Met verschillende vestigingen in Groningen, Friesland en Drenthe speelt de Stichting Gereformeerde Scholengroep (GSG) een belangrijke rol binnen het beroeps- en voortgezet onderwijs in Noord-Nederland. Als gereformeerde onderwijsorganisatie staat GSG voor kwalitatief en toekomstgericht onderwijs, waar goede ICT-voorzieningen meer en meer onmisbaar worden. “Ons oude netwerk voldeed eigenlijk niet meer aan de eisen van deze tijd”, vertelt Peter Veenstra, teamleider van de Afdeling Facilitair van Gereformeerde Scholengroep. “In de afgelopen tien jaar zijn we relatief snel gegroeid, waardoor er op de verschillende locaties een soort lappendeken van verschillende systemen is ontstaan. De laatste tijd hadden we regelmatig te maken met vertragingen in het netwerk, wat voor ons reden was om te kijken naar een goede ICT-leverancier.”

Pragmatische aanpak
Na een gedegen inventarisatie van mogelijke leveranciers en hun offertes viel de keuze uiteindelijk op aaZoo. “Zij hadden de scherpste deal, maar we hebben ook voor aaZoo gekozen vanwege hun specialistische kennis van de apparatuur waarmee we wilden gaan werken. Bovendien hebben we in een wat verder verleden al eens een beroep gedaan op aaZoo, die samenwerking is destijds prima bevallen”, aldus Veenstra. Op basis van de nieuwe modulaire Cisco 3750X en 2960S switches realiseerde aaZoo in een maand tijd een overzichtelijk campus netwerk, waarbij het pad tussen werkplekken en servers zo kort mogelijk werd gehouden. “Ook deze keer is het project zonder grote problemen verlopen”, vervolgt Peter Veenstra. “aaZoo is in staat gebleken om goed met ons mee te denken. Dat vonden we belangrijk om binnen dit project flexibel te kunnen zijn in onze beslissingen, we wilden niet van tevoren alles in procedures vastleggen. Door de pragmatische aanpak is het project voor ons altijd overzichtelijk gebleven, met als resultaat een netwerk waarvan de beheersbaarheid en betrouwbaarheid sterk zijn verbeterd. Bovendien zijn we door aaZoo attent gemaakt op de mogelijkheid om oude apparatuur in te ruilen, en de investering bij Cisco tegen 0% rente te kunnen financieren. Dat levert een aardig voordeel op.”

Een geslaagd project
Gert-Jan de Boer, Netwerk/Security specialist en mede-eigenaar van aaZoo, is blij met opnieuw een tevreden opdrachtgever en is trots op het gerealiseerde netwerk: “In dit geval was vooral de continuïteit een uitdaging, het netwerk moest steeds beschikbaar blijven. Mede daarom hebben we de daadwerkelijke overgang van omgeving in één avond afgerond, dat ging vlekkeloos. Door toepassing van Cisco goedgekeurde methodieken en de uniforme netwerk architectuur die we hebben gekozen, is het voor ons en voor de klant toch goed en overzichtelijk verlopen. Dit netwerk kan weer jaren mee, ook omdat we ervoor hebben gekozen het netwerk op te delen in verschillende lagen. Daardoor is de schaalbaarheid enorm verbeterd. Voor een netwerk met ruim 1.150 mogelijke poorten voor werkplekken is dat natuurlijk erg belangrijk. Al met al was dit voor ons een mooi en geslaagd project dat precies binnen onze expertise valt. We beheren ook wel kleinere netwerkomgevingen, maar zeker ook grotere, in sommige gevallen met 8.000 werkplekken op meerdere locaties.”

Wij houden ons vaak bezig met het analyseren van netwerkproblemen, een van de tools die we hier voor gebruiken zijn packet sniffers. Wat ik mis is een manier om snel statistieken van netwerk karakteristieken te kunnen genereren. Uit statistieken/grafieken kun je eenvoudig abnormale karakteristieken naar boven halen. Dit doen we op dit moment handmatig of met een van de tools uit Wireshark.

Daarnaast loop ik soms tegen het probleem aan dat ik soms langere tijd data wil bewaren om een wijziging in patronen te kunnen detecteren. Een packetsniffer als Wireshark is dan niet handig. Daarom ben ik begonnen aan het schrijven van een PCAP statistieken generator.

Deze tool luistert op een netwerkkaart door middel van een packetsniffer en bewaart de karakteristieken van pakketten die het ziet. Zo bewaart het onder andere Time To Live, Pakket groottes, Source/Destination IP Adressen en Source/Destination poorten. Deze gegevens worden in een SQLite database opgeslagen, wat een stuk minder data in beslag neemt dan het hele pcap bestand bewaren.

Met de gegevens uit deze database kunnen we vervolgens grafieken genereren. Een paar voorbeeldjes van live data:

UDP Time To Live

TCP Time To Live verdeeld over tijd

TCP Destination Ports

UDP Destination Ports verdeeld over tijd

Activiteit van TCP Destination IPs verdeeld over tijd

“Met Radware DefensePro voegen we een uniek product toe aan ons portfolio waarmee organisaties hun netwerk kunnen beveiligen tegen bedreigingen van buiten en binnen hun netwerk.“, zegt Gert-Jan de Boer, Netwerk/Security specialist en mede-eigenaar van aaZoo, “Het systeem combineert inbraakdetectie en preventie, netwerk gedragsanalyse en beveiliging tegen Denial-of-Service aanvallen en past daarom prima in ons bestaande portfolio.”

Security Scan
Om bedrijven bewust te maken van een aanval op hun netwerk en de gevolgen die dit kan hebben, ontwikkelde aaZoo BV eerder al de Security Scan. Binnenkort wordt gestart met een variant waarbij een Radware DefensePro ingezet om inzichtelijk te maken of en hoeveel ongeoorloofd verkeer er plaatsvindt over de inkomende lijnen van het netwerk. “Op deze manier kunnen bedrijven een weloverwogen beslissing nemen omtrent maatregelen tegen deze aanvallen. Met de aanvallen rondom WikiLeaks heeft Radware aangetoond dat de DefensePro dé oplossing is tegen dergelijke aanvallen.“, zegt André van Buiten, Country Manager Nederland van Radware, “We zijn blij met de keuze van aaZoo om dit product op te nemen in de services en diensten op het gebied van Security. In de loop van dit jaar zetten we dit kracht bij met een gezamenlijke Roadshow.”

Wikileaks als bewijs
Radware DefensePro bleek tijdens recente vergeldingsacties naar aanleiding van de Wikileaks-affaire als enige in staat om adequaat de aanvallen te detecteren en filteren. Daarmee werd voorkomen dat de websites van aangevallen organisaties onbereikbaar werden. Gert-Jan de Boer: “Deze vergeldingsacties geven aan dat activisten een nieuwe manier hebben gevonden om hun eisen kracht bij te zetten. Het opzetten van een DDoS aanval zoals gebruikt bij deze ‘Wikileaks-acties’ is eenvoudig en kan tegen zeer lage kosten. Organisaties waarvoor het internet de bron van hun inkomsten is zoals content-providers en Software-as-a-Service leveranciers kunnen het zich niet veroorloven om lange tijd uit de lucht te zijn vanwege een aanval.”

Over aaZoo
Vanuit het hoofdkantoor in Emmeloord verzorgt aaZoo sinds begin 2010 ICT-diensten voor middelgrote tot grote bedrijven. De dienstverlening van het bedrijf is gebaseerd op techniek die in dienst staat van de gebruiker. In de filosofie van aAzoo ondersteunt een goede ICT-infrastructuur haar klanten in de belangrijkste bedrijfsprocessen, zonder dat daar ingewikkelde beheertaken voor in de plaats komen.

Over Radware
Radware (NASDAQ:RDWR), de globale marktleider op gebied van geïntegreerde application delivery oplossingen, garandeert de volledige beschikbaarheid, maximale performance, en de complete beveiliging van business kritische applicaties voor bijna 10.000 enterprise klanten en carriers over de gehele wereld. Met APSolute®, Radware’s alles omvattende en bekroonde suite van application delivery en network security producten, kunnen bedrijven uit iedere industrie hun productiviteit opvoeren, hun winstgevendheid verhogen, en de kosten van de IT operatie en aanschaf kosten van infrastructuur verlagen door het “business smart” maken van het netwerk. Voor meer informatie, bezoek onze website www.radware.com.

Wat is een DDoS precies?
Als voorbeeld nemen we een winkel, deze winkel kan maximaal 500 klanten tegelijk binnen laten door de voordeur. Als deze winkel een uitverkoop houdt op zaterdagmorgen staan er ineens 2500 klanten te dringen voor de deur met als gevolg dat het ineens erg moeilijk wordt om de winkel binnen te komen. Nu besluit een ontevreden klant op een normale maandagmorgen de toegang tot de winkel te blokkeren. Voor deze blokkade huurt hij 5000 mensen in die allemaal gaan proberen om tegelijk de winkel in te komen. Door deze actie kunnen de klanten die wel iets willen kopen in de winkel moeilijk in komen.

Dit is een voorbeeld van wat een DDoS aanval is. Bij een DDoS aanval wordt geprobeerd om een doelwit onbeschikbaar te maken voor regulier verkeer door deze te overladen met op het eerste gezicht legitieme pakketten. Hiervoor wordt vaak een Botnet, een netwerk van computers die op afstand opdrachten kunnen ontvangen om uit te voeren, ingezet. Dit Botnet gaat dan zoveel mogelijk pakketten proberen te versturen naar de aan te vallen website. Deze Botnet’s bestaan vaak uit computers die geïnfecteerd zijn met een virus en waardoor veel mensen, zonder het te weten, deel uit maken van zo’n netwerk.

Wie zitten er achter een Botnet?
De bouwers van deze Botnet’s doen dit vaak niet voor eigen gebruik maar ze verhuren hun Botnet om bepaalde acties uit te voeren, zoals het uitvoeren van DDoS aanvallen of het versturen van Spam. Naast de mensen die een Botnet inzetten voor eigen gewin is er tegenwoordig ook een andere groepering die gebruik maakt van Botnet’s, de Internet Activisten. Deze activisten zetten hun Botnet’s in om een politieke boodschap duidelijk te maken, een goed voorbeeld hiervan zijn de vergeldingsacties naar aanleiding van de arrestatie van Julian Assange, de zogenaamde Wikileaks affaire, en heel recent de aanval op de Rabobank website.

Is er iets tegen een DDoS aanval te doen?
Op het eerste gezicht kun je niks doen tegen DDoS aanvallen zonder dat er reguliere gebruikers geblokkeerd worden. De DDoS aanval bestaat immers uit veel pakketten die op het eerste gezicht niet afwijken van normale gebruikers. Toch zijn er oplossing die DDoS aanvallen kunnen detecteren en die na detectie het afwijkende verkeer kunnen filteren: de Radware DefensePro.

Omdat de pakketten vanuit een centrale locatie uitgestuurd worden lijken de pakketten die de leden van het Botnet uitsturen veel op elkaar. Doordat deze pakketten zoveel op elkaar lijken is het mogelijk om hiervan een “handtekening” samen te stellen. Door deze “handtekening” te vergelijken met binnenkomende pakketten is het mogelijk om te detecteren welke pakketten legitiem zijn en welke deel uit maken van de aanval. Hierdoor kun je met grote waarschijnlijkheid legitiem verkeer doorlaten en de aanval uit het binnenkomende verkeer filteren.

DDoS in de toekomst.
Het wordt steeds eenvoudiger en goedkoper om een DDoS aanval uit te voeren, tegelijkertijd worden internet gebaseerde diensten steeds belangrijker. De opkomst van Software en Infrastructure as a Service (SaaS en IaaS) waarbij organisaties steeds meer afhankelijk worden van hosted diensten zal er voor zorgen dat het aantal DDoS aanvallen in de toekomst zal toenemen, zowel politiek gericht tegen overheid en organisaties als commercieel of misschien van boze ex-werknemers. aaZoo kan helpen om een oplossing te bieden tegen deze DDoS aanvallen.

Meer informatie?
Meer weten over de voordelen van een Radware DefensePro, of over DDoS aanvallen in het algemeen? Neem contact met ons op via info@aazoo.nl

Je hebt het volgende nodig:

• Een CRL URL van de Certificate Authority
• De certificaat sleutel (wildcard.aazoo.nl.key)
• Base64 encoded certificaat (wildcard-aazoo-nl.cer)
• Een installatie van openssl op bijv. Linux

Op je werkstation voer het volgende uit:

Combineer het certificaat en de key in een PKCS12.
openssl pkcs12 -export -in wildcard-aazoo-nl.cer -inkey wildcard.aazoo.nl.key -out wildcard-aazoo-nl.pem
Als er om gevraagd wordt geef dan een wachtwoord op, laat dit niet leeg, aangezien de ASA een wachtwoord vereist.

Codeer de PKCS12 als Base64:
openssl enc -base64 -in wildcard-aazoo-nl.pem

Op de ASA voer het volgende uit:

Configureer het trustpoint:
- geen Fully Qualified Domain-name (FQDN) gebruiken: fqdn none.
- enrollment via terminal copy/paste: enrollment terminal
- CRL configureren: crl configure
- URL configureren: url 1 http://blablabla/bla/url.crl

Voorbeeld:

crypto ca trustpoint wildcard.aazoo.nl
fqdn none
enrollment terminal
crl configure
url 1 http://blablabla/bla/url.crl


Importeer het certificaat
crypto ca import wildcard.aazoo.nl pkcs12

> Enter the base 64 encoded pkcs12.
> End with the word "quit" on a line by itself:

Als er om gevraagd wordt plak dan de inhoud van het Base64 PKCS12 certificaat. Toest na het plakken een enter en type: quit

Koppel vervolgens het trustpoint aan WebVPN:
ssl trust-point wildcard.aazoo.nl outside

Gelukkig is er een work-around om pre-shared keys weer te geven in de configuratie. In plaats van “show running-config” kun je het commando “more system:running-config” gebruiken. In de running-config die je dan terugkrijgt is de pre-shared key of de hash van de key weer terug te vinden zodat je deze makkelijk kunt copy/pasten.

HSRP is een Cisco Proprietary protocol, een gestandaardiseerd open protocol, gebaseerd op dezelfde principes en met ongeveer dezelfde werking, is Virtual Router Redundancy Protocol (VRRP). Dit is een protocol wat men vaak terug vindt bij oa. Loadbalancers of VPN Gateways, ook wordt VRRP tegenwoordig ondersteund door Cisco routers.

HSRP stuurt een periodiek pakket naar 224.0.0.2 (Multicast All Routers) op poort 1985. In dit pakket staan bijvoorbeeld prioriteit, HSRP groep, Router ID en Authenticatie.De router met de hoogste prioriteitswaarde zal op ARP aanvragen voor het virtuele IP adres antwoorden met MAC adres 0000.0c07.ac<group ID>, bijvoorbeeld group ID 10 krijgt MAC adres 0000.0c07.ac10 en groep ID 1 krijg 0000.0c07.ac01. Hierdoor krijgt iedere HSRP groep een uniek MAC adres en hoeft men bij een failover niet te wachten op de ARP timeout.

HSRP op Cisco routers is redelijk eenvoudig te configureren en wordt ondersteund in de meeste Cisco Routers en layer-3 switches zoals de 3750, 4500-serie en 6500-serie. HSRP wordt daarnaast ondersteund voor zowel IP versie 4 als IPv6.

HSRP op een Cisco 3750:

node 1:

interface GigabitEthernet1/0/1
ip address 10.100.1.254 255.255.255.0
standby 1 ip 10.100.1.1
standby 1 timers 1 2
standby 1 priority 20
standby 1 preempt
standby 1 authentication geh31m


node 2:

interface GigabitEthernet1/0/1
ip address 10.100.1.253 255.255.255.0
standby 1 ip 10.100.1.1
standby 1 timers 1 2
standby 1 priority 25
standby 1 preempt
standby 1 authentication geh31m


De timers zijn in deze configuratie erg strikt ingesteld omdat dit een Voice over IP omgeving betreft. In een data netwerk is het aan te raden om de hello-time (dit geeft aan hoe vaak het HSRP pakket uitgestuurd wordt naar het Multicast adres) wat hoger te zetten in verband met de overhead in het netwerk.

Een voorbeeld van dezelfde configuratie met IPv6:

node 1:

interface GigabitEthernet1/0/1
no ip address
ipv6 address 2001:610:7bb:beef:221::aaa1/64
standby version 2
standby 1 ipv6 FE80::1:CAFE
standby 1 ipv6 2001:610:7bb:beef:221::1/64
standby 1 timers 1 2
standby 1 priority 20
standby 1 preempt
standby 1 authentication geh31m


node 2:

interface GigabitEthernet1/0/1
no ip address
ipv6 address 2001:610:7bb:beef:221::aaa2/64
standby version 2
standby 1 ipv6 FE80::1:CAFE
standby 1 ipv6 2001:610:7bb:beef:221::1/64
standby 1 timers 1 2
standby 1 priority 25
standby 1 preempt
standby 1 authentication geh31m


Het is ook mogelijk om HSRP te gebruiken om aan “load sharing” te doen. De truc hiervoor is eenvoudig, men maakt simpelweg twee HSRP groepen aan met tegenovergestelde prioriteiten. Vervolgens zet verdeelt men de gateways 50/50 over beide standby adressen.

node 1:

interface GigabitEthernet1/0/1
ip address 10.100.1.254 255.255.255.0
ipv6 address 2001:610:7bb:beef:221::aaa1/64
standby version 2
standby 1 ip 10.100.1.1
standby 1 ipv6 FE80::1:CAFE
standby 1 ipv6 2001:610:7bb:beef:221::1/64
standby 1 timers 1 2
standby 1 priority 20
standby 1 preempt
standby 1 authentication geh31m
standby 2 ip 10.100.1.2
standby 2 ipv6 FE80::1:BEEF
standby 2 ipv6 2001:610:7bb:beef:221::2/64
standby 2 timers 1 2
standby 2 priority 25
standby 2 preempt
standby 2 authentication geh31m2


node 2:

interface GigabitEthernet1/0/1
ip address 10.100.1.253 255.255.255.0
ipv6 address 2001:610:7bb:beef:221::aaa2/64
standby version 2
standby 1 ip 10.100.1.1
standby 1 ipv6 FE80::1:CAFE
standby 1 ipv6 2001:610:7bb:beef:221::1/64
standby 1 timers 1 2
standby 1 priority 25
standby 1 preempt
standby 1 authentication geh31m
standby 2 ip 10.100.1.2
standby 2 ipv6 FE80::1:BEEF
standby 2 ipv6 2001:610:7bb:beef:221::2/64
standby 2 timers 1 2
standby 2 priority 20
standby 2 preempt
standby 2 authentication geh31m2

Ooit werd het huidige internetwerk ontworpen om ongeveer vier miljard internet – of IP – adressen te ondersteunen. Een enorm aantal, dat anno 2010 bij lange na niet volstaat om de explosieve groei in netwerktoepassingen het hoofd te kunnen bieden. Behalve computers krijgen ook andere apparaten steeds vaker een netwerkfunctie. Voorbeelden daarvan zijn in een zakelijke omgeving bijvoorbeeld beveiligingscamera’s, telefooncentrales en gebouwbeheersystemen die via internet kunnen worden aangestuurd. De oplossing voor de uitputting van het huidige Internet Protocol (IPv4) staat reeds in de startblokken en heet IPv6. Een belangrijk verschil tussen de beide versies is de lengte van de IP-adressen: 32-bits voor IPv4 en 128-bits voor IPv6. Het aantal IP-adressen is hiermee in theorie oneindig.

Migratie naar IPv6
“Veel fabrikanten leveren apparatuur die al geschikt is voor IPv6, terwijl bestaande apparatuur in veel gevallen met een software-update kan worden voorbereid op het nieuwe protocol”, vertelt Gert-Jan de Boer van aaZoo. “Voorafgaand aan een migratietraject naar IPv6 is het belangrijk om duidelijkheid te hebben over de status van het bestaande netwerk. Mede daarom ontwikkelden wij de IPv6-scan. Daarbij inventariseren we alle netwerkapparatuur bij onze opdrachtgever en onderzoeken we in hoeverre deze ‘IPv6-ready’ is. Op basis van de resultaten doen we vervolgens aanbevelingen voor eventuele vervangingen van apparatuur, zodat bedrijven zichzelf goed kunnen voorbereiden op een overstap naar IPv6. We zien nu overigens al dat de IPv6-capaciteit in de toekomst een verplicht onderdeel wordt in aanbestedingen van de overheid. Het bedrijfsleven moet er op termijn echter ook aan geloven om netwerken goed te kunnen blijven benutten.”

Over aaZoo
Vanuit het hoofdkantoor in Emmeloord verzorgt aaZoo sinds begin van dit jaar ICT-diensten voor middelgrote tot grote bedrijven. De dienstverlening van het bedrijf is gebaseerd op techniek die in dienst staat van de gebruiker. In de filosofie van aaZoo ondersteunt een goede ICT-infrastructuur haar klanten in de belangrijkste bedrijfsprocessen, zonder dat daar ingewikkelde beheertaken voor in de plaats komen.

Voor meer informatie:
aaZoo B.V.
Postbus 1017
8300 BA Emmeloord
E-mail: info@aazoo.nl

Om verkeer van een bepaald interface te capturen voer je de volgende regel uit:


aazoo-testasa(config)# capture maandag-capture interface outside


Wil je specifiek verkeer capturen doe je het volgende:


aazoo-testasa(config)# access-list test-packetcapture permit ip 10.15.1.0 255.255.255.0 host 10.19.1.1
aazoo-testasa(config)# capture dinsdag-capture access-list test-packetcapture


De capture kun je vervolgens op twee manieren ophalen, via de console:


aazoo-testasa# show capture maandag-capture

1: 08:58:01.354672 arp who-has 10.19.1.1 tell 10.32.15.11
2: 08:58:01.356518 arp who-has 10.19.1.1 tell 10.32.15.11
3: 08:58:01.554628 arp who-has 10.19.1.1 tell 10.32.15.12
4: 08:58:01.556474 arp who-has 10.19.1.1 tell 10.32.15.11
5: 08:58:01.754584 arp who-has 10.19.1.1 tell 10.32.15.12
6: 08:58:01.756445 arp who-has 10.19.1.1 tell 10.32.15.11
7: 08:58:01.954555 arp who-has 10.19.1.1 tell 10.32.15.12
8: 08:58:01.956401 arp who-has 10.19.1.1 tell 10.32.15.11
9: 08:58:02.154563 arp who-has 10.19.1.1 tell 10.32.15.12
10: 08:58:02.156425 arp who-has 10.19.1.1 tell 10.32.15.11
11: 08:58:02.354519 arp who-has 10.19.1.1 tell 10.32.15.12
12: 08:58:02.356381 arp who-has 10.19.1.1 tell 10.32.15.11


Of via de webinterface, je krijgt dan een .pcap file die je kunt importeren in het zwitserse zakmes Wireshark. Ga hiervoor naar de URL https://<Management IP ASA>/capture/<naam capture/pcap bijvoorbeeld:


https://aazoo-testasa.aazoo.nl/capture/dinsdag-capture/pcap


Een andere handige troubleshooting tool voor Cisco ASA’s is de packet-tracer.
Deze roep je aan op de console van een ASA met het commando: packet-tracer input <interface naam> <protocol> <van IP> <van poort> <naar IP> <naar poort>

Voorbeeld:


aazoo-testasa# packet-tracer input inside tcp 10.19.1.1 32322 217.115.199.40 80

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule


Een sprekend voorbeeld hiervan is een klant waar ik gevraagd werd om een onderzoek uit te voeren naar de kraakbaarheid van hun Voice over IP telefooncentrale. De klant had namelijk een hoge rekening gekregen van hun telefoonprovider waaruit bleek dat er in een weekend duizenden gesprekken waren gevoerd naar een Afrikaans land. Deze klant maakte gebruik van een Cisco UCM Express telefooncentrale, een systeem waarbij een Cisco router als telefooncentrale ingezet kan worden. De klant had intern Cisco telefoons staan die op basis van SCCP, ook wel Skinny genoemd, werkten en hun verbinding naar buiten bestond uit een drietal ISDN-2 aansluitingen. Eigenlijk een vrij eenvoudige configuratie die je vaak tegenkomt in de praktijk.

Bij deze klant ging het mis op twee punten:

• Remote Beheer
• Interne Netwerkscheiding
• Niet uitschakelen van onnodige services

De leverancier van deze klant vond het een goed idee om extern beheer mogelijk te maken. Daarom had men een extern IP adres op deze telefooncentrale geconfigureerd en deze aan de WAN kant van het netwerk geplaatst. Hier zat een firewall tussen, maar deze was geconfigureerd om alles door te laten en het netwerk te bridgen.

Daarnaast had deze klant maar een enkel VLAN, in dit VLAN zaten de telefoons, de telefooncentrale, de werkstations en het onbeveiligde wireless access point geconfigureerd.

Wat uiteindelijk de deur wagenwijd openzette was het feit dat onnodige services niet waren uitgeschakeld. Op de Cisco router stond een SIP service te luisteren.
De volgende dial-peers waren geconfigureerd op de router:


dial-peer voice 10 pots
translation-profile incoming TRANSLATE_CALLING
preference 7
destination-pattern 0T
port 2/0
!
dial-peer voice 20 pots
translation-profile incoming TRANSLATE_CALLING
preference 4
destination-pattern 0T
direct-inward-dial
port 2/1
!
dial-peer voice 30 pots
translation-profile incoming TRANSLATE_CALLING
preference 2
destination-pattern 0T
port 3/0
!
dial-peer voice 40 pots
translation-profile incoming TRANSLATE_CALLING
preference 3
destination-pattern 0T
port 3/1
!
dial-peer voice 50 pots
translation-profile incoming TRANSLATE_CALLING
preference 5
destination-pattern 0T
direct-inward-dial
port 1/0

Dit zorgt er voor dat alle nummers die met een 0 beginnen doorgestuurd worden naar de genoemde poort, in dit geval een ISDN poort. Er werd geen controle uitgevoerd of de nummers wel lokaal bekend waren.

Een simpele regel: “sip:00512751015@externIP.vandeklant.nl” in een willekeurige SIP Client was voldoende om vanaf extern te bellen naar het nummer “0512751015″.

Er zijn mensen die het internet afzoeken naar openstaande SIP poorten om vervolgens daar gratis verkeer over heen te kunnen sturen. Stel je eens voor dat je een goedkope telefoonprovider bent: gratis bellen naar de hele wereld! Maar voor elke telefoontik naar buiten moet je zelf geld betalen, op dat moment kan het lonend zijn om met een script openstaande SIP poorten te zoeken en daar gedurende een periode telefoonverkeer over heen te routeren. Uiteraard is dit verboden, maar het internet is zonder grenzen.

Dat de beveiliging van VoIP een veelvoorkomend probleem is blijkt wel uit het onderzoekje wat ik heb uitgevoerd.

Een willekeurige scan van een internet subnet met svmap uit de SIPVicious toolkit geeft binnen 15 minuten de volgende interessante resultaten:

Deze apparaten zullen allemaal gesprekken accepteren, misschien niet naar externe telefoonnummers, maar zeker wel naar interne extensies. Om deze interne extensies te leren kennen hebben we de tool svwar uit de SIPVicious toolkit.
Op een willekeurige host uit deze lijst krijg ik met een scan op extensies 10 – 5000 het volgende antwoord:

Hoewel we geen verbinding kunnen maken met de extensies geeft dit dus aan dat de extensies 10 – 19 in gebruik zijn, anders zou er ook een reactie op de overige nummers die we scannen (20 – 5000) komen.
We kunnen nu twee dingen doen, we kunnen met svcrack uit de SIPVicious de authenticatie proberen te kraken en de extensie overnemen of we kunnen op dit moment het toestel bereiken door sip:10@xxx.xxx.xxx.xxx te bellen in onze SIP Client. Een ideale manier om mensen te bereiken op hun interne nummer en verder te gaan met bijvoorbeeld social engineering.

Voor een voorbeeld hoe makkelijk het is om een VoIP netwerk te kraken zie de volgende demonstratie video van de tool “sipautohack” : http://vimeo.com/2524735?hd=1

Bij het implementeren van een Voice over IP netwerk is het altijd zaak om goed na te denken over de infrastructuur en de beveiliging:

• Maak altijd een ontwerp en laat deze zo nodig controleren door een partij met ervaring
• Doe een VoIP Security Scan test na de implementatie zodat je zeker weet dat de implementatie veilig is

Quick-win configuratie tips:

• Zorg ervoor dat de telefooncentrale niet direct aan het internet gekoppeld wordt
• Configureer altijd een Firewall op of voor de telefooncentrale die SIP of H.323 connecties alleen toestaat vanaf een vertrouwde partij, bijvoorbeeld een SIP provider
• Als je een SIP trunk tussen meerdere gebouwen of bedrijven wilt opzetten doe dit nooit over het internet, maar gebruik een private lijn of een VPN tunnel (zoals IPSec Site2Site of OpenVPN)
• Zorg er voor dat ongeauthenticeerde extensies nooit naar nummers mogen bellen die geld kosten (zoals ISDN poorten of een SIP trunk)
• Op Asterisk centrales zet “alwaysauthreject=yes” in sip.conf, dit zorgt ervoor dat extensie scanners niet kunnen zoeken naar bruikbare extensies doordat authenticatie requests met een valide gebruikersnaam maar een onjuist wachtwoord met dezelfde foutmelding worden geweigerd als requests met een onjuiste gebruikersnaam
• Op Asterisk centrales schakel de Asterisk Manager Interface uit als je deze niet gebruikt of blokkeer externe toegang daartoe
• Schakel ongebruikte services altijd uit