Netwerkpoort beveiligen op een Juniper switch

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 20 februari 2018 Waddinxveen, 20 februari 2018 Security Security


1. Situatie
2. Netwerkindeling
3. Configuratie
4. Extra notities

U heeft alles op orde in uw netwerk en alles gesegmenteerd middels VLANs in uw netwerk. Toch bestaat er een risico dat een aanvaller via een netwerkpoort, uw netwerk probeert aan te vallen en andere systemen in hetzelfde netwerk probeert over te nemen. Wanneer u bijvoorbeeld een netwerkaansluiting buiten uw gebouw hebt (camera, paslezers, access points, etcetera), dan wilt u zeker zijn dat de aanvaller niet het hele netwerk kan afluisteren of vatbare apparatuur kan misbruiken voor een aanval. U wilt dus dat apparatuur alleen met uw router of firewall kan communiceren, en niet met een ander apparaat in hetzelfde netwerk.

Dit document beschrijft hoe u Juniper data switches kunt instellen om dit mogelijk te maken. Onderstaand voorbeeld is gemaakt op een Juniper EX3300 switch met software release 15.1. Houd er rekening mee dat Enterprise switches (zoals EX4200, EX4300 en QFX5100) niet al de functionaliteiten ondersteunt, die in dit document beschreven worden.

Hoe ga je te werk?

Situatie U heeft 4 camera's rond uw gebouw hangen, en deze communiceren allemaal (via een firewall) met een server om de beelden op te slaan.

Overzicht van de opstelling:
Overzicht van de opstelling De firewall houdt bij wat er gebeurt en wat er toegelaten wordt volgens bedrijfsbeleid. Camera's mogen bijvoorbeeld alleen maar FTP naar de server, maar geen ping of http. U wilt voorkomen dat een aanvaller via een camera aansluiting uw andere camera's kan aanvallen of andere apparatuur in hetzelfde netwerk kan overnemen. In het rood de apparatuur die gevaar loopt, in geval een aanvaller in hetzelfde netwerk een systeem verbindt: Situatie van de opstelling Netwerkindeling Fysieke indeling: Fysieke indeling Logische indeling: Fysieke indeling Configuratie Juniper switches hebben security mogelijkheden om te bepalen welke apparatuur met elkaar mag communiceren, met welke poort. In dit document beschrijven we de functionaliteiten "secure-access-port" en "ether-switching filter". De combinatie van deze twee functionaliteiten zorgt er voor dat uitsluitend één apparaat met de firewall kan communiceren. Als een ander apparaat aangesloten wordt, in de plaats van een Camera, zorgt de switch ervoor dat er geen verkeer van/naar het apparaat gestuurd wordt.

Basis interface configuratie van de switch:
## VLAN configuratie
set vlan server vlan-id 200
set vlan camera vlan-id 201
## Firewall switchport configuratie
set interfaces ge-0/0/1 description Firewall
set interfaces ge-0/0/1 unit 0 family ethernet-switching port-type trunk
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members all
## Server switchport configuratie
set interfaces ge-0/0/2 description SRV01
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members server
## Camera switchport configuratie
set interfaces ge-0/0/3 description CAM01
set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members camera
set interfaces ge-0/0/4 description CAM02
set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members camera
set interfaces ge-0/0/5 description CAM03
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members camera
set interfaces ge-0/0/6 description CAM04
set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members camera
Nu gaan we ervoor zorgen dat de switch alleen verkeer accepteert vanaf de mac adressen van de camera's: set ethernet-switching-options secure-access-port interface ge-0/0/3.0 allowed-mac 00:00:01:00:00:01
set ethernet-switching-options secure-access-port interface ge-0/0/4.0 allowed-mac 00:00:01:00:00:02
set ethernet-switching-options secure-access-port interface ge-0/0/5.0 allowed-mac 00:00:01:00:00:03
set ethernet-switching-options secure-access-port interface ge-0/0/6.0 allowed-mac 00:00:01:00:00:04
Vervolgens gaan we een input en output filter maken voor de switch poort. Wat in het kort ingesteld wordt:

Inbound (verkeer wat de switchpoort in gaat)
• Mag vanaf elk mac adres naar het broadcast mac adres communiceren
• Mag vanaf elk mac adres naar het mac adres van de firewall communiceren
• Weiger verkeer vanaf elk mac adres naar elk ander mac adres

Outbound (verkeer wat de switchpoort uit gaat)
• Verkeer vanaf het broadcast mac adres mag communiceren met elk mac adres
• Verkeer vanaf het mac adres van de firewall mag communiceren met elk mac adres
• Weiger verkeer vanag elk mac adres naar elk ander mac adres

Commando's voor Juniper:
set firewall family ethernet-switching filter camera_input term allow_bc from source-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_input term allow_bc from destination-mac-address ff:ff:ff:ff:ff:ff/48
set firewall family ethernet-switching filter camera_input term allow_bc then accept
set firewall family ethernet-switching filter camera_input term allow_def_gw from source-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_input term allow_def_gw from destination-mac-address 10:00:00:00:aa:01/48
set firewall family ethernet-switching filter camera_input term allow_def_gw then accept
set firewall family ethernet-switching filter camera_input term deny-rest from destination-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_input term deny-rest then discard
set firewall family ethernet-switching filter camera_output term allow_bc from source-mac-address ff:ff:ff:ff:ff:ff/48
set firewall family ethernet-switching filter camera_output term allow_bc from destination-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_output term allow_bc then accept
set firewall family ethernet-switching filter camera_output term allow_def_gw from source-mac-address 10:00:00:00:aa:01/48
set firewall family ethernet-switching filter camera_output term allow_def_gw from destination-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_output term allow_def_gw then accept
set firewall family ethernet-switching filter camera_output term deny-rest from source-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_output term deny-rest from destination-mac-address 00:00:00:00:00:00/0
set firewall family ethernet-switching filter camera_output term deny-rest then discard
Vervolgens passen we de filters toe op de switchpoorten waar camera's op verbonden zijn: set interfaces ge-0/0/3 unit 0 family ethernet-switching filter input camera_input
set interfaces ge-0/0/3 unit 0 family ethernet-switching filter output camera_output
set interfaces ge-0/0/4 unit 0 family ethernet-switching filter input camera_input
set interfaces ge-0/0/4 unit 0 family ethernet-switching filter output camera_output
set interfaces ge-0/0/5 unit 0 family ethernet-switching filter input camera_input
set interfaces ge-0/0/5 unit 0 family ethernet-switching filter output camera_output
set interfaces ge-0/0/6 unit 0 family ethernet-switching filter input camera_input
set interfaces ge-0/0/6 unit 0 family ethernet-switching filter output camera_output
Wanneer deze configuratie ge-commit is op de switch (stack), zullen de camera's alleen maar kunnen communiceren met de Firewall van het netwerk. De Camera‚Äôs kunnen niet meer onderling communiceren. Een IP scan in het netwerk zal dus alleen laten zien dat de Gateway bereikbaar is. Extra notities • Als u niet weet wat de mac adressen zijn van al uw apparatuur, controleer de ARP tabel op uw firewall/router en de MAC adres tabel op uw switch.

• Als u meerdere firewalls of routers heeft, moeten de mac adressen van beide routers/firewalls ingevuld worden in de inbound en outbound access list. (Bijvoorbeeld Juniper router stack / Cisco router stack / Checkpoint active-passive clustering )

• Als uw firewall of routers virtuele mac adressen gebruiken voor redundancy, hoeft alleen het virtuele mac adres ingevuld te worden. (Bijvoorbeeld VRRP , Brocade/Foundry VRRP-E, Cisco HSRP, Fortigate clustering, Checkpoint active-active clustering)

• Bovenstaande configuratie werkt in combinatie met DHCP, Apparatuur op beveiligde poorten kunnen nog steeds via DHCP een adres krijgen zolang de Firewall/Router het uitdeelt via Server/Relay.

• Een MAC adres kan nagebootst worden, dus een aanvaller kan zich voor doen met het MAC adres van de camera en zo alsnog proberen aan te vallen. Zorg er voor dat uw Firewall (of access list) goed geconfigureerd is en alleen toegang geeft tot wat nodig is om de aanval oppervlakte zo klein mogelijk te maken.

• Zorg ervoor dat de verbinding versleuteld is tussen het apparaat op de beveiligde poort en de server. Een aanvaller kan ook een "man-in-the-middle" aanval uitvoeren en zodoende informatie vergaren om alsnog de server aan te kunnen vallen.

• Als de aanvaller bekend is geworden met alle bovenstaande beveiligingen, kan met een next-gen firewall nog een aantal aanvallen richting de server worden gedetecteerd en worden voorkomen.

Wilt u hulp van een Juniper Networks expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98