Werk Adminrechten op laptops en IT-veiligheid

Hoffman zei:
Ik herriner me nog het voorbeeld van mensen die spotify op die manier gebruikten.
Klik om te vergroten...
Ik ben IT'er (infrastructuur specialist met een voorliefde voor netwerken).

Ik heb 14 jaar ervaring in IT en consultancy gaande van kleine KMO's tot europese instellingen.

Dit voorbeeld die je hier aan haalt, is... zo typerend van alles wat er mis is met IT security naar mijn mening.

Als je eind-gebruikers het leven zuur maakt, gaan de gebruikers zich bezighouden met "hoe moet ik die klote-blokkade voorbij steken". En dan krijg je gekke toestanden. Ik kan er lange verhalen over schrijven. Zoals mensen die hun coorporate windows pc virtualisen, linux installeren en dan met de vm op volledig scherm naar local IT gaan: "kan je eens mijn ad account bekijken? Ik ben precies de trust relationship kwijt". En twas fixed, want de helpdesk had zelfs niet door dat ze in een full-screen VM aan't werken waren...

"security boven alles"

Tja, you do you. Maar vraag aan 10 IT'ers wat security is, je krijg 20 antwoorden en andere insteken. De insteek van een O365 administrator is volledig anders van iemand die netwerk-segmentatie doet en weer helemaal anders vaniemand die windows-server beheer doet. Linux-mensen zijn ofwel de beste of de ergste want die denken soms dat hun OS volledig imuun is voor inbraak en security (heartbleed, anyone?), maar zijn meestal wel technisch capabel, kinda sorta.

Een losse greep uit 10 jaar "security boven alles"

****
Er is eens een ziekenhuis die in niet ga benoemen (inclusief operatiezaal en intensieve zorg) die een 5 tal uur volledig plat gegaan omdat de cisco ISE vastgelopen was en alle .1X authenticatie op gans het netwerk uitlag. Dus alle draadloos en bekabelde verbindingen waren onbruikbaar want volgens security guidelines mocht geen enkele verbinding zonder .1X en change of authorization.

...Inclusief de administrators die alles moeten beheren en fixen. De beste analogie die ik kan bedenken was dat je uit uw eigen huis buitengesloten bent. Je staat op straat zonder sleutels en het huis vecht actief terug op al uw pogingen om terug binnen te raken, want het systeem is zo opgezet dat zonder de ISE het netwerk iedereen moet buiten weren. Gelukkig was er ergens een trunk-poort waarop een native vlan stond die net net genoeg toegang had om een RDP te starten naar nen semi-personal server ergens die dan nog nekeer nen RDP kon starten naar de jumphost en van daaruit RDP naar de ESX-ILO/(of was't VSphere...) om de virtuele ISE nen reboot te geven. Godzijdank was dat voldoende, want als dat niet hielp ging dat echt moeilijk worden.

(voor de nerds: we hadden al eerst geprobeerd om het mac-adress van nen printer te spoofen omdat die MAB zijn. Maar toen hadden we door dat de ISE effectief op zijn gat lag, dus dat hielp niet...)

Die situatie is gekomen na vele vergaderingen van: "alles moet dichtgenageld worden, veiligheid boven alles" en een lijvig document van een "security specialist" dat veel teveel geld gekost heeft om te schrijven.

Godzijdank is er niemand gestorven (letterlijk, het scheelde niet veel), maar toen zijn ze ook beetje terug gekomen van dat principe.
***
Een europese instelling was de tweede core switch vastgelopen omdat er een corrupte IOS image op stond (nog altijd niet duidelijk hoe, ma bon). De oplossing was om via een seriele console letterlijk naast de core te staan en via tftp op uw laptop een transfer te doen (ftp gaat ook, maar kon niet, we hadden geen admin rechten om iets te installeren...).

Bon, we beginnen er aan, met alle stress van dien. De klokt tikt... Want de message queue van de core-business buffert ongeveer 40 minuten. Ik zeg niets waar het exact was, maar als het probleem er nog is na deze 40 minuten, komen we in gans europa (en eigenlijk gans de wereld)in het nieuws...

Na 15 minuten komt uit: die klote-laptop is zo ingesteld dat je geen IP adres kan statisch instellen omdat dat administrator-rechten vereist. Dat is een andere afdeling en die begint pas om 8 uur smorgens ten vroegste. Gesprint naar de wagen, een spare laptop gepakt en daarmee verder gedaan. Met 10 minuten spare alles opgelost gekregen, als je rekent dat een catalyst 6500 ongeveer 8 minuten moet booten, het was spannend....

Maar iedereen weet dat voor netwerk-engineers een IP adres instellen een security issue is eh...
***
Bij Thomas Cook intijde was het zo dat je 0 rechten had nergens. Zelfs IT has geen rechten op hun eigen laptop en die moesten via de first line alles doen.

...Tot je bij "de gerard" eens ging luisteren, die had de locale domain-admin het wachtwoord op nen post-it liggen in zijne bureau. Totale kost: 15 minuten naar zijn gezever luisteren en een slechte koffie uit een muffe automaat die ouder dan mij was.

"security boven alles"

O, ja: in TC was het wachtwoord van de server van deur-controle ook schitterend. "administrator" en ww "a". Moest je het vergeten, de post-it hing aan het scherm in het DC...

Maar die mensen die spotify ofzo wilden installeren (daar ook tegengekomen), die waren de duivel op security uiteraard.
***

Dat je eind-gebruikers geen admin-rechten moet geven, vind ik persoonlijk logisch. Maar als eind-gebruikers spotify ofzo willen installeren, geef ze dan ook geen shit want dat gaan je ook niet in dank afgenomen worden. Ik gebruik dat even als ad nauseam als voorbeeld maar het is over heel de lijn zo.

Security is belangrijk maar je moet ook beseffen dat security niet de core-business in het gedrang mag brengen.

Een ziekenhuis moet mensenlevens kunnen redden 24/7 en niemand mag sterven omdat "ja, die tool is vastgelopen omdat uw java een oude versie is die niet meer security-compliant is. Pech."

Een fabriek die stilvalt omdat de SAP server partieel onbereikbaar is door een over-ijverige firewall admin, is ook niet grappig. (dit al zoveel meegemaakt...). Of productie PLC's die stoppen omdat de EDR plots beslist dan PLC traffiek "niet normaal gebruikers traffiek" is...

Een office 365 tenant die volledig afgesloten raakt voor de admins omdat er iemand een vinkje op 2FA aanzet verkeerd... Yup, been there.

Security is belangrijk. Maar laat security nooit tussen mensen en hun werk komen. Het zal je zuur opbreken.

Want wat wil je bereiken? Dat er geen spotify is? Of dat mensen vlot hun werk op een veilige manier kunnen doen?
 
Laatst bewerkt:
shiftyke zei:
(voor de nerds: we hadden al eerst geprobeerd om het mac-adress van nen printer te spoofen omdat die MAB zijn. Maar toen hadden we door dat de ISE effectief op zijn gat lag, dus dat hielp niet...)
Klik om te vergroten...
Wat met een console verbinding naar de switch om poort instelling aan te passen, of rechtstreeks op de server inpluggen, desnoods met de KVM?

Ik heb ooit core switchen gezien die elke keer daar trafiek doorheen ging van een Nessus vulnerability scan, compleet rebooten. Een of ander "packet wrong syntax" error en pfieeeew. Die van de hoofdzetel wilden dat natuurlijk niet geloven, ik denk dat die fabriek 5x is moeten plat gaan vooraleer ze die scans af wilden zetten. En lol ja hoe meer er in de koffer van uw wagen zit van prive IT materiaal, hoe beter.

Nu, als er ergens een serieuze fuckup plaatsvindt waar koppen moeten gaan rollen, dan kunt ge nog altijd de "we zijn gehacked" of "dit was dit virus" kaart trekken. Dat heb ik ook al meegemaakt.
 
Laatst bewerkt:
Five-seveN zei:
Wat met een console verbinding naar de switch, of rechtstreeks op de server inpluggen, desnoods met de KVM?

Ik heb ooit core swithen gezien die elke keer daar trafiek doorheen ging van een Nessus vulnerability scan, compleet rebooten. Een of ander "packet wrong syntax" error en pfieeeew. Die van de hoofdzetel wilden dat natuurlijk niet geloven, ik denk dat die fabriek 5x is moeten plat gaan vooraleer ze die scans af wilden zetten. En lol ja hoe meer er in de koffer van uw wagen zit van prive IT materiaal, hoe beter.
Klik om te vergroten...
De console van de switches was uiteraard op aanbeveling van de security-specialist dichtgenageld omdat je ook via de console ISE authenticatie moet doen.

Want ja "de console is ook een serieuze attack vector en lokale gebruikers raden wij sterk af in het kader van security"

De KVM was niet aanwezig, twaren cisco UCS'en op vmware. En via de KVM van nen ESX heb je geen rechten om vm's te starten of stoppen (dacht ik). Twaren geen bare-metal servers, het waren gevirtualiseerde op nen UCS.

Trust me, het was echt even een geval van: we gaan hier goed moeten over nadenken wat we plat leggen om het spel terug toegankelijk te krijgen...

Hadden er geen mensen-levens in het gedrang geweest, had ik er bijna de humor van ingezien.

En gelijkaardig als bij u: bij Picanol (durf ik nu luidop zeggen) crashten alle PLC's eens omdat er een "raar" ARP packet in die vlans zich voordeed. Die TCP/IP stack was ook eene die ze op een nen vrijdag van het internet gekopieerd hadden, blijkbaar...
 
Laatst bewerkt:
Five-seveN zei:
Nu, als er ergens een serieuze fuckup plaatsvindt waar koppen moeten gaan rollen, dan kunt ge nog altijd de "we zijn gehacked" of "dit was dit virus" kaart trekken. Dat heb ik ook al meegemaakt.
Klik om te vergroten...
Dit vraag ik mij dus oprecht ook af: in hoeverre zijn "hacks" soms gewone interne IT fuck-ups.

Och, ik verdien er goed mijne boterham mee :):)
 
Wij werken bij de klant via een Citrix omgeving. Dwz ik heb admin rechten lokaal op mijn laptop maar ik log dan in op een subscherm (citrix omgeving) waar ik dan geen admin rechten heb.

Het voordeel voor de klant is dat ze alles beheren binnen die citrix omgeving en daarover volledige controle hebben. Ze monitoren dus ook of je effectief online bent en je niet te veel non actief / afwezig bent. Je krijgt dus ook alleen maar toegang tot x en y als je dit aanvraagt. (Bepaalde apps zoals ms office zijn natuurlijk wel standaard)

Het nadeel is dat als ik bijvoorbeeld heel even op beyondgaming zit buiten de Citrix omgeving terwijl ik thuiswerk. Dan kan de klant daar eigenlijk niks tegen doen. :tongue: (Als je dit een nadeel kan noemen voor de klant. Zolang het werk maar goed gedaan is :D)
 
Laatst bewerkt:
CaseBlue zei:
Ik ben IT'er (infrastructuur specialist met een voorliefde voor netwerken).

Ik heb 14 jaar ervaring in IT en consultancy gaande van kleine KMO's tot europese instellingen.

Dit voorbeeld die je hier aan haalt, is... zo typerend van alles wat er mis is met IT security naar mijn mening.

Als je eind-gebruikers het leven zuur maakt, gaan de gebruikers zich bezighouden met "hoe moet ik die klote-blokkade voorbij steken". En dan krijg je gekke toestanden. Ik kan er lange verhalen over schrijven. Zoals mensen die hun coorporate windows pc virtualisen, linux installeren en dan met de vm op volledig scherm naar local IT gaan: "kan je eens mijn ad account bekijken? Ik ben precies de trust relationship kwijt". En twas fixed, want de helpdesk had zelfs niet door dat ze in een full-screen VM aan't werken waren...

"security boven alles"

Tja, you do you. Maar vraag aan 10 IT'ers wat security is, je krijg 20 antwoorden en andere insteken. De insteek van een O365 administrator is volledig anders van iemand die netwerk-segmentatie doet en weer helemaal anders vaniemand die windows-server beheer doet. Linux-mensen zijn ofwel de beste of de ergste want die denken soms dat hun OS volledig imuun is voor inbraak en security (heartbleed, anyone?), maar zijn meestal wel technisch capabel, kinda sorta.

Een losse greep uit 10 jaar "security boven alles"

****
Er is eens een ziekenhuis die in niet ga benoemen (inclusief operatiezaal en intensieve zorg) die een 5 tal uur volledig plat gegaan omdat de cisco ISE vastgelopen was en alle .1X authenticatie op gans het netwerk uitlag. Dus alle draadloos en bekabelde verbindingen waren onbruikbaar want volgens security guidelines mocht geen enkele verbinding zonder .1X en change of authorization.

...Inclusief de administrators die alles moeten beheren en fixen. De beste analogie die ik kan bedenken was dat je uit uw eigen huis buitengesloten bent. Je staat op straat zonder sleutels en het huis vecht actief terug op al uw pogingen om terug binnen te raken, want het systeem is zo opgezet dat zonder de ISE het netwerk iedereen moet buiten weren. Gelukkig was er ergens een trunk-poort waarop een native vlan stond die net net genoeg toegang had om een RDP te starten naar nen semi-personal server ergens die dan nog nekeer nen RDP kon starten naar de jumphost en van daaruit RDP naar de ESX-ILO/(of was't VSphere...) om de virtuele ISE nen reboot te geven. Godzijdank was dat voldoende, want als dat niet hielp ging dat echt moeilijk worden.

(voor de nerds: we hadden al eerst geprobeerd om het mac-adress van nen printer te spoofen omdat die MAB zijn. Maar toen hadden we door dat de ISE effectief op zijn gat lag, dus dat hielp niet...)

Die situatie is gekomen na vele vergaderingen van: "alles moet dichtgenageld worden, veiligheid boven alles" en een lijvig document van een "security specialist" dat veel teveel geld gekost heeft om te schrijven.

Godzijdank is er niemand gestorven (letterlijk, het scheelde niet veel), maar toen zijn ze ook beetje terug gekomen van dat principe.
***
Een europese instelling was de tweede core switch vastgelopen omdat er een corrupte IOS image op stond (nog altijd niet duidelijk hoe, ma bon). De oplossing was om via een seriele console letterlijk naast de core te staan en via tftp op uw laptop een transfer te doen (ftp gaat ook, maar kon niet, we hadden geen admin rechten om iets te installeren...).

Bon, we beginnen er aan, met alle stress van dien. De klokt tikt... Want de message queue van de core-business buffert ongeveer 40 minuten. Ik zeg niets waar het exact was, maar als het probleem er nog is na deze 40 minuten, komen we in gans europa (en eigenlijk gans de wereld)in het nieuws...

Na 15 minuten komt uit: die klote-laptop is zo ingesteld dat je geen IP adres kan statisch instellen omdat dat administrator-rechten vereist. Dat is een andere afdeling en die begint pas om 8 uur smorgens ten vroegste. Gesprint naar de wagen, een spare laptop gepakt en daarmee verder gedaan. Met 10 minuten spare alles opgelost gekregen, als je rekent dat een catalyst 6500 ongeveer 8 minuten moet booten, het was spannend....

Maar iedereen weet dat voor netwerk-engineers een IP adres instellen een security issue is eh...
***
Bij Thomas Cook intijde was het zo dat je 0 rechten had nergens. Zelfs IT has geen rechten op hun eigen laptop en die moesten via de first line alles doen.

...Tot je bij "de gerard" eens ging luisteren, die had de locale domain-admin het wachtwoord op nen post-it liggen in zijne bureau. Totale kost: 15 minuten naar zijn gezever luisteren en een slechte koffie uit een muffe automaat die ouder dan mij was.

"security boven alles"

O, ja: in TC was het wachtwoord van de server van deur-controle ook schitterend. "administrator" en ww "a". Moest je het vergeten, de post-it hing aan het scherm in het DC...

Maar die mensen die spotify ofzo wilden installeren (daar ook tegengekomen), die waren de duivel op security uiteraard.
***

Dat je eind-gebruikers geen admin-rechten moet geven, vind ik persoonlijk logisch. Maar als eind-gebruikers spotify ofzo willen installeren, geef ze dan ook geen shit want dat gaan je ook niet in dank afgenomen worden. Ik gebruik dat even als ad nauseam als voorbeeld maar het is over heel de lijn zo.

Security is belangrijk maar je moet ook beseffen dat security niet de core-business in het gedrang mag brengen.

Een ziekenhuis moet mensenlevens kunnen redden 24/7 en niemand mag sterven omdat "ja, die tool is vastgelopen omdat uw java een oude versie is die niet meer security-compliant is. Pech."

Een fabriek die stilvalt omdat de SAP server partieel onbereikbaar is door een over-ijverige firewall admin, is ook niet grappig. (dit al zoveel meegemaakt...). Of productie PLC's die stoppen omdat de EDR plots beslist dan PLC traffiek "niet normaal gebruikers traffiek" is...

Een office 365 tenant die volledig afgesloten raakt voor de admins omdat er iemand een vinkje op 2FA aanzet verkeerd... Yup, been there.

Security is belangrijk. Maar laat security nooit tussen mensen en hun werk komen. Het zal je zuur opbreken.

Want wat wil je bereiken? Dat er geen spotify is? Of dat mensen vlot hun werk op een veilige manier kunnen doen?
Klik om te vergroten...
En daarom heb je dus break the glass procedures en accounts nodig.
Nix mis met zoveel mogelijk stuff in uw ISE te willen steken, zolang safety maar niet in gedrang komt.

Maar ja. Ik kan me de situaties maar al toe goed indenken :) . Ook weet van instellingen waar geld gepompt wordt in EDR en 4 softwaretools die alles loggen en opvolgen.

Maar de server ruimte, daar kan iedereen losweg binnenwandelen.

Eeyyyyy........
 
Avi zei:
Je zou ervan verschieten hoeveel senior profielen er toehappen op een eenvoudige pentest via e-mail.
Altijd een genante lijst dat overzicht aan het einde van de maand.
Klik om te vergroten...
Goh. Van die phishing tests zijn eindelijk "hot". Getuige dat al die phishing bedrijfjes opeens winstgevend zijn, het is keimakkelijk voor een bedrijf om opeens aan te tonen dat ze "compliant" zijn en interne opleidingen verschaffen via één of ander platform... heel veel yadda yadda.

Ikzelf ben er nog niet voor gevallen, maar kga hier ook niet beweren dat ik in een onoplettend moment er niet eens op ga clicken. Ik heb nog 23 jaar te werken, er kan nog veel fout gaan :D .
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

Vega
Cybersecurity op kantoor - toegang tot PC's/laptops door 1 beheerder?
Reacties
17
Weergaven
1K
sniper80
sniper80
H
USB-C dock voor Surface laptop 4 (Ryzen 5)
Reacties
4
Weergaven
301
zephir
Z
Sir. K
  • Artikel
BeyondGaming @ FACTS Spring Edition 2023
Reacties
0
Weergaven
635
Sir. K
Sir. K
Killjoy
  • Artikel
Review: Ghostrunner
Reacties
0
Weergaven
990
Killjoy
Killjoy
Terug
Bovenaan