Netwerkbeveiliging

DHCP allocatie met MAC authenticatie en uitgebreide Network Access Control (NAC)

Wees er zeker van dat resource allocaties nauwkeurig zijn onderzocht, met strikte compliance voor security policies met host MAC adres toewijzingen. Met Adonis krijgen organisaties krachtige Pre-Admission netwerktoegangscontrole via een krachtige web-portal-enabled DHCP MAC authenticatie met integratie van algemene authenticatie en Directory Services, inclusief RADIUS/LDAP/AD en Kerberos. Deze NAC tools zijn ontworpen om bedrijven te helpen om te voldoen aan interne en externe regelgevingen en om bedrijven te helpen om informatie en beveiligde netwerktoegang op te sporen.

Geharde Linux OS kernel
BlueCat Network ingenieurs selecteerden een gestripte, firewall-grade Linux besturingssysteem kernel, gebaseerd op de veronderstelling dat een kleiner volwassener set modules een lagere beveiligingsbedreiging zou inhouden. Beginnend met een basis installatie met niet-essentiele services verwijderd, werd de Linux kernel compiled met een beperkte set kenmerken en modules. Zij vermeden het gebruik van laadbare kernel modules en compileerden alles in de kernel, wat helpt om te garanderen dat de bedoelde modules niet gemakkelijk vervangen kunnen worden door potentiele aanvallers. Firewall en IP stack werden gehard als extra beveiliging en performance verbetering.

Netwerkservice deamons werden verwijderd en de BIND en remote control deamons worden gestart via controle scripts in plaats van de initiële verbinding via de "inet" daemon. Dit maakt complete controle mogelijk van welke services er draaien en wanneer services kunnen worden gestart. Adonis heeft goede log rotatie juiste opvanging van systeemgebeurtenissen om problemen te vermijden die vele systeembeheerders tot last zijn. Een log rotatiesysteem onderzoekt constant de status van de logs om aanvallen te voorkomen dat een gedwongen out-of-control systeemlogging ontstaat. De logsen kernel images van de appliance worden in separate partities opgeslagen om het effect van potentiele dataverminking van een enkel file systeem, wat normaal is voor veel server installaties, te verminderen

Geïntegreerde Firewall
Het hard maken van het Linux besturingssysteem helpt de server te beveiligen, maar het garandeert geen beveiliging. Een geïntegreerde firewall dient als een buitenste laag van bescherming tegen inkomende en uitgaande verzoeken. Deze configureerbare firewall laat alle inkomende non-DNS verzoeken vallen zoals ongeoorloofde commands en het beperkt non-DNS gerelateerde queries, inclusief kwalijke ICMP's of andere services om een verbinding met Adonis uit te voeren.

De geïntegreerde firewall maakt slechts van 2 poorten gebruik: poort 53 (DNS) en poort 10042 (Client/Server controle) en beperkt daardoor externe blootstelling en voorkomt dat ongewenst verkeer de appliance verlaat. Indien een aanvaller een van de diensten compromiteert, zal de firewall de aanvaller isoleren om verdere inbreuk te voorkomen. Dit sla aanvulling op de isolatie omgeving om de aanvaller te isoleren en te voorkomen dat de aanvaller zich binnen de appliance kan verplaatsen. Dit is een belangrijke veiligheidslaag en de invloed op de prestaties van de firewall is verwaarloosbaar. Een prestatie benchmark van meer dan twee miljoen records met 5% fouten geeft 0,5% prestatieverlies als de firewall aan staat.

Authenticaties en SSL connectivity
De Adonis Management Console software ondersteunt SSL en TrueAuthentication™. De software verbindt en rolt configuraties uit via een 128-bit SSL verbinding met 1024-bit certificaten aan beide zijden. Deze verbinding beschermt tegen ongeautoriseerde verbindingen en het neuzen in pakketten (packet snoozing).

Sinds dat de server vereeist dat de inkomende verbinding met een certificaat wordt geauthoriseerd, zal een scanning van poorten laten zien dat de managementpoort "schoon" is. Het ThrueAuthentication™ systeem authenticeert verbindingen van gebruikers via zelf-gegenereerde certificaten.

De Adonis management console is een client toepassing dat veilig communiceert met een of meerdere servers. Een wachtwoord is noodzakelijk om een SSL verbinding te authoriseren tussen de client en de server. Unieke certificaten op elke server voorkomen ongeauthoriseerde verbindingen, zelfs als het wachtwoord geldig is. Gebruikers die nog geen custom certificaat wens hebben gecreëerd om SSL te gebruiken, kunnen een vooraf gedefinieerd certificaat gebruiken.

1024-bit certificaten
De Adonis Management console verbindt en synchroniseert met de Adonis hardware via 1024-bit digitale certificaten, zowel aan client als aan server eind van de verbinding. Het certificaat garandeert dat alleen geauthoriseerde verbindingen worden goedgekeurd. Vooraf gedefinieerde worden gebruikt om snel configuraties uit te rollen en te testen in een test omgeving terwijl een veilige verbinding onderhouden wordt. Custom certificaten leveren een extra beveiligingslaag.

BIND versienummer
Een netwerkbeheerder kan de juiste reactie, die hij wil als antwoord, configureren wanneer de Adonis DNS/DHCP appliance™ naar zijn BIND versie wordt gevraagd. Een beheerder kan kiezen tussen vooraf gedefinieerde raecties zoals de versie van de Adinis DNS/DHCP appliance™, de versie van BIND, totaaal geen reatie, of een specilale tekst string.

Geïsoleerde omgeving
De name server deamon heeft op de Adonis appliance een 'isolatie' omgeving waarin een bepekt aantal toegankelijke systeembronnen worden toegestaan. Naast de isolatie omgeving draait de deamon onder non-root level privileges met door de name server uitgevoerde deamon die zich binnen de isolie bevindt. Deze beveiligingslaag belet een hacker de toegang om op root level de name server deamon te compromiteren en deze te gebruiken om andere systemen in het netwerk aan te vallen.

Wanneer BIND binnen de isolatie omgeving draait, kan het draaien als een niet bevoorrechte gebruiker. Met deze voorzorgsmaatregel heeft een hacker die BIND compromiteert alleen toegang tot de isolatie omgeving en heeft geen bevoorrechte toegang om het systeem te beheren. De isolatie omgeving beval slechts gegevens dat BIND gebruikt, executables of systeem scripts bestaan niet in de isolatie omgeving. Omdat er niets is voor een hacker om meet te 'spelen' binnen de isolatie omgeving, zullen de meeste husn interresse verliezen en een ander slachtoffer zoeken.