IP/LAN dienst Aansluitpolicy VICnet/SPITS

Transcriptie

1 Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

2 Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 Februari 2005

3 Colofon Uitgegeven door: SPITS Informatie: servicedesk SPITS Telefoon: Fax: Uitgevoerd door: Security manager SPITS Opmaak: Datum: Status: definitief Versienummer: IP/LAN dienst Aansluitpolicy VICnet/SPITS

4 Inhoudsopgave Inleiding 5 2. Doel 5 3. Scope 5 4. Policy Verplicht Betrouwbaarheid Toestemming Datacommunicatie Software Toegangsbeheer Externe koppelingen Hardening van systemen Toegangverlening Hardware Gebruikersgroepen Overige eisen Maatregelen A&K analyse Gewenst Onderhoud Optie 9 5. BIJLAGE A Revisie historie 12 4 IP/LAN dienst Aansluitpolicy VICnet/SPITS

5 1. Inleiding Systemen die aangesloten zijn op het VICnet kunnen invloed hebben op het betrouwbaar functioneren van het VICnet en/of andere aangesloten DVM systemen. Om de kans op aantasten van de betrouwbaarheid tot een minimum te beperken, worden aan het aansluiten van systemen een aantal basiseisen gesteld. Dienstonderdelen zijn zelf mede verantwoordelijk voor het waarborgen dat aangesloten systemen aan deze eisen voldoen. 2. Doel Deze policy beschrijft de verplichte, gewenste en optionele maatregelen die genomen moeten worden bij het aansluiten van systemen binnen het VICnet/SPITS netwerk. Specifiek beschrijft deze policy aan welke (minimale) voorwaarden een systeem dient te voldoen alvorens dit aangesloten kan worden op VICnet. 3. Scope De scope van deze policy is VICnet en alle componenten en personen die daarvan deel uitmaken. De scope van deze policy behelst alle systemen die op het VICnet, of netwerken die direct, zonder enige toereikende beveiliging, met het VICnet zijn verbonden, ongeacht of deze in beheer zijn bij SPITS, een lokale beheerorganisatie of derden. Noot: Deze policy geldt dus ook voor alle systemen die aangesloten zijn op de lokale netwerken in de verkeerscentrales (VCLAN) of systemen die onderdeel uitmaken van de netwerkinfrastructuur. Deze policy is onderdeel van de Security policies VICnet/SPITS en is altijd verbonden met het gelijknamige policyoverzicht document en daarin opgenomen algemene beginselen. 5 IP/LAN dienst Aansluitpolicy VICnet/SPITS

6 4. Policy De eisen in deze policy zijn onafhankelijk van het feit of de systemen door SPITS, een RD, SD of derde partij beheerd (gaan) worden. Ook zijn ze onafhankelijk van de periode waarvoor de systemen aangesloten worden. 4.1 Verplicht Betrouwbaarheid Elk aangesloten systeem (of applicatie) mag nooit -onder geen enkele omstandigheid- de betrouwbaarheid van andere systemen en/of applicaties die zijn aangesloten op het VICnet, of de betrouwbaarheid van het VICnet zelf, verstoren Toestemming Een systeem dat met het VICnet verbonden is, mag op geen enkele wijze met een ander netwerk gekoppeld worden zonder voorafgaande schriftelijke toestemming van de manager SPITS Datacommunicatie Van elk systeem dat gebruik gaat maken van bronnen op het VICnet dienen de volgende zaken bekend te zijn en vastgelegd te worden: a. bandbreedte gebruik, gemiddelde en piek b. welke protocollen/services gebruikt worden en of deze zich houden aan de richtlijnen voor protocollen en hun poortnummers zoals opgesteld in RFC 1700 (Assigned Numbers - c. met welke systemen/applicaties er gecommuniceerd wordt d. welke IP-poortnummers worden gebruikt Alle datacommunicatie van binnen en naar het VICnet dient te voldoen aan de richtlijnen zoals opgesteld in de Firewall Policy van VICnet/SPITS Software De hier genoemde eisen gelden voor alle software dus zowel voor het besturingssysteem alsook voor alle applicatiesoftware. a. Software dient goed gedocumenteerd te zijn. (Er moet een installatiehandleiding en een gebruikershandleiding meegeleverd zijn.) b. Software heeft een testtraject ondergaan, waarbij getoetst is tegen de genoemde eisen die zijn vastgelegd in de Policy voor testen in operationele omgeving. 1 Dit geldt dus bijvoorbeeld ook voor het kantoornetwerk VenWnet/NNV, inbelverbindingen van leveranciers ten behoeve van onderhoudsystemen. 6 IP/LAN dienst Aansluitpolicy VICnet/SPITS

7 c. Software mag na oplevering niet gebruikt worden als ontwikkel/testomgeving. Dus er mogen GEEN ONTWIKKELTOOLS/COMPILERS/SOURCECODE e.d. op het systeem aanwezig zijn. d. Geleverde software moet voldoen aan de richtlijnen van de Patchmanagement Policy VICnet/SPITS. e. Applicatiesoftware bevat alleen de beschreven functionaliteit en bevat geen extra features, achterdeuren, toegang- en loggingfuncties anders dan beschreven. f. Het gebruik van scripts binnen applicaties en op systemen zal nader bepaald worden. g. Besturingssysteemsoftware dient getest te worden of deze gevoelig is voor bekende zwakheden, zoals stack buffer overflows, format string errors en SQL injection exploits. Ook dient getest te worden op lekken in C/C++ en Javagebaseerde applicaties Toegangsbeheer Elk systeem/applicatie of gebruiker die op het VICnet aangesloten wordt, dient aan de volgende voorwaarden te voldoen: a. Authenticatie/autorisatie is belegd, het moet mogelijk zijn om dit via een authenticatieserver te regelen. b. Alle logins zijn persoonsgebonden (en daardoor herleidbaar). c. Het gebruik van Administrator en System logins is verboden. d. Het systeem MOET kunnen functioneren in een DMZ (DeMilitarized Zone) als het bedoeld is om informatie aan gebruikers/systemen ter beschikking te stellen (oftewel het systeem moet achter eventuele firewall kunnen functioneren) Externe koppelingen Systemen binnen VICnet mogen, zonder toestemming van de security manager van SPITS, niet verbonden zijn met andere netwerken zoals kantoornetwerken (bijvoorbeeld VenWnet), modemverbindingen met leveranciers, thuisgebruikers e.d. Voor deze koppelingen mag bovendien alleen maar gebruik gemaakt worden van de hiervoor goedgekeurde diensten (zie o.a. remote toegang policy en draadloze communicatie policy) Hardening van systemen Besturingssysteemsoftware is gehardened/gestripped en bevat alleen noodzakelijke services/functies/drivers. Deze zijn ook gedocumenteerd Toegangverlening a. Toegang verlenen tot systemen alleen op basis van herleidbare unieke identificatie. b. Toegang volgens het principe: niets mag, alleen datgene wat per gebruiker noodzakelijk is (zero-tolerance). c. Voor het verkrijgen van een userid/wachtwoord dient te worden voldaan aan de geldende Wachtwoordpolicy 7 IP/LAN dienst Aansluitpolicy VICnet/SPITS

8 VICnet/SPITS. Alle systemen en applicaties dienen deze te ondersteunen. d. Er dient een autorisatiemodel opgesteld te zijn waarin vastgelegd is welke autorisaties benodigd zijn om een bepaalde functionaliteit te kunnen/mogen uitvoeren Hardware Voor de hardware wordt, indien beschikbaar, gebruik gemaakt van de standaard architecturen zoals beschreven in het USP,UWP en UBP Gebruikersgroepen Er dient minimaal onderscheid gemaakt te worden in de volgende gebruikers(groepen): 1. systeembeheerders 2. applicatiebeheerders 3. gebruikers Overige eisen Los van eventuele SLA afspraken dienen er altijd standaardafspraken te zijn waarin o.a. vastgelegd is dat: a. gebruikers op de juiste wijze (waar het systeem voor bedoeld is) met informatie en de systemen binnen VICnet omgaan; b. gebruikers systemen alleen daarvoor gebruiken waarvoor deze bedoeld zijn Maatregelen Indien een van bovenstaande normen overtreden wordt dan gelden de volgende maatregelen die bij gebruikers bekend moeten zijn: 1. OF 1x waarschuwing bij 2 e x afsluiten 2. OF direct afsluiten indien werking VICnet of andere systemen in gevaar komt (escalatiepad) Voor elke organisatie die aangesloten wordt op VICnet (in welke vorm dan ook), is een persoon 24*7 beschikbaar als aanspreekpunt en gemachtigde in geval van security incidenten en als zodanig onderdeel van het nog te formuleren escalatiepad. (noot: mogelijk kunnen we hiervoor aansluiten bij de VenWnet procuratielijst) A&K analyse Alvorens een systeem aangesloten wordt op het VICnet dient gekeken te worden wat de mogelijke security gevolgen hiervan kunnen zijn. Soms kan volstaan worden met een eenvoudige impactanalyse, maar bij grote systemen/changes kan een risico (A&K) analyse noodzakelijk zijn. 8 IP/LAN dienst Aansluitpolicy VICnet/SPITS

9 4.2 Gewenst Onderhoud Onderhoud aan systemen door derden dient gemeld te worden aan de SPITS servicedesk. Dit is alleen van toepassing op systemen die niet door SPITS beheerd worden. 4.3 Optie Niet van toepassing. 9 IP/LAN dienst Aansluitpolicy VICnet/SPITS

10 5. BIJLAGE A Lijst met bekende services op VICnet Alle services en protocollen die niet genoemd worden, zijn niet toegestaan. Deze tabel beschrijft de service welke binnen het VICnet gehanteerd worden. Services van en naar het VICnet worden beschreven in de Firewall Policy. Service Beschrijving Protocolnaam Poort nr protocol Toegestaan opmerking FTP File Transfer ftp-data 20 tcp Ja Alleen van VICnet Protocol ftp 21 tcp naar Internet. Er is geen FTP service toegestaan die van Internet benaderbaar is. SSH Secure SHell ssh 22 tcp Ja Alternatief voor telnet en rlogin. Telnet Shell telnet 23 tcp Nee Slecht op securityvlak. Mail Mail protocollen smtp 25 tcp Ja Alle SMTP verkeer zal via 1 (mail)host door de firewall naar buitengaan. Andersom zal alle SMTP verkeer van buiten naar binnen herleid worden naar 1 mailserver. Welke vervolgens alle mailverkeer intern routeert. pop3 110 tcp Nee Er is geen POP3- toegestaan. TACACS Authenticatie tacacs 49 tcp Ja protocol DNS Name Service domain 53 udp Ja DHCP Client IP configuratie dienst bootps 67 udp bootpc 68 udp Nee Alleen als dienst binnen VICnet. TFTP Trivial FTP tftp 69 udp Ja Onveilige FTP. Alleen toegestaan als tijdelijk middel voor het updaten van netwerk HTTP http, Webbrowsing componenten. http 80 tcp Ja Inkomend webverkeer is naar geselecteerde servers toegestaan. https 443 tcp Ja Inkomend webverkeer is naar geselecteerde servers toegestaan.??? su-mit-tg 89 udp RPC Portmapper sunrpc 111 udp Ja gebaseerde Network file NFS 2049 udp Ja services system Time Network Time ntp 123 udp Ja Service Protocol Database Ingres INGRES-net 134 tcp Ja ingreslock 1524 tcp SLINGRES 4010 tcp Oracle ORACLE 1525 tcp Ja SQLNET 1521 tcp MySQL MYSQL 3306 tcp Ja PostgreSQL POSTGRSQL 5432 tcp Ja File Sharing Network Management Login/Rlogin Netbios over TCP/IP SNMP Remote Shell en Commando executie netbios-ns 137 udp Nee netbios-dgm 138 udp netbios-ssn 139 tcp microsoft-ds 445 tcp snmp 161 udp Ja snmptrap 162 udp login 513 tcp Nee Alternatief is SSH. shell 514 tcp Nee Alternatief is SSH. 10 IP/LAN dienst Aansluitpolicy VICnet/SPITS

11 Syslog Logging service syslog 514 udp Ja Alleen toegestaan voor geautoriseerde hosts. RIP Routing protocol router 520 udp Ja Ping ping ECHO ICMP Ja ping ECHO- ICMP Ja REPLY Webmin Remote webmin 1000 tcp Ja Webmanagement RDP Remote Desktop RDP 3389 tcp Ja Protocol van Microsoft ICA Citrix ICA ICA 1494 tcp Ja Corba Common Object corba Dynamisch tcp Ja Request Broker Architecture procesd tcp Ja bb 1984 tcp Ja lockserver tcp Ja top-fep 5111 tcp Ja top-bp 5100 tcp Ja bcg-top 5160 tcp Ja bcg-fep 6700 tcp Ja bcg-fep 5120 tcp Ja bp-memopc 5555 tcp Ja more tcp Ja Simone simone tcp Ja Monica Monitoring monica tcp Ja monica tcp Ja ks udp Ja downloading tcp Ja downloading udp Ja diagnostiek tcp Ja diagnostiek udp Ja research tcp Ja research tcp Ja research tcp Ja research tcp Ja research tcp Ja Bacula 9102/9203 Ja Toegang beperkt tot localhost. 11 IP/LAN dienst Aansluitpolicy VICnet/SPITS

12 6. Revisie historie Versie Datum Auteur Toelichting E. van Buuren 12 IP/LAN dienst Aansluitpolicy VICnet/SPITS