Platform Informatiebeveiliging. PI Studie. Firewalls. Erik Jonkman. SURF IBO 30 September 2005

Transcriptie

1 Platform Informatiebeveiliging PI Studie Firewalls Erik Jonkman

2 Inhoud Introductie PI Waarom PI-Studie Firewalls? Inhoud van de Studie Ontwerp, implementatie en beheer Basisnormen en Basismaatregelen Recente en verwachte ontwikkelingen

3 Platform Informatiebeveiliging PI is een vereniging van 55 organisaties met als doel: Fungeren als netwerk voor IB experts Organiseren van thema bijeenkomsten Ontwikkelen van PI studies en PI standaards Ondersteunen van IB projecten / studenten Samenwerken met andere IB verenigingen

4 Platform Informatiebeveiliging Welke organisaties zijn lid van PI?

5 Platform Informatiebeveiliging Beleid Strategisch Code voor Informatiebeveiliging PI-Basisnormen Beveiliging en Beheer ICT-infrastructuur Tactisch PI-Standaarden PI-Studies Operationeel. RACF Oracle Unix Win2000 SLA Encryptie Internet Firewalls.

6 Waarom PI-Studie Firewalls? Invulling PI-standaarden voor Basisnormen Beveiliging en Beheer ICT-infrastructuur Common Criteria niet geschikt Referentiekader/acceptatiecriteria bij ontwikkeling Toetsingskader voor IT-auditors

7 PI-Studie Firewalls 7 Normen en Maatregelen 6 Beheer Toetsing 5 Implementatie 4 Ontwerp Aansturing & controle ontwerp en implementatie 3 Functionaliteiten Begripsvorming firewalls 2 Netwerkverkeer Filteren ISO-OSI & TCP/IP 1 Compleet overzicht

8 PI-Studie Firewalls 2 1 Netwerkverkeer Filteren ISO-OSI & TCP/IP ISO-OSI Model en het TCP-IP protocol op hoofdlijnen Beknopt overzicht van het ISO-OSI model Beknopt overzicht van het TCP/IP protocol Geen uitgebreide verhandeling van de complete TCP/IP stack, enkel de elementen die een directe relatie hebben met firewalls Dient als basis voor het hoofdstuk filteren van netwerkverkeer Filteren van Netwerkverkeer Uitgebreide bespreking van de filtertechnieken zoals deze momenteel gebruikt worden in firewalls Bv static packet filtering, stateful packet filtering, application level gateway, hybrid inspection, air gap

9 PI-Studie Firewalls Geen enkele firewall kan iets unieks, elke firewall bestaat uit een combinatie van de basistechnieken Firewall functies: Pakket inspectie Statische filtering Stateful inspection Hybride inspectie Applicatie inspectie Connection level FW Application level FW Content screening & filtering Authenticatie Adres translatie Routeren Encryptie Antispoofing Intrusion Detection/prevention

10 Ontwerp, implementatie en beheer Ontwerp, implementatie en beheer onlosmakelijk met elkaar verbonden. Tijdens het beheer wordt er beheerd wat er tijdens de implementatie op basis van het ontwerp is opgezet. Is het ontwerp niet goed dan is goed beheer niet mogelijk Ook een goed ontwerp kan slecht beheerd worden

11 Ontwerp, implementatie en beheer Ontwerpmethodiek voor een firewall systeem 1. Analyse van de situatie en de vereisten aan de oplossing 2. Logisch Ontwerp 3. Functioneel Ontwerp 4. Analyse van verschillen tussen gewenste en huidige situatie (Gap analyse) 5. Implementatie 6. Evaluatie

12 Ontwerp, implementatie en beheer 1. Analyse van de situatie en de vereisten aan de oplossing inventarisatie van business eisen, wet- en regelgeving, informatiebeveiligingsbeleid inventarisatie van de domeinen data/systeem classificatie risico analyse inventarisatie van de bestaande middelen

13 Ontwerp, implementatie en beheer 2. Logisch Ontwerp data stromen selectie van filterende maatregelen Tot en met deze stap spreken we over een ideale situatie!

14 Ontwerp, implementatie en beheer 3. Functioneel Ontwerp fysieke elementen wenselijkheid haalbaarheid Het opstellen van het fysieke ontwerp het zoeken naar een verantwoord evenwicht tussen beleid, bedreigingen en maatregelen, alles beperkt door financiële middelen en werkbaarheid

15 Uitstapje werkbaarheid gebruiksgemak workarounds irritaties Virussen risico s audits performance uitzonderingen voor directie? zekerheid downtime Illegaal gebruik

16 Uitstapje werkbaarheid Oplossingen: Repressie Beloning Awareness Weet niet beter

17 Ontwerp, implementatie en beheer 4. Analyse van verschillen tussen gewenste en huidige situatie (Gap analyse) Het is nooit mogelijk om een optimaal beveiligde omgeving te maken Risico s kunnen ook op andere manieren worden afgedekt Alle overgebleven risico s moeten worden afgedekt 5. Implementatie Gewoon doen, kost meestal het meeste tijd terwijl dit het minste zou moeten zijn. Dit is een indicatie van een slecht ontwerp 6. Evaluatie Een firewallsysteem dat is ontworpen en geïmplementeerd maar niet frequent wordt geëvalueerd is waardeloos

18 Ontwerp, implementatie en beheer Firewall beheer is (pro) actief beheer: logging en monitoring van de firewall; management van de doorvoercapaciteit; volgen van nieuwe technische mogelijkheden; implementatie van (tijdelijke) oplossingen (fixes en patches); volgen van nieuwe aanvalsmogelijkheden; signalering van mogelijke aanvallen; escalatie bij geconstateerde, al dan niet succesvolle, aanvallen en andere incidenten.

19 Ontwerp, implementatie en beheer Firewall beheer is (pro) actief beheer: logging en monitoring van de firewall; management van de doorvoercapaciteit; volgen van nieuwe technische mogelijkheden; implementatie van (tijdelijke) oplossingen (fixes en patches); volgen van nieuwe aanvalsmogelijkheden; signalering van mogelijke aanvallen; escalatie bij geconstateerde, al dan niet succesvolle, aanvallen en andere incidenten.

20 Ontwerp, implementatie en beheer Uitgangspunten voor goede structuur Onderscheid proces en product Ø processen zijn productonafhankelijk, dus voor meerdere producten te gebruiken, hebben eigen logica (Deming-circle) Ø product = omg/geb/inst, applicatie, infra, model AO/IC Ø verschillende deskundigheden voor beheersing/toetsing Onderscheid verantwoordelijkheidsgebieden (VIR) Ø onderscheid gebruikers/ict-organisatie essentieel N.B. ICT-organisatie is ook gebruikersorganisatie!

21 Ontwerp, implementatie en beheer Definitie domein Een domein van de ICT-infrastructuur is de verzameling van alle clients, servers en de logische verbindingen hiertussen die zonder enige beperking contact met elkaar kunnen opnemen met het doel gegevens te kunnen uitwisselen Generieke categorieën logische componenten: - Servers - Netwerkinfrastructuur - Clients - Filterende netwerkkoppelingen

22 Platform Informatiebeveiliging Model Technische Infrastructuur ICT-Domein A ICT-Domein B ICT-Domein C Netwerkinfrastructuur A Netwerkinfrastructuur B Netwerkinfrastructuur C Server Client Filterende netwerkkoppeling

23 Basisnormen en Basismaatregelen Waarom basisnormen? ITIL gedachtengoed: Ø erg summier ~ availability/helpdesk/release/problem mist security component Ø overal en soms dubbel in structuur: ~ iets van config onder Classificatie bedrijfsmiddelen ~ change onder Beheer comm/bed. en Ontw/ond.syst. ~ contingency apart hoofdstuk Procesbeheersing zeer onvolledig: Ø Naleving beleid en techn. normen

24 Basisnormen en Basismaatregelen Evaluatie Code voor Infobeveiliging Zelfde onderwerpen in verschillende hoofdstukken Ø Beleid, infrastructuurobjecten Afbakening hoofdstuk Toegangsbev. slecht Ø toegang ook in andere hoofdstukken Ø er zit meer in dan toegang: klokken, eventlogging Beheer van communicatie/bedieningsprocessen Ø veel verschillende doelgroepen, maatregelen overal in organisatie (contracten sluiten, viruscontrole, e-commerce, systeemdoc.) Ø samenhang communicatie en bediening? Ø beheer wijzigingen comm/bedien.proces?

25 Basisnormen en Basismaatregelen Basisnormen Beveiliging en Beheer ICT-infrastructuur II: Basisnormen beheer ICT-Infrastructuur Overzicht processen Eigen invulling ITIL CERT als voorbeeld

26 Basisnormen en Basismaatregelen Matrix objectgebieden ICT-Compo Beveiligingsfuncties nenten Servers Servers Inrichting ICT-infrastructuur Netwerkinfrastructuur Netwerkinfrastructuur Clients Clients Filterende Filterende netwerkkoppelingen netwerkkoppelingen Identificatie Identificatie Authenticatie Authenticatie Autorisatie Autorisatie Encryptie Encryptie Monitoren Monitoren / loggen. loggen. Objectgebieden voor normering

27 Basisnormen en Basismaatregelen Voorbeeld Ø eenvoudige firewall Proxy Host Internet Externe Router DMZ Interne Router Intern Netwerk

28 Basisnormen en Basismaatregelen Betrokken objectgebieden firewall Proxy Host Internet Extern e Router DMZ Interne Router Intern Netwerk Netwerkinfrastructuur Netwerk- Beveiligingsfuncties ICT-Compo nenten Servers Inrichting ICT-infrastructuur Clients Filterende netwerk netwerk koppelingen Identificatie Authenticatie Autorisatie Encryptie Monitoren / loggen.

29 Basisnormen Filterende netwerkkoppelingen (3.5) Fragment Er is bepaald welke soorten datatransporten / datatransportfaciliteiten op welke momenten door de filterende netwerkkoppeling mogen worden doorgelaten. Alle datatransporten die niet aan deze voorwaarden (filterfuncties) voldoen worden geblokkeerd. Voorbeelden van mogelijke filterfuncties zijn: a) alleen expliciet goedgekeurde protocollen (bijv. ) worden doorgelaten; b) data transporten / te transporteren bestanden met een niet leesbare inhoud of een mogelijk gevaarlijke inhoud (virussen) worden geblokkeerd; c) bestandsoverdracht in één richting of in beide richtingen wordt geblokkeerd; d) toegang tot het "achter" de filterende netwerkkoppeling liggende netwerk is afhankelijk van tijdstip of datum.

30 Basismaatregelen Op basis van best practice voorbeeld: 30) Het verdient de voorkeur het logbestand op een andere dan de loggende component op te slaan en hierbij gebruik te maken van authenticatie. 31) Voor beheer wordt bij voorkeur gebruik gemaakt van beveiligde diensten als SSH. 32) Bij het inzetten van DNS in combinatie met een firewall worden de volgende basisregels gevolgd: a. gebruik van de laatste versie DNS software; b. uitwisseling van zone-data alleen met geautoriseerde DNS servers; c. zo mogelijk gebruik van een split-dns infrastructuur.

31 Recente en verwachte ontwikkelingen Van fysiek naar virtueel Van centraal naar decentraal Van 1 naar 2 naar veel lagen (hoeft niet fysiek)

32 Recente en verwachte ontwikkelingen Van fysiek naar virtueel 1 firewall PEP PEP PEP PEP PEP PEP PEP Cell 1 PEP Cell 2 PEP Cell 3 PEP Cell x PEP PEP Cell Infra HP INDIA Dev PEP ING Developm ent PEP PEP PEP 3 rd party HP MS Management Management

33 Recente en verwachte ontwikkelingen Van centraal naar decentraal

34 Recente en verwachte ontwikkelingen Van 1, naar 2, naar veel lagen (hoeft niet fysiek) Access Zone DNS GWY IPS1 Intranetoutside MSFC1 ISP 1 2 IPS2 Intranetoutside 5 MSFC2 CSM1 ISPoutside 3 CSM2 4 ISPoutside CACHE

35 Info over PI? Secretariaat Platform Informatiebeveiliging Postbus 90154, 5000 LG Tilburg Tel: Internet:

36 Firewall literatuur TCP/IP Illustrated, Volume 1, The Protocols W. Richard Stevens Addison-Wesley Professional Computing Series ISBN TCP/IP Illustrated, Volume 2, The Implementation Gary R. Wright, W. Richard Stevens Addison-Wesley Professional Computing Series ISBN X TCP/IP Illustrated, Volume 3, TCP for Transactions, HTTP, NNTP, and the UNIX Domain Protocols W. Richard Stevens Addison-Wesley Professional Computing Series ISBN Computer Networks Andrew S. Tanenbaum Prentice Hall ISBN Firewalls and Internet Security, Second Edition, Repelling the Wily Hacker William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin Addison-Wesley Professional Computing Series ISBN X Hack I.T.: Security Through Penetration Testing T.J. Klevinsky, Scott Laliberte, Ajay Gupta Addison-Wesley Professional Computing Series ISBN: Hacking Exposed: Network Security Secrets & Solutions Stuart McClure, Joel Scambray, George Kurtz McGraw-Hill Osborne Media ISBN: