Infrastructuele beveiliging, de basis voor al uw applicaties

Transcriptie

1 Infrastructuele beveiliging, de basis voor al uw applicaties René Bense Sr. Security Consultant Cap Gemini Ernst & Young Voorzitter GvIB werkgroep Infrastructurele Beveiliging René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 1

2 Tussenstand 6 November Wat hebben we al bereikt en wat is de vervolgplanning 1. Wat was (en is nog steeds) de doelstelling 2. Leden van de werkgroep 3. Uitgangspunten en Randvoorwaarden 4. De rode draad 5. De globale inhoud 6. De planning René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 2

3 1. Doelstelling Breng huidige mogelijkheden van de Infrastructurele beveiliging in kaart Geef aan hoe dit soort technologie het beste kan worden ingezet Positioneer de Infrastructurele beveiliging als transparante laag tussen de gebruiker en zijn applicaties Maak duidelijk hoe applicaties (en systeemontwikkelaars) gemeenschappelijk gebruik maken van deze beveiligingslaag (Security verhuist van applicatielaag naar de communicatielagen daaronder) René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 3

4 2. Leden werkgroep Martin van den Berg. Leon Kuunders. Jan de Boer. Stans von Winckelman John van Huijgevoort Frans van Buul René Bense Klaas Eldering Roccade NedSecure (secr.) Cap Gemini Ernst & Young Ministerie van Sociale zaken Cap Gemini Ernst & Young PricewaterhouseCoopers Cap Gemini Ernst & Young (vz.) Aegon René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 4

5 3. Uitgangspunten en Randvoorwaarden Doelgroep is hoger- en middenkader Breed overzicht van beveiligingsinfrastructuur Elk onderwerp krijgt evenveel aandacht Door beperkte omvang (100 blz.) is diepgang beperkt Elk werkgroeplid maakt minimaal een hoofdstuk Elk werkgroeplid is sparringpartner voor ander lid Centraal aanleveren definitieve stukken Tussenresultaten op beveiligde WEB Site publiceren Eindresultaat verrijken met actuele add-on s op URL Einddatum eind 2001, begin 2002 René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 5

6 4. De rode draad Het simpele OSI model, zonder security Doelstellingen en maatregelen van security Basis security en Functionele security Infrastructurele beveiliging toegepast op OSI model Gecompliceerdere modellen, enkele voorbeelden Het eindplaatje René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 6

7 Het OSI model, zonder security Gebruiker Client Applicatie Server Applicatie Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 7

8 Doelstellingen en maatregelen van security Beschikbaarheid garanderen Zorgen dat informatie te gebruiken is. Integriteit garanderen Zorgen dat informatie juist is. Zowel beveiliging tegen ongelukken (b.v. lees / schrijffouten) als kwade opzet (b.v. een site bekladden) Vertrouwelijkheid / Exclusiviteit garanderen Alleen geautoriseerde personen mogen informatie inzien Non-repudiation Zorgen dat iemand een actie niet kan ontkennen René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 8

9 begrippen basis security en functionele security Om security doelstellingen te realiseren, zijn er twee categorieën van technische middelen: Basis security Alles moet netjes geconfigureerd zijn, de juiste patches moeten zijn aangebracht, firewalls geïnstalleerd. De eindgebruiker merkt hier weinig tot niets van. Functionele security Inlogprocedures, hardware-tokens, autorisatietabellen, elektronische handtekening etc. Dit is in het algemeen zichtbaar voor de eindgebruiker. René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 9

10 Basis Security fysieke beveiliging Gebruiker Client Applicatie Server Applicatie Netwerk verbinding Fysieke verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 10

11 Basis Security Actuele patches in Applicatie en OS Gebruiker Client Applicatie Server Applicatie Netwerk verbinding Fysieke verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 11

12 Basis Security Firewall Gebruiker Security officer Client Applicatie Firewall: interface voor beheerder intrusion detection Server Applicatie Firewall: filteren op applicatie niveau (b.v. blocking adult content) Firewall: Filteren op domeinnamen etc Firewall: Filteren op IP adres, TCP/UDP poort etc. Verbinding Firewall: Filteren op MAC, Interface Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 12

13 Klassieke functionele Security op Applicatie/OS niveau Gebruiker Client Applicatie Server Applicatie OS OS Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 13

14 Functionele Security in de nieuwe situatie Gebruikers hebben steeds meer te maken met meerdere operating systems en meerdere applicaties Het is niet praktisch om security te beleggen in het OS of in de applicatie. Functionele security wordt dan steeds opnieuw gebouwd Security zal dus als infrastructuur worden aangeboden. Daarvoor bestaan reeds verschillende technieken: IPsec, SSO, PKI, Middleware René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 14

15 Functionele Security in de nieuwe situatie Ipsec / IPv6 Gebruiker Client Applicatie Server Applicatie Netwerk verbinding Fysieke verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 15

16 Functionele Security in de nieuwe situatie Middleware (b.v MQ series) Gebruiker Client Applicatie Server Applicatie Middleware (5 1/2) Middleware (5 1/2) Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 16

17 Functionele Security in de nieuwe situatie PKI en SSO Gebruiker Client Applicatie Server Applicatie Security applicatie (Certification Authority, of SSO Server, of LDAP directory) Verbinding Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 17

18 Functionele Security Het eindplaatje Gebruiker Security officer Client Applicatie Firewall: interface voor beheerder intrusion detection Server Applicatie Security applicatie (Certification Authority, of SSO Server, of LDAP directory) Firewall: filteren op applicatie niveau (b.v. blocking adult content) Middleware (5 1/2) Middleware (5 1/2) Middleware (5 1/2) Firewall: Filteren op domeinnamen etc OS OS OS OS Firewall: Netwerk Netwerk Netwerk Filteren op IP adres, Verbinding Verbinding Verbinding TCP/UDP poort etc. Fysieke Verbinding Firewall: Filteren op MAC, Interface Fysieke Verbinding Fysieke Verbinding René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 18

19 5. Globale inhoud van de Hoofdstukken Inleiding Introductie en beschrijving van het model Authenticatie, Autorisatie en Accountability Firewalls, IDS en DDOS Single Sign on en Rule based Access Control Smartcards en Tokens TTP en PKI Wireless Communication Beheer en gecentraliseerde Security Management Beveiliging en Privacy Infrastructuur als maatschappelijk goed René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 19

20 Authenticatie, Autorisatie en Accountability Begripsomschrijving Zwakke en sterke authenticatie Combinatie van kennis, bezit en zijn Kennis; gebruikersnaam en password Bezit; tokens (smartcards, usb token), passwordgeneratoren, Zijn; biometrie, soorten en het gebruik in de praktijk, Wet Bescherming persoonsgegevens Soorten autorisatie; multiple en single sign-on Autorisatieservers René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 20

21 Firewalls, IDS en DDOS attacks Verschillende typen Firewalls Verschillende (prijs) klassen Firewalls Verschillende toepassingsgebieden Verschil Security Router en Firewall Firewall rulebase, opzet en beheer Gebruik van centraal security management Soorten IDS, Network based en Host based Wat is het verschil met Firewall, waar vult IDS aan Koppeling tussen Firewall en IDS Beheer IDS en Firewall op zelfde platform Snel reageren is essentieel DOS en DDOS attacks, wat is het en hoe kan men zich er tegen beschermen René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 21

22 Single Sign on en Rule Based Access control Begripsbepaling wat is SSO en waarom is het veiliger Historisch overzicht van SSO Wachtwoord synchronisatie Gecentraliseerd Autorisatie beheer Architecturele concepten Belangrijkste producten Praktijkvoorbeelden en business cases René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 22

23 Smartcards en Tokens Begripsbepaling Wat is het verschil tussen een smartcard en een token Welke verschillende typen zijn verkrijgbaar Smartcards Memory Card Processor Card Encryption Card Token USB token Calculator (b.v. Safeword) Toepassingsmogelijkheden Digitale certificaten opslag Authenticatie Autorisatie Accountability Role-based Access Control PC Boot beveiliging Koppeling naar Biometrie René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 23

24 Trusted Third Parties en Public Key Infrastructure Principe van asymetrische vercijfering (2 sleutelparen) Principe van digitale handtekening Hoe kan ik een publieke sleutel vertrouwen; het certificaat Identificatie op afstand; smartcards Inrichten van een PKI; Policy Authority, Certification Authority en Registration Authority Uitbesteden of zelf doen; de TTP De overheid als TTP PKI programma van het ICTU/Taskforce PKI Overheid Soorten PKI toepassingen en diensten ( , webtoegang, timestamping, notariaatsfunctie, etc) René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 24

25 Wireless Communication Historisch overzicht Speciale zorg bij draadloze verbindingen Typen draadloze verbindingen DECT, GSM, ComSat, GPRS, EDGE en UMTS Specifiek Datacom: RAM, Bluetooth en b Verschil in gebruik van wireless: Telecom en Datacom Afluisteren, wie kan het en wie mag het. Afluisteren, wat is er tegen te doen. Encryptie van wireless. Voor- en nadelen Echelon en Privacy René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 25

26 Beheer en gecentraliseerde security management Historisch overzicht Vroeger was er alleen maar Single Sign on Van centrale databases naar decentrale databases Van centrale identificatie, authenticatie en autorisatie naar een zeer arbeidsintensief decentraal proces Hoe ervoor te zorgen dat we altijd weten: Wie er toegang heeft tot onze gegevens Wat ze met onze gegevens kunnen en mogen doen Wat ze daadwerkelijk met de gegevens gedaan hebben Hoe ervoor te zorgen dat we voorkomen dat we de verkeerde personen toegang verlenen. René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 26

27 Beveiliging en Privacy Begripsbepaling De Wet Bescherming Persoonsgegevens Beveiliging en Privacy zijn sterk met elkaar verweven Wie heeft toegang tot welke gegevens op welk moment en wat mag diegene met die gegevens doen? Is het SoFi nummer de identificerende code? De donkere deken over onze gegevensverwerkende maatschappij: de elektronische schaduw Diverse technieken om Privacy te borgen Is er nog hoop? René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 27

28 Beveiligde Infrastructuur als maatschappelijk goed Hoofdstuk is opgebouwd rond te stelling: De overheid zou de verantwoordelijkheid op zich moeten nemen voor het realiseren en beheren van de digitale infrastructuur in Nederland, evenals voor het realiseren en beheren van het wegennet en de railverbindingen. Zonder goede digitale infrastructuur is er straks geen economie meer, dus het is veel te belangrijk om deze infrastructuur aan particuliere ISP's en geprivatiseerde telecom bedrijven over te laten. Historisch overzicht van de rol van overheid De rol van de overheid bij de ontwikkeling van de ICT- Infrastructuur Overheid als verstrekker van de digitale identiteit Conclusie René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 28

29 6. Vervolgplanning Inleiding en model (de rode draad) vrijwel klaar. Vervolg hoofdstukken verder uitwerken. November 2001: elk hoofdstuk 50% klaar December 2001: elk hoofdstuk 95% klaar Januari 2002: Round up van alle hoofdstukken Februari 2002: Doornemen hele document, gaten vullen Maart 2002: Concept klaar April 2002: Klaar voor Ten Hagen Stam René Bense / 2001-Nov-06, Werkgroep Infrastructurele Beveiliging_De stand van zaken - 29