Uw toegangscontrolesysteem beter beveiligd met end-to-end security Door Jeroen Harmsen In 1981 verscheen het eerste artikel over end-to-end security. Het principe is afkomstig uit de ICT en is in feite een ontwerpprincipe van computernetwerken. Doordat ICT en fysieke toegangscontrole steeds verder integreren, worden ook ICTprincipes steeds meer gebruikt in de wereld van de fysieke toegangscontrole. De wereld van security verandert in razendsnel tempo. Dagelijks verschijnen artikelen over succesvolle hacks. Daarnaast moeten organisaties in toenemende mate open en toegankelijk zijn en bovendien moeten systemen uit beheersoogpunt met elkaar verbonden worden en van buitenaf via internetverbindingen beschikbaar zijn. Deze combinaties vereisen een continue aanpassing van uw security aan de nieuwe realiteit, ook van uw toegangscontrolesysteem. Hier volgen enkele vragen die u zich zou kunnen stellen. Bent u zich bewust van mogelijke dreigingen en risico’s? Hoelang geleden heeft u een risicoanalyse laten uitvoeren en bent u zich bewust van de gevolgen indien social hacking met succes wordt toegepast? Wat zijn uw grootste drie risico’s en weet u hoe de beveiliging van uw toegangscontrolesysteem is geregeld? Eén ding is zeker, uw toegangscontrolesysteem is veiliger en beter bestand tegen dreigingen indien end-to-end security is toegepast. In dit document vertellen we u graag meer over end-to-end. Wat houdt het precies in? En waar moet u bij end-to-end op letten? We gaan hierbij in op de verschillende aspecten, veelgebruikte begrippen en de verschillende beveiligingsmethoden bij end-toend security. End-to-end security is bedoeld om de afzonderlijke delen van een toegangscontrolesysteem in hun samenhang te beschermen tegen mogelijke dreigingen. Daardoor bent u er zeker van dat uw toegangscontrolesysteem veilig is. En dat degene die om toegang vraagt, ook daadwerkelijk de persoon is die u toegang wilt geven. Ook verzekert het u ervan dat toegangsinformatie onderweg niet wordt aangepast. Hiervoor moeten alle onderdelen binnen het systeem goed beveiligd worden. In dit document bespreken we daarom de afzonderlijke onderdelen, de dreigingen waar zij mee te maken krijgen en hoe u ze daartegen kunt beschermen. Zo weet u hoe u de effectiviteit van uw toegangscontrolesysteem verhoogt terwijl u de risico’s beperkt en het gebruiksgemak hoog houdt. I CT en fysieke toegangscontrole raken Beveiligingsprincipes bieden hulp bij het opstellen steeds meer met elkaar verweven. van eisen, het maken van beslissingen ten aanzien van Bijvoorbeeld doordat de server van het toegangscontrolearchitectuur en implementatie en toegangscontrolesysteem zich vaak op de ICT-afdeling het ontdekken van mogelijke zwakheden in het sys- bevindt. Gebouwen zijn steeds toegankelijker voor teem. Door toepassing van deze negen principes kunt publiek waardoor er ook meer behoefte aan goed u eenvoudig digitale certificaten (PKI), multi-factor Identity en Access Management is. Daarnaast is authenticatie of encryptie gebruiken met dezelfde pas toegangscontrole in de vorm van identificatie en die u voor de fysieke toegangscontrole gebruikt. Lees authenticatie bij het gebruik van toepassingen steeds hier meer over in onze paper “Het belang van goed belangrijker. En vertrouwelijke informatie zoals gedefinieerde beveiligingsprincipes”. Daarnaast kan dossiers, persoonlijke gegevens of sales-informatie uw security adviseur u hier verder over informeren en moet goed beveiligd worden. Als u al een goede adviseren bij het maken van de juiste keuzes. architectuur gebruikt voor fysieke toegangscontrole kunt u deze ook gebruiken voor ICT-toegangscontrole (ofwel logische toegangscontrole). U kunt de bewezen principes die zijn afgeleid van IT toepassen op uw toegangscontrolesysteem. Deze beveiligingsprincipes worden gedefinieerd als de verzameling van gewenste systeemeigenschappen, gedrag, ontwerp en implementatiewerkwijzen die de kans op bedreigingen en bijbehorende impact pogen te verkleinen, indien zich een bedreiging voordoet. 3 Wat is end-to-end security? Wat is end-to-end security niet? End-to-end security zorgt ervoor dat u zeker weet dat uw toegangscontrolesysteem van begin tot De term ‘end-to-end’ wordt steeds meer gebruikt. Daardoor bestaan er ook veel misvattingen over de eind goed beveiligd is waardoor u ook alleen degenen toelaat die u toegang wilt verlenen. Dit kan inhoud en toepassing van dit begrip, zoals: alleen als de informatie onderweg niet wordt aangepast. Daarvoor moet u alle onderdelen binnen het systeem evalueren op authenticiteit en integriteit. Een goed end-to-end toegangscontrolesysteem is per definitie veilig End-to-end security heeft alleen maar met pastechnologie te maken Authenticiteit Integrale beveiligingscontrole Helaas is dit niet altijd het geval. Naast goede Ook de pastechnologie is slechts één van de Door naast de claim (bijvoorbeeld het aanbieden Voor een goede end-to-end security controleert u end-to-end security zijn ook aanvullende maatregelen, beveiligingsschakels in uw toegangscontrolesysteem. van een pas) een extra controlemaatregel te treffen integraal de beveiliging van de hele keten. Dit gaat bijvoorbeeld goede training van werknemers Door populaire hacks -bijvoorbeeld op de (bijvoorbeeld het vragen van een pincode) weet u dus verder dan het controleren van de encryptietech- ten aanzien van veiligheid, noodzakelijk om uw OV-chipkaart- is dit wel vaak het eerste onderdeel zeker dat degene die claimt iemand of iets te zijn, ook nologie van een toegangskaart. Een goede methode is toegangscontrole helemaal veilig te maken. waar men aan denkt bij end-to-end security. de zwakke punten van de verschillende onderdelen? End-to-end heeft te maken met social hacking Welke mogelijkheden tot inbraak levert dit op? Bij social hacking bouwt de tegenstander vertrouwen op om vervolgens het gedrag van uw toegangscon- End-to-end security is hetzelfde als procedures rondom wachtwoordbeheer en administrator accounts daadwerkelijk diegene is. Integriteit Met behulp van encryptie wordt het onmogelijk om om de keten vanuit de aanvaller te bekijken. Wat zijn het bericht dat van onderdeel naar onderdeel binnen Andere encryptiestandaard trolesysteem te manipuleren. Bijvoorbeeld door zich Goede beveiliging van wachtwoorden en administra- uw toegangscontroleketen gaat, onderweg aan te De constante verandering van encryptietechnologie voor te doen als helpdesk waardoor de receptionist tor accounts zijn opnieuw slechts één onderdeel van passen. heeft grote gevolgen voor toegangscontrolesystemen. de toegangsgegevens overhandigt. Een maatregel end-to-end security, maar wel enorm belangrijk. Want Niet iedereen is zich hier al volledig van bewust. hiertegen is het verscherpen van het bewustzijn een technisch perfect beveiligd toegangscontrolesys- Snellere computers zullen sneller wachtwoorden of bij medewerkers, bijvoorbeeld door rollenspellen. teem dat nog steeds het standaard wachtwoord bevat encryptie kunnen kraken. Iedereen realiseert zich Dit zorgt slechts voor het beter beveiligen van één terwijl het is aangesloten op de ICT-infrastructuur, tegenwoordig wel dat een wachtwoord moeilijker onderdeel van de keten waar end-to-end security zich kan voor lekken zorgen. Zoals Google Australië moet zijn dan zes letters. Maar vaak wordt niet beseft op richt. ondervond bij hun gebouwbeheersysteem. dat een encryptiestandaard van nu over vijf jaar waarschijnlijk achterhaald is. Een goed ontworpen systeem past zich hierop aan, nu en in de toekomst. Het basisprincipe van sleutels Toegangscontrolesystemen maken gebruik van encryptie. Voor deze toegangscontrolesystemen geldt dus ook het principe van Kerckhoffs, de basis van de cryptografie: ‘De beveiliging van een systeem van versleuteling mag alleen afhankelijk zijn van de geheimhouding van de cryptografische sleutels waar het systeem gebruik van maakt.’ Onderzoekers hacken gebouwbeheersysteem Google Australië Lekken in toegangscontrolesystemen staan minder in de belangstelling dan beveiligingslekken in industriële systemen. Maar wanneer de hack een grote naam als Google betreft, zet dit iedereen -terecht- weer op scherp. Google Australië gebruikt een gebouwbeheersysteem dat gebouwd is op het Tridium Niagara AX platform. De hoofdserver bevindt zich op de ICT-afdeling terwijl de verantwoordelijkheid voor het gebouwbeheersysteem bij de security managers ligt. Door slechte onderlinge communicatie was een door Tridium afgegeven patch niet op het systeem van Google geïnstalleerd. Daardoor konden hackers het standaard wachtwoord (‘anyonesguess’) achterhalen en het systeem binnendringen. Als er op het gebied van security drie zaken opgemerkt waren, had deze hack hoogstwaarschijnlijk voorkomen kunnen worden: De online beschikbaarheid van het systeem vergroot de toegankelijkheid voor potentiële tegenstanders enorm. Controle op de procedures om standaard wachtwoorden en inloggegevens aan te passen ontbreekt of wordt niet goed toegepast. Patches en updates moeten altijd op tijd geïnstalleerd worden om mogelijke beveiligingslekken te minimaliseren. 4 5 Zoek de zwakste schakel De onderdelen en hun communicatie Belangrijk bij end-to-end security is dat de keten zo sterk is als de zwakste schakel. Daarom moet een Bij het beoordelen van de end-to-end security van uw toegangscontrolesysteem zijn de volgende toegangscontrolesysteem altijd als geheel beoordeeld worden om deze zwakste schakel te achterhalen. onderdelen en hun onderlinge communicatie van belang: Cards / biometrics Kaarten zijn een belangrijk onderdeel bij toegangscontrolesystemen. Er zijn dan ook veel verschillende soorten te verkrijgen. Kaarttechnologieën De encryptie van de data kan bij deze verschillende soorten erg verschillen. In de kadertekst ‘Kaarttechnologieën’ lichten wij een aantal belangrijke soorten kaarten toe. De meest gebruikte kaarttechnologie is Mifare van NXP semiconductors. Verschillende versies bevatten verschillende vormen van Card-Reader transmissie encryptie: Wanneer informatie tussen de card en de reader verzonden wordt, biedt dat een mogelijkheid voor inbraak. Bijvoorbeeld Classic door af te luisteren (eavesdropping/skimming) of je voor te doen als iemand anders (spoofing). Een goede beveilingstechniek Deze kaart bevat een eigen encryptie van NXP. hiertegen is encryptie. Het meest veilige is het om deze encryptie pas te laten decoderen door de controllers omdat deze zich Deze is echter al binnen tien seconden te meestal aan de veilige kant van uw gebouw bevinden. kraken met een laptop. Daarnaast is de kaart ook te klonen. Plus Readers / antenna’s De Mifare Plus ondersteunt 128 bit AES- De reader leest de kaartgegevens en zet deze om naar een bedraad signaal. De reader hoeft dus eigenlijk niets met de informa- encryptie, maar ook Mifare Classic. Dit is tie die op de kaart staat te doen. Het is daarom niet nodig dat het decoderen in de reader plaatsvindt. Dit geeft namelijk alleen ideaal voor upgrade, maar deze kaart is niet maar een veiligheidsrisico omdat dan dus ook de sleutels voor het decoderen in de reader aanwezig zijn. Dit is een niet te beschermd tegen brute force en crypto- onderschatten risico, hoewel veel oplossingen beperkt zijn in hun mogelijkheden. analytische aanvallen. DESFire Reader-Controller transmissie Deze kaart bevat 3DES en AES-encryptie. AES is de opvolger van 3DES, dat weer de opvolger Hier geldt evenals bij de card-reader transmissie het gevaar van inbraak door eavesdropping, skimming en spoofing. Let er van DES-encryptie is. DESFire wordt nog wel daarom op dat u geen generiek protocol gebruikt, zoals bijvoorbeeld het populaire Wiegand, omdat dit erg gevoelig is voor veel gebruikt hoewel tegenwoordig toch hacking. vooral DESFire EV1 wordt ingezet. DESFire EV1 Controllers De controllers zijn een kwetsbaar punt binnen de keten omdat hier veel informatie in is opgeslagen. Gelukkig zijn de controllers Dit is de opvolger van DESFire, biedt 128 bit AES-encryptie. meestal aan de veilige kant van het gebouw gemonteerd, wat ze een zekere bescherming biedt. Heeft u de sleutels voor het DESFire EV2 decoderen in de controllers opgeslagen? Zorg er dan voor dat geen enkele controller (ook die van de bijgebouwen) gestolen Deze kaart volgt de DESFire EV1 op en kan kan worden. Sla de sleutels binnen de controller dus op in een veilige, niet te hacken kluis. Bijvoorbeeld in een SAM-module. verschillende sleutels voor verschillende applicaties bewaren. Controller-Server transmissie De verbinding tussen controller en server gebeurt meestal via TCP/IP op het beveiligde interne (gescheiden) bedrijfsnetwerk (VPN). Ook hier is encryptie belangrijk. Server De server bepaalt alle toegangsrechten en verzendt deze naar de controllers. Zorg daarom voor een goede firewall en een fysiek veilige ruimte voor de server. Let er op dat het updaten van de server niet – zoals in de case van Google wel het geval was – over het hoofd gezien wordt door de security managers omdat de server zich fysiek in de ICT-ruimte bevindt. Sleutelbeheer Continue aanpassing op de werkelijkheid Van alle hierboven besproken onderdelen is het sleutelbeheer misschien wel het lastigste Een toegangscontrolesysteem kan door deze risico’s meerdere zwakke plekken bevatten. Door hier vooraf bij het onderdeel van end-to-end security omdat het invloed heeft op allerlei andere aspecten: systemen, kiezen van een toegangscontrolesysteem rekening mee te houden, kunnen een hoop problemen voorkomen worden. gebruikerstrainingen en de communicatie tussen organisaties en afdelingen. Met sleutelbeheer wordt het aanmaken, uitwisselen, opslaan, gebruiken en veranderen van cryptografische sleutels in een beveiligingssysteem bedoeld. Om dit goed te doen, zijn er cryptografische protocollen, sleutel- en Risico’s beveiliging toegangscontrolesysteem Kaartlezers updaten op afstand certificaatservers en vaste procedures voor gebruikers. Bekeken vanuit end-to-end security blijkt dat er altijd Bovenstaande risico’s maken de kans groter dat er meerdere risico’s zijn bij de beveiliging van een gedurende de levensduur van het totale systeem toegangscontrolesysteem; behoefte aan nieuwe kaarttechnologieën is. Daarom Doopkaart en beveiligd transport Centraal sleutelbeheer De pasproducent is meestal verantwoordelijk voor Wanneer uw organisatie van sleutel wisselt, wilt u Het hacken van beveiligingsmethoden gebeurt te kunnen updaten voor nieuwe technologiën. het sleutelbeheer maar het kan ook intern geregeld natuurlijk niet langs alle deuren en locaties hoeven continu. Dat blijkt wel uit het feit dat na de kaart- Bijvoorbeeld wanneer een update van Mifare Classic worden. In beide gevallen is hier specifieke software gaan om het systeem te laten weten dat een nieuwe technologie van Mifare Classic nu ook de nieuwere naar Mifare DESFire EV1 of EV2 nodig is, of indien voor nodig. Als u nieuwe sleutels in gebruik neemt, sleutel in gebruik is. Met goed sleutelbeheer hoeft technologie van Mifare DESFire 3DES gekraakt is. De een NFC (Near Field Communication) telefoon is het belangrijk dat alle betrokkenen hiervan op de dat ook niet. Wanneer u deze zaken goed regelt, zorgt kans dat dit ook met nieuwe kaarten gebeurt, is altijd gebruikt moet worden als ‘toegangspas’. hoogte zijn. Goede communicatie tussen organisatie centrale veilige distributie voor minder risico’s bij het aanwezig. en pasproducent is daarom essentieel. De sleutels updaten naar een nieuwe sleutel en voor beheerge- worden overgebracht via een zogenaamde doopkaart mak en lagere kosten. is het steeds belangrijker om kaartlezers op afstand Goed sleutelbeheer Gekraakte standaard protocollen kunnen Door de huidige risico’s is goed sleutelbeheer steeds -een kaart waar de (moeder)sleutel opstaat- die met tegenwoordig via internet makkelijker belangrijker. Zo is bij symmetrische cryptografie een beveiligd transport bezorgd wordt. gedeeld worden. (tegenwoordig gebruikelijk) de sleutel om te Zelfde pasjes, andere sleutel Geheime sleutels kunnen om meerdere sleutel kent, kun je kaarten uitlezen maar ook maken. Pasjes kunnen meerdere sleutels bevatten. Daardoor redenen (bijvoorbeeld door een gestolen Dat brengt natuurlijk een risico met zich mee. Daarom kunnen passen langere tijd gebruikt worden terwijl controller) openbaar worden. is het belangrijk dat sleutels moeilijk toegankelijk decoderen en te encoderen hetzelfde. Als je dus de uw organisatie binnen die tijd wel van sleutel kan wis- zijn in de SAM-module. Ook moeten ze bij een hack selen zonder dat er nieuwe pasjes hoeven te komen. makkelijk aan te passen zijn. Maar goed sleutelbeheer Hoe meer sleutels op één kaart opgeslagen worden, houdt ook in dat sleutels niet in het geheugen van de hoe langer een organisatie met geleverde pasjes kan controllers maar in goede kluizen -SAM-modules op doen. Wisselen van sleutel kan gedaan worden als de controllers- bewaard worden. voorzorgsmaatregel of noodgedwongen wanneer een sleutel gehackt is. 8 9 Conclusie Nedap Security Management Toegangscontrolesystemen moeten ervoor zorgen dat onbevoegden geen toegang tot een pand Nedap Security Management ontwikkelt technologische oplossingen om de dagelijkse hebben om daarmee de veiligheid van personen en spullen binnen in het pand te garanderen. Daarom werkzaamheden van uw klanten gemakkelijker te maken. Daarvoor ontwerpen we oplossingen is het van groot belang om er met behulp van end-to-end security voor te zorgen dat het toegang- die aansluiten bij de wensen van klanten in plaats van standaard systemen te bieden. Deze scontrolesysteem zelf ook veilig is en niet gehackt kan worden. Een aantal maatregelen is daarbij klantgerichte benadering heeft ons in staat gesteld AEOS – het eerste software-based platform onmisbaar: voor beveiligingsmanagement – te ontwikkelen. Daarmee zijn we nooit klaar; we blijven altijd doorontwikkelen, innoveren en verbeteren. Dat kan ook niet anders. De markt verandert en de Zorg voor goed sleutelbeheer Eenvoudig aanpassen via software Sla sleutels altijd op aan de veilige kant van Omdat een toegangscontrolesysteem altijd voor gebouwen en nooit in de paslezers. langere tijd wordt gebruikt, is het vrijwel zeker vraag van klanten verandert. Daarom verandert AEOS mee. dat nieuwe beveiligingstechnologieën tijdens de Sla sleutels op in een elektronische kluis looptijd van het systeem geïntroduceerd worden. (SAM-module). Zorg ervoor dat de paslezers, controllers en servers eenvoudig van nieuwe software zijn te voorzien om Zorg ervoor dat nieuwe sleutels centraal in uw systeem van nieuwe beveiligingstechnologieën te gebruik genomen kunnen worden. voorzien. Daarmee voorkomt u een noodgedwongen, vroegtijdige investering in nieuwe hardware. Werk met meerdere sleutels op een kaart zodat wisselen van sleutels eenvoudig is. Zorg voor beveiligde verbindingen tussen alle onderdelen. Sommige specifieke situaties vragen om Wijzig alle standaard wachtwoorden in specifieke veiligheidsmaatregelen. In dat geval eigen wachtwoorden. kunt u het beste een afspraak maken met een expert. Hij kan samen met u een risicoprofilering Leid medewerkers op om social hacking te voorkomen. en veiligheidsanalyse maken. Op basis hiervan kan hij u adviseren over de beveiliging van toegangscontrolesystemen voor bepaalde zones Installeer updates en patches altijd zodra of het gehele systeem. ze beschikbaar zijn. Nedap heeft experts op het gebied van end-toend security in huis. Neem gerust contact met ons op voor een vrijblijvende afspraak. Jeroen Harmsen Business Development T. +31 (0)544 471 875 E. [email protected] 10 [email protected]
© Copyright 2024 ExpyDoc
