Beveiliging inbedden in de organisatie

Onderstaand artikel schreef ik in 2001 voor het tijdschrift Mnet. Netwerkbeveiliging was nog een betrekkelijk nieuw begrip en veel bedrijven worstelden met het toepassen ervan.

Leeswijzer: In dit artikel gebruik ik het begrip ‘perimeter’ en geef aan hoe dit kan worden gebruikt om tot een veilige netwerkarchitectuur te komen. In het huidige tijdsgewricht is perimeter-gebaseerde beveiliging niet meer toereikend. De-perimeterisatie is een gegeven en we zullen de aandacht moeten verleggen van de perimeter naar de bron. Zie het recentere bericht over Jericho 2.0.

Intro

Enige tijd geleden vroeg een klant aan mij of ik nog wel lekker sliep. Ik had voor deze klant onderhoud aan een van zijn systemen gedaan en hem op het hart gedrukt om uitsluitend nog SSH (Secure Shell) te gebruiken omdat bij gebruik van Telnet of FTP het risico bestaat dat het password onderschept wordt. De klant kende mijn stokpaardjes al en vroeg toen plagerig of ik ’s nachts nog wel lekker sliep. Hoezo? Of ik niet bang was dat mijn dromen afgetapt zouden worden….

Hoewel het belang van een goede netwerkbeveiliging door steeds meer organisaties onderkend wordt, blijft het toch zeer lastig te zijn het een goede plek in een organisatie te geven. Er blijkt vaak een grote kloof te zijn tussen diegenen die verantwoordelijk zijn voor het beveiligingsbeleid en diegenen die belast zijn met het netwerkbeheer. Ik zal in dit artikel een poging doen om die kloof wat kleiner te maken.

Een automatiseringsnetwerk is een abstracte samenhang van interacties tussen computersystemen. Een netwerk is meer dan de som van de afzonderlijke componenten. Juist de abstractie maakt het voor velen lastig om zich een goed beeld te vormen van wat zich op een netwerk afspeelt en de beveiligingsrisico’s die er zijn. Dit leidt er dikwijls toe dat in het beleid de netwerkbeveiliging minder aandacht krijgt dan de beveiliging van de afzonderlijke computersystemen.

Om een zinvolle en effectieve netwerkbeveiliging te implementeren is het noodzakelijk dat er een netwerkbeveiligingsbeleid wordt ontwikkeld dat past binnen het totale beveiligingsbeleid van de organisatie. Dit netwerkbeveiligingsbeleid is onderdeel van het informatie-beveiligingsbeleid. Om een dergelijk beleid te ontwikkelen is kennis nodig van netwerk-technologie; hoe zitten de protocollen in elkaar, wat zijn de zwakheden, welke aanvalstechnieken zijn er en wat zijn de beschikbare beschermingstechnieken. Maar er is ook kennis nodig van het algemene beveiligingsbeleid van de organisatie; wat zijn de bedrijfsprocessen, wat zijn de gevolgen wanneer deze verstoord worden, en hoeveel inspanningen willen we verrichten om de bedrijfsprocessen te beschermen. Het lastige is dat beide kennisgebieden zelden bij dezelfde persoon in de organisatie vertegenwoordigd is. Doorgaans is de kennis verdeeld over meerdere personen en vaak zal ook expertise van buiten de organisatie aangetrokken moeten worden. Daarbij komt nog dat de kennisgebieden aan continue veranderingen onderhevig zijn.

Er moet dus een dialoog opgezet worden tussen vertegenwoordigers van de beide kennisgebieden. We raken nu het oude probleem van managers en technici die elkaar maar niet willen begrijpen. Het is echter van wezenlijk belang dat geïnvesteerd wordt in wederzijds begrip. De communicatie wordt makkelijker wanneer er een zekere overlap is in de kennisgebieden. Er moet een gemeenschappelijke begrippenkader gecreëerd worden zodat het mogelijk is om bedrijfsmatige beveiligingsvraagstukken te vertalen in technische oplossingen en vice versa. In het volgende deel van dit artikel zal ik proberen een aantal begrippen aan te reiken die voor vertegenwoordigers van beide kennisgebieden bruikbaar zijn.

Gezamenlijk wordt een risico-analyse gemaakt en worden de mogelijke maatregelen besproken. Hierbij zal een kosten-baten analyse gemaakt dienen te worden. Met kosten moet ook gekeken worden naar de gebruiksinspanningen. Het resultaat hiervan behoort een netwerkbeveiligingsbeleid te zijn dat qua kosten, inspanningen, functionaliteit en effectiviteit in harmonie is met het algemene beveiligingsbeleid van de organisatie. Het is niet zinvol om veel te investeren in bewaking, toegangspasjes en tourniquets wanneer men zonder veel moeite vanaf het Internet belangrijke gegevens kan benaderen. Anderzijds is een dure firewall zinloos wanneer men zo het gebouw binnenloopt en de passwords op gele plakbriefjes naast de schermen hangen.

Bereik

Sun Microsystems gebruikte zo’n 10 jaar geleden de slogan “The network is your computer”. Deze slogan geeft goed weer waar het hier om gaat. De combinatie van de verschillende computersystemen op het eigen, en eventueel andermans, netwerk, alsmede de onderlinge interactie, voorzien in de feitelijke automatiseringsbehoefte. De verschillende componenten van onze IT infrastructuur zijn gezamenlijk te beschouwen als een grote computer. Dit betekent dat zowel de computersystemen als de onderlinge datacommunicatie onderwerp zijn van beveiliging. Bij automatiseringsprocessen waarbij systemen en netwerken van derden betrokken zijn, behoren ook deze systemen en netwerken tot het aandachtsgebied.

Aandachtsgebieden

Informatiebeveiliging kent drie aandachtsgebieden:

  • Het waarborgen van de exclusiviteit van informatie
  • Het waarborgen van de beschikbaarheid van informatie
  • Het waarborgen van de juistheid van informatie

Exclusiviteit van data is vaak het eerste waar bij informatiebeveiliging aan gedacht wordt. Men wil niet dat gevoelige bedrijfsinformatie in handen van de concurrent terecht komt. Maar men kan ook denken aan de verplichtingen die men heeft jegens derden wanneer het gaat om de bescherming van creditcard-gegevens of persoonsgegevens.

Bij de beschikbaarheid van informatie kan men denken aan het (tijdelijk) niet beschikbaar zijn van een webserver door een DoS aanval, maar nog vervelender is het wanneer bedrijfskritische gegevens permanent verloren zijn gegaan. Bedreigingen van de beschikbaarheid worden vaak onderschat. Men heeft liever dat informatie niet beschikbaar is dan dat het in verkeerde handen valt. Het uitschakelen van een informatiesysteem is echter veel eenvoudiger dan het stelen van informatie. Verstoringen van de beschikbaarheid kunnen organisaties echter veel schade berokkenen.

Bij juistheid van informatie kan men denken aan de juistheid van een banksaldo, maar men kan ook denken aan de juistheid van informatie op basis waarvan beslissingen worden genomen, of compromitterende informatie op een website. Overigens kan men, wanneer er onjuistheid in informatie is opgemerkt of wordt vermoed, spreken van het niet beschikbaar zijn van de informatie zolang niet bekend is welke gegevens gewijzigd zijn, en wat de juiste gegevens zouden moeten zijn.

In bovenstaande voorbeelden is steeds uitgegaan van de informatie waar we in onze bedrijfsprocessen uiteindelijk in geïnteresseerd zijn. We dienen de drie genoemde aandachtsgebieden echter ook toe te passen op informatie over de informatie (en informatie over de informatie over de informatie etc.). We kunnen hierbij denken aan de exclusiviteit van toegangscodes, de beschikbaarheid van logfiles waarin een mogelijke inbraakpoging is geregistreerd, en de juistheid van het IP-adres van een door ons vertrouwd systeem.

Perimeter

Tot nu toe hebben we alleen de complexiteit van netwerkbeveiliging belicht. We zullen nu proberen of we deze complexiteit kunnen reduceren. We doen dit door onze infrastructuur in te delen in zones met eenzelfde beveiligingsniveau. De begrenzing van zo’n zone noemen we een perimeter. Het beveiligingsbeleid binnen een perimeter dient eenduidig bepaald te zijn. Het is daarom belangrijk dat er slechts een entiteit is die het beleid bepaalt en er slechts een organisatie belast is met de uitvoering van dat beleid. Op plaatsen waar de perimeter overschreden wordt zullen we beveiligingsmaatregelen moeten treffen. Dit doen we doorgaans door het plaatsen van een firewall. We streven ernaar om het aantal overschrijdingen van een perimeter te reduceren tot één. Hierdoor kunnen we de beveiligingsrisico’s overzien en kunnen de maatregelen, de configuratie van de firewall, eenduidig bepaald worden. Wanneer er meer dan één plaats is waar de perimeter overschreden wordt ontstaat het gevaar dat er discrepanties ontstaan tussen de verschillende beveiligingsniveaus. We kunnen deze topologie het beste vergelijken met een kasteel met een muur en een slotgracht en een enkele poort met ophaalbrug.

De meest voorkomende implementatie is een bedrijfsnetwerk dat met een enkele firewall aan het Internet verbonden is. Zie figuur 1. Een meer complexe situatie ontstaat wanneer we een gedeelte van de eigen organisatie aan een strenger beveiligingsbeleid onderworpen is of wanneer een gedeelte van de activiteiten een ruimere toegang vereisen. We kunnen binnen een perimeter een nieuwe beveiligde zone identificeren en deze door een extra perimeter omgeven. Verkeer dat een binnenliggende perimeter binnengaat of verlaat zal gecontroleerd moeten worden. Zie figuur 2. In het plaatje zijn drie aparte firewalls getekend. In de praktijk zijn implementaties met een enkele firewall mogelijk. Waar het om gaat is dat er additionele regels zijn voor de binnenliggende perimeters. Wanneer we het voorbeeld met het kasteel erbij halen dan is deze situatie te vergelijken met een burcht, die omgeven is door een aarden wal. Buiten het kasteel, maar binnen de aarden wal wonen handwerkslieden en landarbeiders. Binnen het kasteel wonen de kasteelheer, familie en personeel. In een extra beveiligd gedeelte van het kasteel woont de jonkvrouwe.

Het komt vaak voor dat organisaties die veel onderling dataverkeer hebben een huurlijn aanleggen die beider netwerken verbindt. Er ontstaat nu een situatie als in figuur 3a. Er is een verbinding aangebracht tussen beide perimeters. Beide organisaties hebben echter ieder een eigen beveiligingsbeleid. Beide organisaties hebben een verbinding net het Internet via een firewall die geconfigureerd is volgens het eigen beveiligingsbeleid. De inzichten over beveiliging kunnen echter per organisatie enigszins verschillen. Ieder beleid kent zo zijn eigen sterke en minder sterke punten. In de hier geschetste situatie zijn de minder sterke punten van beide organisaties op beide netwerken van toepassing. Deze situatie is dus een bedreiging voor beide netwerken.

Een betere oplossing is weergegeven in 3b. Hier is de onderlinge verbinding aangebracht buiten de beide perimeters. Op ieders netwerk is het eigen beveiligingsbeleid van toepassing. Iedere partij kan nu zijn eigen beveiligingsbeleid jegens de andere partij bepalen. In gezamenlijk overleg kan worden besloten of en in welke mate het gemeenschappelijke netwerk beschermd wordt. We moeten hierbij accepteren dat deze bescherming nooit optimaal kan zijn omdat deze onderhevig is aan de nadelen die bij 3a genoemd zijn.

In het streven naar globalisering gaan veel organisaties samenwerkingsverbanden aan of slokken kleinere organisaties op. Andere organisaties laten delen min of meer zelfstandig worden. Een gevolg hieraan is dat diverse zelfstandig beheerde netwerken worden gekoppeld en er behoefte ontstaat aan intensief dataverkeer tussen deze netwerken. Het Probleem is echter dat iedere deelorganisatie haar eigen beveiligingsbeleid heeft ontwikkeld, dat gevormd is door specifieke eisen, wensen, ervaringen en kennis. Wanneer we deze netwerken zonder meer koppelen ontstaat een zelfde situatie als in 3a. Vaak zal de moederorganisatie een algemeen beveiligingsbeleid opleggen dat door de deelorganisaties dient te worden geïmplementeerd. De verantwoordelijken binnen de organisaties zullen dit opgelegde beleid op hun eigen wijze interpreteren en hebben soms hun eigen redenen om er van af te wijken. Vaak zijn er beperkingen in de netwerkstructuur die afwijkingen noodzakelijk maken of worden er fouten gemaakt bij de implementatie. Kortom het gevaar ontstaat dat tekortkomingen in de beveiliging bij een van de deelorganisaties leidt tot een bedreiging van beveiliging van de gehele organisatie.

Continuïteit

Netwerkbeveiliging is geen product maar een proces. Nieuwe technologische ontwikkelingen brengen nieuwe bedreigingen met zich mee, maar ook nieuwe beschermingstechnieken. Ook de organisatie is aan verandering onderhevig, zodat er steeds nieuwe aspecten zijn waarop de technische bedreigingen van toepassing zijn. We zullen dus continue bezig moeten zijn het proces van netwerkbeveiliging bij te sturen.

Naast het continu bijsturen is er ook een continu controle nodig. Dit kan bestaan uit het analyseren van logbestanden, het activeren van een alarmsysteem bij een eventuele aanval of het regelmatig testen van de kwaliteit van de maatregelen.

Onderzoek

Wanneer met een beveiligingsonderzoek laat uitvoeren zijn er feitelijk twee mogelijkheden:

  1. Een penetratietest:
    We laten een aantal slimme personen met minimale voorkennis de zwakke plekken in onze beveiliging opsporen en proberen zo ver mogelijk in onze infrastructuur door te dringen.
  2. Een analyse:
    We geven een aantal deskundigen volledige inzage in zowel het beleid als in de genomen maatregelen en controleren de kwaliteit van de geïmplementeerde maatregelen.

De eerste mogelijkheid spreekt het meest tot de verbeelding. Het is echter niet de meest efficiënte testmethode. Het testen zal voor reen groot deel uit bestaan uit proberen en dat kost nu eenmaal tijd. Wanneer het niet lukt om in te breken betekent dit nog niet dat de beveiliging goed is. Het kan evengoed betekenen dat niet alle mogelijkheden afgetast zijn. De kwaliteit van de test is sterk afhankelijk van de creativiteit van de uitvoerders. Wanneer een penetratietest goed wordt uitgevoerd kan het helpen bij het identificeren van zwakke plekken in de beveiligingsstrategie en kan het een bijdrage leveren aan het creëren van draagvlak voor het doorvoeren van verbeteringen in de netwerkbeveiliging.

Bij het uitvoeren van een beveiligingsanalyse kunnen zwakke plekken efficiënt worden opgespoord en kunnen aanvullende maatregelen geadviseerd worden. Belangrijker is dat de verschillende lagen waaruit de beveiliging is opgebouwd afzonderlijk beoordeeld kunnen worden. Wanneer er een onderdeel van de beveiliging faalt, zijn er dan nog genoeg lagen over om bescherming te bieden? Door middel vaneen beveiligingsanalyse kan goed beoordeeld worden of de geïmplementeerde maatregelen in overeenstemming zijn met het gedefinieerde beleid. Men zou een beveiligingsanalyse kunnen vergelijken met een beveiligingsonderzoek van een gebouw. Men beoordeeld de kwaliteit van het hang en sluitwerk zonder daarbij te proberen de deur te forceren.

Bij beide soorten onderzoek geldt een second opinion nooit kwaad kan en zelfs bijdraagt aan het verruimen van het blikveld. Tevens geldt dat er nooit garanties worden gegeven.

Samenvatting

Gebruik een gemeenschappelijk begrippenkader waarmee technische disciplines en managementdisciplines gezamenlijk een beleid kunne formuleren voor de netwerkbeveiliging.

Beschouw de combinatie van netwerk en aangesloten computersystemen als een groot computersysteem en beveilig het alsof het een grote computer is.

Maak onderscheid tussen de afzonderlijke doelen van beveiliging: exclusiviteit, integriteit en beschikbaarheid van informatie. Pas deze onderverdeling ook toe op de onderliggende informatiestromen.

Verdeel het te beveiligen netwerk in afzonderlijke zones en zorg dat slechts een organisatorische eenheid verantwoordelijk is voor de beveiliging van een zone. Wanneer meerdere organisaties verantwoordelijk zijn voor een deel van het netwerk dient het netwerk zodanig opgedeeld te worden dat een zelfstandig beveiligingsbeleid gevoerd kan worden.

Auteur: Bart Jan

Technisch specialst Informatiebeveiliging CISSP-ISSAP

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *