De Citrix vulnerability… wat is er gebeurd en hoe te voorkomen?

januari 2020

Er is al veel gesproken en geschreven over de vulnerability (beveiligingskwetsbaarheid) die de afgelopen tijd is geconstateerd in de technologie van de Citrix Application Delivery Controller en de Netscaler Gateway. Deze producten worden ingezet om medewerkers op afstand te kunnen laten inloggen op de bedrijfssystemen.

Doordat deze vulnerability werd ontdekt konden medewerkers niet meer op afstand inloggen op bedrijfssystemen omdat organisaties ervoor kozen om de omgeving uit te schakelen. Dit om de risico’s ten aanzien van een mogelijke breach te beperken. Op de weg ontstonden zelfs “Citrix files” vanwege het extra woon-werkverkeer. Voor elke cybersecurity fabrikant en leverancier was dit een uitgelezen kans om de wereld nogmaals duidelijk te maken dat een digitale aanval vandaag de dag direct impact kan hebben op ons fysieke leven in de echte wereld.

Maar wat is er eigenlijk echt gebeurd, waarom ontstond deze paniek en belangrijker nog, hoe hadden we dit kunnen voorkomen? De cybersecurity wereld steekt eigenlijk niet heel anders in elkaar dan toen men nog oorlog voerde in loopgraven, op zee met kanonnen, of in de lucht met bommenwerpers… Echter het gevecht vindt nu digitaal plaats, tussen, met name, de “attackers” en de cybersecurity fabrikanten.

Vroeger bedacht men een nieuw wapen, bijvoorbeeld de lange afstandsraket, en als antwoord kwam er een meer geavanceerd luchtafweersysteem dat op basis van technologie de raket zag aankomen, het doel berekende, en vervolgens de raket uitschakelde op neutraal terrein in de lucht.

Maak gebruik van Threat Intelligence teams

Bij deze vulnerability hebben de cyberaanvallers een gedraging tussen de techniek van Citrix en de Apache webservers gevonden welke ze hebben misbruikt om zo zonder gebruikersnaam en wachtwoord toch binnen te komen in bedrijfssystemen. Op deze manier konden ze gevoelige bestanden stelen en ook kwaadaardige software achterlaten in het netwerk. Software, die bijvoorbeeld belangrijke data versleutelt (ransomware).

Voor de gebruiker is dit natuurlijk een serieus probleem want bestanden verliezen of gevoelige informatie lekken kan tot veel gevolgschade leiden voor de organisatie en haar klanten, medewerkers, studenten of (zorg)cliënten. De diverse Threat Intelligence Teams hebben deze breach dan ook hele hoge (het is nog net geen 10, en die zijn ook al eens aan Citrix uitgegeven…) scores gegeven als het gaat om gevoeligheid, risico en gevolgen (kritieke 9,8 CVSS v3.1 basisscore). Alle diepgaande technische details kan je ook vinden via dit artikel van dit artikel van Palo Alto Networks.

De gevolgen zijn bekend: ziekenhuizen, gemeentes en andere organisaties hebben onderzoeken uitgevoerd of er een breach heeft plaatsgevonden en omgevingen werden zo goed en zo snel als mogelijk geüpdatet. De patch met betrekking tot deze vulnerability was pas 20 januari beschikbaar. Mede hierdoor werd er ook besloten om de omgeving uit te schakelen om breaches te voorkomen.

Was misbruik te voorkomen?

De toonaangevende securityfabrikanten hadden (zonder dat veel organisaties dit wisten) al heel snel een bescherming beschikbaar voor deze vulnerability. Ook bij onze klanten hebben wij in o.a. firewalls sporen en logs gevonden van aanvalspogingen. Dit waren slechts pogingen en inmiddels was (om het eerdergenoemde voorbeeld nog eens te hanteren) het luchtafweersysteem geavanceerd genoeg om de raketten van de Citrix aanvallers op neutraal terrein onschadelijk te maken. De enige en allerbelangrijkste voorwaarde was dat alle beveiligingssystemen volledig up-to-date waren en volgens de aanbevolen configuratiestandaard waren ingericht.

Wat houdt dit concreet in? Onze klanten met een Next Generation Firewall van Palo Alto Networks waren automatisch al snel beschermd tegen dit lek. Daarvoor moesten zij “Strict Protection” gebruiken middels het zogenaamde “Threat Prevention” abonnement. De kenmerken heeft Palo Alto Networks opgenomen in de “Threat Prevention Signatures”: 57497 en 57570. Ook zijn er meer dan 20 IP-adressen opgenomen in de “Known Malicious Block” list. De technische details hieromtrent zijn ook te vinden in de eerder genoemde link.

Advies om je beter te beschermen tegen dergelijke cyberaanvallen

Het is goed om te weten dat als je een hoogwaardig security product selecteert om je bedrijf kritische informatie en je ICT-omgeving te beschermen, er een organisatie achter je staat die elke dag bezig is om aanvallers te analyseren. Het is essentieel om in een zo vroeg mogelijk stadium nieuwe aanvalsstrategieën te ontdekken en vervolgens nieuwe verdedigingsmethodieken en -technologie te ontwikkelen, die deze aanvallen blokkeren.

Wij adviseren dan ook om geregeld contact te hebben met je security leverancier. “Gewoon een goede firewall neerzetten” is niet meer voldoende. De veranderingen en ontwikkelingen zijn dagelijks. Dit betekent dus ook dat “de aanbevolen configuratiestandaard” ook regelmatig verandert. Onze security en netwerk specialisten zijn hier zeer goed van op de hoogte. We kunnen en moeten vanuit onze rol als cybersecurity specialist op elk moment hierover advies geven. Wij adviseren onder andere de volgende 4 zaken duidelijk in je organisatie te adresseren:

1. Security best-practice assessment

Voer geregeld een “security best-practice assessment” uit en overleg of er nog kwetsbaarheden zijn in de beveiligingsomgeving en zaken zoals de firewall rulesbase correct is ingesteld en up-to-date is. Dan kun je als de “publieke alarmbellen” afgaan rustiger gaan slapen en met plezier de volgende dag je laptop openslaan en met een veilig gevoel gaan werken.

2. Risicoanalyses

Voer periodiek risicoanalyses uit en maak inzichtelijk wat de gevolgen kunnen zijn van een breach, zodat er een plan gemaakt kan worden voor wat je moet doen als er een breach plaatsvindt.

3. Verwijderen van overbodige data

Kijk kritisch naar de aanwezige informatie in jouw digitale omgeving. Is alle data die beschikbaar is nog nodig? Of is er een heleboel oud, niet meer relevant en dus overbodig. Waarom zouden we die dan nog beschikbaar houden? Alle beveiligingsrisico’s zijn voor overbodige data ook aanwezig. Bij een breach wordt de impact dus onnodig hoog. Onze ervaring leert dat gemiddeld 60 tot 70% van de beschikbare data overbodig is.

4. Cybersecurity strategie

Maak samen met een vakbekwaam persoon een “cybersecurity strategie” die rekening houdt met de roadmap van de business. Realiseer je, dat als je de koers van de organisatie wijzigt, je ook de cybersecurity strategie moet bijsturen.

Ben je nieuwsgierig geworden naar hoe wij deze diensten bij onze klanten invullen of hoe dergelijke assessments in zijn werk gaan? Bel ons dan gerust, zonder enige verplichting want wij delen graag onze kennis en zijn zeer graag voor nog meer bedrijven een meerwaarde in het veilig uitvoeren van de business.

De 3 grootste uitdagingen die u tackelt met Network as a Service

oktober 2019

Merkt u ook dat de hoeveelheid data binnen het netwerk de laatste jaren enorm groeit? Dat het goed functioneren van het netwerk daardoor belangrijker is dan ooit, terwijl het juist moeilijker wordt om al het verkeer in goede banen te leiden? En dat de belasting op het netwerk en de gebruikers toeneemt? U bent niet de enige. Bij veel organisaties bestaat door de exponentiële groei van data een grote noodzaak voor meer schaalbaarheid en flexibiliteit van netwerkinfrastructuren.

Het is belangrijk dat alle medewerkers ongestoord en snel kunnen werken. Daarbij moet het netwerk schaalbaar zijn om veranderingen én de enorme groei van de hoeveelheid beschikbare data te stroomlijnen. De exponentiële datagroei van de afgelopen jaren komt vooral door de opkomst en groei van onder meer het Internet of Things, Artificial Intelligence en Big Data. Deze ontwikkelingen gaan de komende jaren een steeds grotere rol spelen. Niet voor niets groeit de mondiale cloudmarkt (IaaS, SaaS) met zo’n 30% per jaar. Sterker nog, de public cloud groeit nóg harder: met maar liefst 50% in 2019.

De uitdagingen van het huidige netwerk

De 3 grootste uitdagingen voor netwerkbeheerders

Organisaties krijgen te maken met een aantal stevige uitdagingen op het gebied van functionaliteit, techniek en beschikbaarheid van het netwerk. Dit komt onder andere door de enorme groei van de hoeveelheid data en andere nieuwe ontwikkelingen. Gelukkig tackelt u de 3 grootste uitdagingen eenvoudig met Network as a Service (NaaS):

1. Een toekomstbestendig en stabiel netwerk

Met de groeiende hoeveelheid data en nieuwe ontwikkelingen, nemen de verwachtingen van het netwerk elk jaar verder toe. Het netwerk moet altijd beschikbaar zijn. Én technisch voldoen aan de groeiende verwachtingen. Een goede betrouwbaarheid en snelheid zijn cruciaal. Downtime is onacceptabel. NaaS tackelt al deze problemen en zorgt voor een stabiel netwerk dat altijd beschikbaar is. De onbeperkte schaalbaarheid maakt het meteen ook toekomstbestendig.

2. Een altijd veilig en up-to-date netwerk

Het is belangrijk om altijd een up-to-date netwerk te hebben, dat optimaal beschermd is tegen kwetsbaarheden. Denk aan datalekken of hacks. Door gebruik te maken van NaaS, worden alle benodigde veiligheidsupdates, bugfixes en systeemupgrades automatisch doorgevoerd. De kans op een hack of datalek verkleint significant. Ook heeft u minder last van storingen of onderbrekingen door veiligheidsissues. Zo kunnen medewerkers ongestoord hun werk doen.

3. Veranderende rol als netwerkbeheerder en IT-afdeling

Door de implementatie van NaaS binnen uw bedrijf verandert de rol van de huidige netwerkbeheerders en de IT-afdeling als geheel. Deze hoeven zich namelijk niet langer (of veel minder) te focussen op traditionele netwerkinfrastructuur. Deze afdeling krijgt een meer adviserende rol op het gebied van ICT binnen de organisatie. De afdeling houdt nauw contact met de NaaS-partner en bewaakt de bedrijfsdoelstellingen. Dankzij NaaS hoeft u in de toekomst ook geen kostbare of moeilijk vindbare netwerkspecialisten aan te nemen.

NaaS in hybride cloudomgeving

Veel organisaties stappen over naar een hybride cloudomgeving, waarbij de private cloud, public cloud en on-premise naast elkaar staan. Op deze manier verenigen ze ‘the best-of-both-worlds’. Felton is specialist op het gebied van beheer en security bij hybride omgevingen, waarbij u profiteert van maximale schaalbaarheid en een flexibele netwerkinfrastructuur. Dit is op basis van een interessant pay-per-use-model: eenvoudig op- en afschalen op basis van gebruik. Felton is actief in het bouwen en beveiligen van traditionele netwerken én cloudgebaseerde netwerken. Ons Network-as-a-Service voorziet in alle beheersvormen.

Vragen beantwoorden wij met plezier – neem telefonisch contact op met +31 (0)88 463 7700 of stuur een e-mail. Meer informatie vindt u ook in onze whitepaper.

Hoeveel apparaten kunnen op 1 access point?

maart 2019

Het internet wordt steeds intensiever gebruikt. We zitten niet alleen vaker op internet, maar ook met steeds meer apparaten. Het toenemende aantal apparaten op een netwerk kan van invloed zijn op de Wi-Fi verbinding. Zo krijgen wij vaak de vraag “hoeveel apparaten kunnen er op één Access Point?” Een simpel antwoord is hier helaas niet op te geven.

Een aantal rekenvoorbeelden

Hoeveel apparaten er op een AP kunnen hangt namelijk van een aantal factoren af. Een aantal voorbeelden zijn:

Gewenste bandbreedte;
Soorten apparaten (laptop/tablet/smartphone enz.);
Kanaal breedte 5Ghz (20/40 (80?));
Verhouding 2,4 en 5Ghz apparaten.

In deze blog geven we een aantal voorbeelden voor scholen, en hoe de bezetting van een access point bekeken kan worden. We kunnen een berekening maken op basis van de volgende waarden:

We gaan uit van 30 personen die ieder een laptop en een smartphone bij zich hebben.
De gewenste bandbreedte is 2,5 Mb/s voor de laptops en 0,1 Mb/s voor de smartphones.
De clients baseren we op laptops, 2 x 2 MIMO en smartphones 1 x 1 MIMO.
We gaan uit van 20Mhz 5Ghz kanalen.

Onderstaande grafiek geeft de praktijk verhouding 2,4/5Ghz weer van een school met ong. 1100 verbonden clients. Hierbij zien we de verhouding van ong. 66% 2,4Ghz – 33% 5Ghz:

wifi hoeveel apparaten op 1 access point

Een vast gegeven is dat bij een draadloos netwerk er maar 1 apparaat tegelijk kan uitzenden op een bepaalde frequentie. De tijd welke een apparaat ‘verbruikt’ om te zenden/ontvangen wordt ook wel ‘Airtime’ genoemd. Deze ‘Airtime’ wordt hieronder berekend op basis van de bovenstaande gegevens.

2,4Ghz band:
20 laptops, verbonden met 135Mb, echte throughput 65Mb. 20 smartphones, verbonden met 65Mb, echte throughput 30Mb.

De berekening vindt als volgt plaats: (bandbreedte / throughput) 100 x aantal apparaten = Airtime. Dus:

(2,5/65) x 100 x 20clients= 77% Airtime
(0,1/30) x 100 x 20clients= 7% Airtime

De percentages bij elkaar is de Airtime: totaal 84% Airtime.

5Ghz band:
10 laptops, verbonden met 135Mb, echte throughput 65Mb. 10 smartphones, verbonden met 65Mb, echte throughput 30Mb.

(2,5/65) x 100 x 10clients = 38% Airtime
(0,1/30) x 100 x 10clients = 4% Airtime

Totaal 42% Airtime.

Een radio van een access point kan in de praktijk 80-85% Airtime verwerken. Daarmee is in bovenstaand voorbeeld de 2,4Ghz radio verzadigd, de 5Ghz radio heeft nog ruimte.

Voorbeeld 2

  • We gaan uit van 50 personen die ieder een laptop en een smartphone bij zich hebben.
  • De gewenste bandbreedte is 2,5 Mb/s voor de laptops en 0,1 Mb/s voor de smartphones.
  • De clients baseren we op laptops, 2 x 2 MIMO en smartphones 1 x 1 MIMO.
  • We gaan uit van 40Mhz 5Ghz kanalen.

Onderstaande grafiek geeft de praktijk weer van een andere school met ong. 1300 verbonden apparaten. Hier is te zien dat de verhouding 2,4Ghz en 5Ghz omgedraaid is; 63% 5Ghz en 37% 2,4Ghz:

wifi access point apparaten

2,4Ghz band:
18 laptops, verbonden met 135Mb, echte throughput 65Mb. 18 smartphones, verbonden met 65Mb, echte throughput 30Mb.

(2,5/65) x 100 x 18clients= 69% Airtime
(0,1/30) x 100 x 18clients= 6% Airtime

Totaal 75% Airtime.

5Ghz band:
32 laptops, verbonden met 270Mb, echte throughput 135Mb. 32 smartphones, verbonden met 65Mb, echte throughput 30Mb.

(2,5/135) x 100 x 32clients = 60% Airtime
(0,1/30) x 100 x 32clients = 11% Airtime

Totaal 71% Airtime.

In bovenstaande berekening kan het access point de 50 verbonden apparaten voorzien van de gewenste bandbreedte en heeft deze zelfs nog wat marge over.

(Over het algemeen zien we in de praktijk zien we nog maar weinig verbonden 802.11g apparaten. De soorten apparaten welke nog 802.11g gebruiken zijn hoofdzakelijk oude iPhones en Android smartphones)

Conclusie

Hoeveel apparaten er op een access point bediend kunnen worden hangt dus van een hoop factoren af. De soorten apparaten en ondersteuning van de frequentie banden zijn hierbij erg belangrijk.

De 5Ghz band zou hierin meer gebruikt moeten worden, hier is onder andere beduidend meer bandbreedte beschikbaar. Ook laten de voorbeelden zien dat met de komst van de nog snellere 802.11ac (5Ghz) standaard er dus nog meer apparaten op een access point kunnen met dezelfde throughput. 802.11ac clients zullen de aankomende jaren steeds meer gaan voorkomen en daarmee wordt ook de 5Ghz band steeds beter benut.

Auteur: Marcel van Egmond – Security Consultant Felton BV

Vragen of opmerkingen? We staan u graag te woord.

×

Welkom bij Felton

Stel je vraag over werken bij Felton via Whatsapp. Ik ben bereikbaar op werkdagen van 09.00 tot 20.00 uur.

% %
#

Felton ICT - Innovatieve IT Security


          
          

            
            
              
            
          

        

      

              
                  
                ×
                  Stel je vraag via Whatsapp
                                  Available on SundayMondayTuesdayWednesdayThursdayFridaySaturday