zich zou voldoende bescherming moeten bieden aan lokale gegevensdie op de laptop opgeslagen zijn. Een extra wachtwoord is voor veel werknemers eerder een last dan een oplossing. Vandaar dat de configuratie enkel actief is op de meest essenti¨ele laptop.Namelijk die van de administrator. E-ID zorgt ervoor dat er twee vormen van authenticatie aanwezig zijn . Namelijk 1: iets dat je bezit (de smartcard ) en 2: iets dat je weet ( de pincode ). Theoretisch gezien is er een derde vorm van authenticatie ( iets wat je bent ) . Het gaat tenslotte om jouw identiteitskaart waar al jouw gegevens op te vinden zijn. Het is geen biometrische authenticatie zoals fingerprinting. Fingerprinting is niet ge¨ımplementeerd omdat dit geen volledige garantie op werken heeft. Deze garantie is van essentieel belang om iets door te voeren. Deze is getest en aanvaard als een goed 39
HOOFDSTUK 3. RESULTATEN
40
alternatief. Dit om de security te vergroten en de opvolging van users voor de administratorte vergemakkelijken. Het enige nadeel is echter dat het onderhoud vereist wanneer de smartcard zoek geraakt of vervallen is.
3.1
Probleem en Oplossing
CaCertCertificaat op de test omgeving was een probleem. Om te kunnen aantonen dat deze omgeving perfect werkte moesten we dit certificaat ”vertrouwd”krijgen in de webbrowser. Dit was blijkbaar niet mogelijk met een self-signed certificaat. Dit werd niet opgelost omdat het niet van toepassing was op het bedrijfsnetwerk zelf.
In het bedrijfsnetwerk is er geen probleem. Hier is een betaald en signed certificaat aanwezig van GoDaddy. Dit certificaat is wel vertrouwd.
HOOFDSTUK 3. RESULTATEN
41
De WID (Windows Integrated Databse) bij implementatie van het ADFS in het bedrijfsnetwerk gaf een error. Deze error vertelde dat er reeds een database aanwezig was. Er zijn een aantal acties ondernomen geweest om deze error te herstellen. Het opnieuw installeren van de Windows Server op de VM was de enige werkende oplossing.
HOOFDSTUK 3. RESULTATEN
42
Bitlocker gaf een aantal problemen. Bij aanvang ben ik begonnen met de schijven van de servers te encrypteren. Met een USB stick kon je jezelf authentiseren om toegang te krijgen op de schijf. Dit gaf een reeks van problemen. De Recovery Key kon niet opslagen worden op dezelfde partitie of op de USB sleutel zelf. Deze Recovery Key is het noodplan om aan data te geraken indien de USB sleutel kapot of zoek geraakt. Het is dus niet de bedoeling de Recovery Key daarop te slaan. Ik heb dan het alternatief genomen. Een ” username ” en ”wachtwoord ” om de server-schijven te ” unlocken ” . Op deze wijze was de veiligheid van informatie op de server zelf gegarandeerd.
Een niet te vergeten probleem is de TMP processor. Deze moet je voor USB-authenticatie uitzetten. Op een fysieke server is dit een manuele component dat je kan uitschakelen. Op een Virtuele Machine is dit ”niet”zo. Er is een korte handleiding voorzien in Bijlage A. Hierin wordt duidelijk uitgelegd hoe je dit doet.
HOOFDSTUK 3. RESULTATEN
43
Het was niet gemakkelijk om over e-ID informatie te vinden. Er is maar weinig documentatie beschikbaar betreffende de implementatie in een domein. De installatie van de ”Middle Ware”was vanzelfsprekend.Het correct configureren van certificaten en het authentiseren was moeilijker vanwege de beperkte informatie. Ook mijn kennis was te beperkt bij aanvang van dit project. Naarmate het project vorderde,vergaarde ik meer kennis over de desbetreffende zaken en begreep ik meer van de gevonden informatie. Hierdoor heb ik de e-ID authenticatie succesvol kunnen implementeren.
UPS batterijen configureren was moeilijk vanwege de schaarse Informatie.Ik wist niet welke UPS batterijen men had. De persoon dat dit wist was een korte tijd niet bereikbaar en wist dit zelf niet met volledige zekerheid te zeggen. Na het samenzitten met mijn stagebegeleider vonden we welke types UPS batterijen er aanwezig waren. Dit maakte het research eenvoudiger. De UPS batterijen bevatten geen interface I/O. Er moest dus op een andere manier een configuratie worden toegepast op de UPS batterijen. Hier heb ik dan een oplossing voor gevonden op een forum.Hier claimde men dat een UPS batterij geconfigureerd kan worden door middel van het gebruik van een USB flash drive. Deze bronnen zijn vermeld in de bibliografie
Hoofdstuk
4
Besluit Persoonlijk vond ik het grote stap van school naar werk ( stage ). In een bedrijf werk je niet individueel of enkel in team. Je moet rekening houden met het geheel. In mijn geval toch. Ik kan me inbeelden dat dit voor programmeurs anders is. Bij aanvang had ik een test omgeving. Deze omgeving gaf me het comfortabele gevoel van op de schoolbanken. Er kan en mag iets fout gaan. Het doel is een correct project bekomen. Dit bekom je net zoals je op het school hebt geleerd. Door middel van onderzoek, configuratie, testen en eventueel verbeteren/oplossen van problemen. Wanneer je in de schoenen stapt van je begeleider. Wanneer je ”jouw”geteste resultaten gaat implementeren in een bedrijfsnetwerk kom je zaken tegen waar ze je op school niet op kunnen voorbereiden, denk ik. Je moet met zoveel extra rekening houden. Je heb alle werknemers die afhankelijk zijn van jou acties. Je hebt je oversten die je moet overtuigen dat ”jouw”werk ”zin”heeft. Je moet weten/onthouden wat er allemaal actief is, wat actief moet blijven en wat inactief ”mag”worden. Dit laatste deel kan je onmogelijk in een school omgeving leren in mijn vakgebied. Een belangrijk aspect in het bedrijfsleven is dat wanneer je een idee hebt, je dit altijd naar voor kan brengen. Echter moet je een sterke motivatie hebben en research verricht hebben om het concept tot een project te lanceren bij je overste. Vervolgens is de start van een project geen garantie op integratie van een project. Hiervoor heb je uiteraard je stage. Om dat beetje extra ervaring te vergaren.
44
HOOFDSTUK 4. BESLUIT
45
Kort samengevat heb ik als local-administrator een mooie voorbereiding gehad tijdens mijn school opleiding.Echter er zijn zaken waar ze je niet op school leert. ADFS bijvoorbeeld werkte perfect in de Demo-omgeving waar de omstandigheden ideaal zijn. Maar in de Live-omgeving kende deze toepassing toch problemen. Dit omdat er een aantal zaken verschillen in de 2 netwerken. In de Demo omgeving werken we clean en enkel met de noodzakelijk servers en services. Maar in de live omgeving hebben we nog een extra aantal zaken om rekening mee te houden. Namelijk het aantal gebruikers , 2x DMZ , CRM & ERPsysteem waarop je je moet authentiseren met gebruikers.Qua netwerk security is het belangrijk te onthouden ”hoe veilig moet het juist zijn? ” en ”hoe reageert de doelgroep op jouw toepassingen of implementaties?”. Bijvoorbeeld de reactie op ”30-day password change”was zeer heftig. Men wilde niet elke 30dagen een ander wachtwoord van buiten leren. Aan de andere kant was men zeer enthousiast over het e-ID authenticatie proces. Dit omdat het voor de gebruiker gemakkelijker is. Voor de IT administrator is dit een stuk veiliger en bevat het minder risico. E-ID kaarten vervallen na enige tijd. Omdat elke kaart uniek is vergt dit onderhoud van de lokale administrator.
Bijlage
A
Documentatie A.1
Handleidingen
• Certificaten toevoegen file:./Guides/AddCertificateADFS.pdf • ADFS configureren file:./Guides/ADFSLiveGuide.pdf • ADFS en Office 365 verbinden file:./Guides/ConnectADFStoOffice365.pdf ˜ ren • Certificaat creA file:./Guides/CreateCertificateGuide.pdf • Bitlocker (server document) implementeren. file:./Guides/bitlocker.pdf file:./Guides/TMPbitlocker.pdf • ProductKey Vinden en Doorsturen (domein) file:./Guides/LicenseKeyZoekenGuide.pdf • How to e-ID file:./Guides/eID.pdf • How to e-ID VPN Juniper file:./Guides/eID-Juniper.pdf
• Rename Domain Online Handleiding https://mizitechinfo.wordpress.com/2013/06/10/simple-guide-how-to-rename-domain-name-in-w • ID-FIX tool http://www.microsoft.com/en-us/download/details.aspx?id=36832 • Eerste online Guide voor eID in een domein http://www.slideshare.net/adebilloez/ad-authentication-with-be-eid • Tweede online Guide voor eID in een domein http://blogs.msdn.com/b/spatdsg/archive/2008/04/17/smartcard-in-2008-and-vista. aspx • Online bron voor Troubleshooting van smart card logon http://download.mysmartlogon.com/SmartPolicyv2/Troubleshooting%20smart%20card% 20logon%20authentication.pdf
Bijlage
B
Opmerkingen bij scripties Overzicht van de opmerkingen bij het nalezen van scripties. Deze opmerkingen later verwerken in de rest van de uitleg.
