Beveiliging van Remote Beheer Een ‘Good Practice Guidance’
Vrije Universiteit Amsterdam Post Graduate IT-audit opleiding
Auteur: Lars Hoogendijk Studentnummer: 1904752 Begeleider VU: Jurgen van der Vlugt Begeleider BDO: Ruud Kerssens Status: definitief Datum: 14 september 2011
VOORWOORD PERSOONLIJKE REFLECTIE Deze afstudeerscriptie is het resultaat van een onderzoek naar informatiebeveiliging bij remote beheer ter afronding van de postdoctorale IT-auditopleiding aan de Vrije Universiteit Amsterdam. Het onderzoek strekte zich uit over een periode van ruim driekwart jaar. De gehele opleiding, inclusief het onderzoek, heb ik in deeltijd uitgevoerd naast mijn werkzaamheden als IT-auditor bij BDO. Hoewel de balans tussen werk en studie over het algemeen zeer goed was, heeft deze combinatie op momenten tijdens het onderzoek veel inspanning gevergd. Het voltooien van de scriptie zou niet zijn gelukt zonder de hulp van een aantal mensen die ik hieronder zal bedanken. Mede daarom is de scriptie niet in de ik- maar in de wij-vorm geschreven.
Reflectie op afstudeertraject Het afstudeertraject is niet zonder obstakels verlopen. Bij de IT-auditopleiding is het gebruikelijk dat scripties in tweetallen worden geschreven. Ik ben dan ook samen met een medestudent aan het afstudeertraject begonnen. Helaas is dit partnerschap na enige tijd beëindigd, omdat de samenwerking onvoldoende van de grond kwam. Daarna ben ik alleen verdergegaan. Dit heeft tot vertraging geleid waardoor de eerste afstudeerronde in april / mei 2011 niet haalbaar bleek. In de loop van het onderzoek werd steeds meer duidelijk dat beveiliging van remote beheer een erg breed en technisch onderwerp is. Ik heb daarom gezocht naar een onderzoeksafbakening die niet teveel afbreuk deed aan de toegevoegde waarde van het onderzoek, maar wel zo beperkt was dat ik de tweede ronde van september / oktober 2011 wél zou kunnen halen. Uiteindelijk heb ik ervoor gekozen om het onderzoek te richten op remote server beheer en het realiseren van twee beveiligingsdoelstellingen daarbij. Een andere moeilijkheid was dat ik nauwelijks literatuur kon vinden waarin remote beheer en de beveiliging daarvan vanuit een wat breder perspectief werden belicht. Daarom heb ik een aantal interviews met IT-beheerders en beveiligingsexperts gehouden. Dit leverde echter nog te weinig informatie op om de oorspronkelijke onderzoeksdoelstelling te realiseren, namelijk het maken van een model waarmee een organisatie een typologie voor remote beheer en de beveiligingsmaatregelen binnen deze typologie zou kunnen kiezen. Ik kon wel een aantal typologieën en factoren rond de keuze voor typologieën afleiden, maar dit was nog te beperkt. Daarom heb ik besloten om de doelstelling wat te vereenvoudigen en een Good Practice Guidance (GPG) voor het beveiligen van remote beheer te ontwikkelen. Deze GPG bestaat uit een aantal beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan. Binnen de beveiligingsprincipes zijn de gevonden ‘typologieën’ opgenomen als implementatierichtlijnen om een bovenliggende beheersmaatregel of –doelstelling te realiseren. Daarnaast is er binnen de handreiking een minder sterke relatie tussen input en output dan ik had voorzien voor het oorspronkelijk te ontwikkelen ‘model’.
Reflectie op eindresultaat en leereffect Ik ben van mening dat ik dankzij de onderzoeksafbakening en de vereenvoudiging van de doelstelling een eindresultaat heb bereikt dat organisaties verder op weg kan helpen met het beveiligen van remote beheer. In het laatste hoofdstuk van de scriptie doe ik nog wel een aantal aanbevelingen om de scope van de GPG uit te breiden en de kwaliteit ervan te verbeteren. Verder ben ik van mening dat er toegevoegde waarde ligt in mijn beschrijving van het begrip ‘remote beheer’ (zie hoofdstuk 2). Bij mijn weten is dit begrip nog niet eerder zo systematisch uiteen gezet. Dit laatste is vooral een wetenschappelijke bijdrage. Dankzij de literatuurstudie heb ik met name mijn technische kennis op het gebied van computernetwerken en informatiebeveiliging vergroot. Verder heb ik erg veel geleerd van de interviews met de beveiligingsexperts en IT-beheerders. In de praktijk zal ik hier nog veel profijt van hebben. Het maakt mij als IT-auditor meer compleet.
WOORD VAN DANK BDO IT Consultants B.V. heeft de IT-auditopleiding voor mij mogelijk gemaakt. Het voltooien van de scriptie zou echter niet zijn gelukt zonder de medewerking en steun van een aantal mensen. Zij verdienen het om genoemd te worden. In de eerste plaats wil ik de mensen bedanken die mij inhoudelijk vooruit hebben geholpen. Dit zijn mijn scriptiebegeleiders Jurgen van der Vlugt vanuit de VU en Ruud Kerssens vanuit BDO maar ook iedereen die ik heb mogen interviewen. Meer persoonlijk wil ik de mensen bedanken die mij op de moeilijke momenten mentaal hebben gesteund. Dit zijn mijn vriendin Mylène, mijn ouders en zusje en alle vrienden die op gezette tijden voor ontspanning hebben gezorgd.
INHOUDSOPGAVE 1
2
3
4
5
6
7
Introductie..................................................................................................................................... 5 1.1
Context ................................................................................................................................. 5
1.2
Onderzoeksdomein ................................................................................................................. 6
1.3
Onderzoeksmethodologie ........................................................................................................ 6
1.4
Leeswijzer ............................................................................................................................. 8
Remote beheer............................................................................................................................. 10 2.1
Inleiding.............................................................................................................................. 10
2.2
Wat is remote beheer? .......................................................................................................... 10
2.3
Elementen van remote beheer ............................................................................................... 10
2.4
Definitie van remote beheer .................................................................................................. 17
2.5
Conclusie ............................................................................................................................ 17
Informatiebeveiliging .................................................................................................................... 18 3.1
Inleiding.............................................................................................................................. 18
3.2
Het belang van informatiebeveiliging ...................................................................................... 18
3.3
Beveiligingsrisico’s................................................................................................................ 18
3.4
Beveiligingsmaatregelen ....................................................................................................... 19
3.5
Conclusie ............................................................................................................................ 21
Onderzoeksafbakening .................................................................................................................. 22 4.1
Inleiding.............................................................................................................................. 22
4.2
Afbakening van remote beheer .............................................................................................. 22
4.3
Afbakening van informatiebeveiliging ...................................................................................... 24
4.4
Conclusie ............................................................................................................................ 26
Meervoudige case study ................................................................................................................ 27 5.1
Inleiding.............................................................................................................................. 27
5.2
Opzet meervoudige case study............................................................................................... 27
5.3
Resultaten meervoudige case study ........................................................................................ 28
5.4
Conclusie ............................................................................................................................ 31
De Good Practice Guidance ............................................................................................................ 32 6.1
Inleiding.............................................................................................................................. 32
6.2
Scope en opzet van de GPG ................................................................................................... 32
6.3
De handreiking .................................................................................................................... 32
6.4
Conclusie ............................................................................................................................ 36
Conclusies en aanbevelingen .......................................................................................................... 38 7.1
Eindresultaten onderzoek ...................................................................................................... 38
7.2
Onderzoeksaanpak ............................................................................................................... 39
7.3
Aanbevelingen voor nader onderzoek ...................................................................................... 40
Literatuurlijst ...................................................................................................................................... 41 Bijlage A:
Referentiemodel netwerken van Tanenbaum .................................................................... 43
Bijlage B:
Vragenlijst interviews .................................................................................................... 46
Bijlage C:
De beveiligingsprincipes ................................................................................................ 49
Bijlage D:
Bedreigingen / maatregelen matrix ................................................................................. 54
1
INTRODUCTIE
1.1
CONTEXT Dit hoofdstuk is de inleiding tot deze scriptie. Eerst gaan we in op het fenomeen remote beheer en de noodzaak tot informatiebeveiliging. Daarna beschrijven we de probleemstelling en de afbakening van dit onderzoek. Vervolgens wordt de onderzoeksmethodologie uitgewerkt. Het hoofdstuk eindigt met een leeswijzer voor het vervolg van deze scriptie.
1.1.1
Remote beheer Remote beheer is het fenomeen waarbij organisaties (delen van) hun informatievoorziening op afstand beheren of laten beheren. De eerste situatie doet zich bijvoorbeeld voor wanneer een organisatie haar IT-infrastructuur ‘housed’ in een extern datacentrum en het beheer vanuit de kantoorlocatie blijft uitvoeren. Het tweede geval, waarbij een service provider monitoring en beheer uitvoert, wordt ook wel Remote Infrastructure Management (RIM) genoemd. Het uitbesteden van RIM aan lagelonenlanden wint hard aan populariteit. India heeft een voortrekkersrol. Hier is de RIM-industrie in de periode van 2005 tot en met 2008 meer dan verdrievoudigd van $ 1 miljard tot $ 3,6 miljard. [NASS08]
1.1.2
Waarom remote beheer? Uit een onderzoek onder meer dan 500 IT-professionals is gebleken dat remote beheer kosten verlaagt en de productiviteit van IT-personeel en IT-voorzieningen verbetert. Vooral de afname van het aantal bezoeken aan het rekencentrum en de toename van beschikbaarheid van IT-voorzieningen worden als belangrijke voordelen gezien. Daarnaast rapporteren veel respondenten ook een afname in hersteltijd als gevolg van remote beheer. [COMM05]
1.1.3
De noodzaak tot informatiebeveiliging Beheerders hebben doorgaans hogere rechten tot de informatievoorziening dan ‘reguliere’ gebruikers. De potentiële impact van ongeautoriseerde remote beheertoegang is daardoor relatief groot. Dat geldt ook voor incidenten waardoor beheerders delen van de informatievoorziening niet remote kunnen benaderen. Zij kunnen dan de storingen daarin, die potentieel veel gebruikers treffen, niet tijdig verhelpen. Dat geldt zeker wanneer het alternatief, fysieke toegang, niet snel mogelijk is vanwege een grote afstand tussen de beheerders en het rekencentrum. De relatief grote impact van incidenten brengt met zich mee dat de beveiligingseisen voor remote beheer meestal hoger zijn dan die voor ‘regulier’ remote werken. Daarnaast heeft remote beheer een hoger intrinsiek risico dan beheer vanaf kantoor. Dit wordt veroorzaakt doordat remote beheer buiten de beheersbare bedrijfsomgeving plaats kan vinden. De organisatie heeft hierdoor een relatief beperkte invloed op de beveiliging van de werkplekken, zoals thuis of in openbare ruimtes, en de netwerken waarover beheerfunctionaliteit wordt ontsloten, zoals het Internet. Om ondanks het extra intrinsieke risico van remote beheer toch aan de hoge beveiligingseisen te voldoen, zullen extra of andersoortige maatregelen moeten worden getroffen dan bij beheer vanaf kantoor.
-5-
1.2
ONDERZOEKSDOMEIN
1.2.1
Doelstelling Informatiebeveiliging bij remote beheer is dus belangrijk. Toch is er nog weinig beschreven over hoe dit vanuit een wat breder perspectief gerealiseerd kan worden. Er is wel informatie te vinden over specifieke maatregelen zoals toepassingen voor remote login (SSH, telnet etc.), beheernetwerken [REED05] en remote power management [SULL04]. In [REED05] wordt remote beheer een ongedocumenteerde en ambachtelijke bezigheid genoemd. Dit impliceert dat de beveiliging van de remote beheer erg afhankelijk is van de kennis en ervaring van individuele beheerders. Daarom zouden een overzicht van de belangrijkste beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan waardevol kunnen zijn voor het adequaat beveiligen van remote beheer. De beveiligingsprincipes kunnen evolueren door toepassing in de praktijk en uiteindelijk uitgroeien tot algemeen geaccepteerde ‘best practices’. Onze probleemstelling hebben wij van deze constatering afgeleid en als volgt geformuleerd. Ontwikkel beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan als hulpmiddel voor organisaties om adequate informatiebeveiliging bij remote beheer te realiseren. Het geheel van de beveiligingsprincipes en de handreiking voor de toepassing hiervan noemen we de Good Practice Guidance (GPG) voor het beveiligen van remote beheer. Good practice impliceert: ‘gebaseerd op de praktijk, maar (nog) niet algemeen geaccepteerd’. Guidance staat voor ‘richtinggevend’ in plaats van ‘voorschrijvend’. Het begrip GPG wordt ook door de International Federation of Accountants (IFAC) gebruikt en heeft daar een vergelijkbare betekenis. [IFAC08]
1.2.2
Onderzoeksafbakening De twee kernbegrippen uit dit onderzoek zijn ‘informatiebeveiliging’ en ‘remote beheer’. Beide begrippen zijn erg breed. Informatiebeveiliging is een vakgebied op zichzelf en remote beheer kan betrekking hebben op diverse beheertaken, werklocaties, componenten uit de informatievoorziening en methoden om deze te benaderen enzovoorts. In de volgende twee hoofdstukken worden respectievelijk ‘informatiebeveiliging’ en ‘remote beheer’ eerst breed neergezet. In het hoofdstuk daarna worden deze begrippen afgebakend tot wat hanteerbaar is binnen de beschikbare tijd voor dit onderzoek. Als gevolg hiervan zullen de ontwikkelde beveiligingsprincipes en de handreiking gericht zijn op deze afgebakende begrippen.
1.3
ONDERZOEKSMETHODOLOGIE
1.3.1
Kwalitatief of kwantitatief Voor het oplossen van een probleemstelling kan kwalitatief of kwantitatief onderzoek worden uitgevoerd. Bij kwalitatief onderzoek ligt de nadruk op het begrijpen en doorgronden van een fenomeen. Dit type onderzoek is ideeën genererend, ofwel inductief, van aard. Bij kwantitatief onderzoek staan de geldigheid van gegevens en de daarop gebaseerde uitspraken centraal. Dit type onderzoek is meer gericht op het toetsen van ideeën, ofwel deductief van aard. -6-
[BAAR09] Wij willen in eerste instantie inzicht in de problematiek van beveiliging van remote beheer om vervolgens zelf een GPG hiervoor te ontwikkelen. Kwalitatief onderzoek past hier, gezien haar eigenschappen, het beste bij.
1.3.2
Uitwerking onderzoeksopzet Baarda [BAAR09] onderscheidt drie typen kwalitatief onderzoek (t.w. beschrijvend, explorerend en toetsend) en drie onderzoeksopzetten (t.w. case study, survey en veldexperiment). Onze oorspronkelijke onderzoeksopzet bestaat uit twee fasen waarin al deze typen onderzoek en twee van de drie1 onderzoeksopzetten worden toegepast. Dit is gevisualiseerd in de onderstaande figuur en wordt hierna verder uitgewerkt. Uiteindelijk is alleen fase 1 uitgevoerd. Dit maakte het mogelijk om de probleemstelling binnen de beschikbare tijd op te lossen. Fase 1 is in de onderstaande figuur groen gekleurd.
= uitgevoerd = niet uitgevoerd Literatuurstudie
Concept GPG hypothese
Sessie met focusgroep (survey)
Definitieve GPG
Meervoudige case study
Fase 1: beschrijvend en explorerend
Fase 2: toetsend
Figuur 1.1: onderzoeksopzet
1.3.2.1 Fase 1 De eerste fase is beschrijvend en explorerend van aard en resulteert in een concept GPG voor beveiliging van remote beheer. Deze concept GPG is de hypothese die in de tweede fase van de onderzoeksopzet getoetst wordt. De concept GPG is het eindproduct van dit onderzoek, omdat wij de tweede fase niet hebben uitgevoerd. Aan de concept GPG liggen een literatuurstudie en een meervoudige case study ten grondslag. Op basis van het bestuderen van literatuur over vooral IT-beheer en informatiebeveiliging hebben wij ons een beeld gevormd van het fenomeen ‘remote beheer’ en de beveiligingsissues die daarbij spelen. Deze kennis is gebruikt voor het uitwerken van de hoofdstukken 2 en 3, het afbakenen van het onderzoek en het opstellen van de vragenlijst voor de meervoudige case study. De literatuurstudie leverde onvoldoende informatie op om direct een GPG op te stellen. Daarom hebben wij eerst met enige diepgang onderzocht hoe beveiliging van remote beheer in de dagelijkse praktijk gerealiseerd wordt. De ‘case study’ is hiervoor een geschikte onderzoeksopzet. Omdat één case onvoldoende basis 1
Het veldexperiment is niet geschikt, omdat hierbij de invloed van een geplande verandering op de toestand van een fenomeen centraal staat.
-7-
biedt voor een breed toepasbare GPG, hebben wij in totaal vijf cases onderzocht. De opzet en resultaten van deze meervoudige case study zijn beschreven in hoofdstuk 5. De literatuurstudie en de meervoudige case study zijn overwegend inventariserend c.q. beschrijvend van aard. De resultaten hiervan zijn samengebracht en verder geanalyseerd in explorerend onderzoek. Dit heeft geleid tot een concept GPG voor remote beheer. Deze wordt beschreven in hoofdstuk 6. 1.3.2.2 Fase 2 In de tweede fase van de onderzoeksopzet wordt de concept GPG, ofwel de hypothese, getoetst. Deze fase leidt tot de definitieve GPG voor het beveiligen van remote beheer. Oorspronkelijk hadden wij voor ogen om de toetsing uit te voeren via een survey. Een survey maakt het mogelijk om specifieke aspecten van een fenomeen in de volle breedte te toetsen. Dat kan bijvoorbeeld door het voeren van een gesprek over dat fenomeen met verschillende personen. Deze personen vormen de ‘focusgroep’. Voor dit onderzoek kan de focusgroep bestaan uit experts op het gebied van ITbeheer en informatiebeveiliging. In een discussie kunnen zij hun mening geven over de ‘kwaliteit’ van de GPG. Hiertoe moet het begrip kwaliteit eerst worden uitwerkt in een aantal deelaspecten, zoals juistheid, volledigheid en toepasbaarheid. Deze deelaspecten kunnen beurtelings aan de focusgroep worden voorgelegd. De survey levert niet alleen inzicht in de kwaliteit van de GPG maar kan ook worden gebruikt om deze verder te verbeteren. Het uitvoeren van fase 2 is als aanbeveling voor nader onderzoek in hoofdstuk 7 opgenomen.
1.4
LEESWIJZER De kern van deze scriptie bestaat uit 5 hoofdstukken (hoofdstuk 2 tot en met 6) en een conclusie (hoofdstuk 7). Hieronder geven wij een korte beschrijving van de inhoud van deze hoofdstukken. Dit dient als leeswijzer. Hoofdstuk 2: Remote beheer In dit hoofdstuk gaan we in op het begrip remote beheer. Op basis van een definitie van Wikipedia onderscheiden we vier elementen van remote beheer. Deze elementen werken we uit op basis van relevante literatuur. Dit leidt tot onze eigen algemene definitie van remote beheer. Hoofdstuk 3: Informatiebeveiliging In dit hoofdstuk beschrijven we welke rol informatie en informatiesystemen spelen binnen organisaties en waarom het belangrijk is om de betrouwbaarheid hiervan te beschermen. Daarnaast gaan we in op twee belangrijke concepten binnen de informatiebeveiliging: beveiligingsrisico’s en beveiligingsmaatregelen. Hoofdstuk 4: Onderzoeksafbakening In dit hoofdstuk bakenen we de begrippen remote beheer en informatiebeveiliging af. Dit doen we op basis van de twee voorgaande hoofdstukken waarin deze begrippen breed zijn neergezet.
-8-
Hoofdstuk 5: Meervoudige case study In dit hoofdstuk beschrijven wij de opzet en de resultaten van de meervoudige case study die wij hebben uitgevoerd. De resultaten hiervan liggen, tezamen met de literatuurstudie, aan de basis van de GPG. Hoofdstuk 6: De Good Practice Guidance In dit hoofdstuk presenteren wij de GPG. De GPG is gericht op de in hoofdstuk 4 afgebakende begrippen remote beheer en informatiebeveiliging. Het ontwikkelen van de GPG is de doelstelling van dit onderzoek. Hoofdstuk 7: Conclusies en aanbevelingen In dit hoofdstuk beschrijven wij de conclusies van ons onderzoek en doen wij een aantal aanbevelingen voor nader onderzoek.
-9-
2
REMOTE BEHEER
2.1
INLEIDING In dit hoofdstuk gaan we in op het begrip ‘remote beheer’. Omdat er nog geen algemeen geaccepteerde definitie van remote beheer is, gebruiken wij in eerste instantie een definitie van Wikipedia. Uit deze definitie leiden wij vier elementen van remote beheer af. Deze elementen werken wij verder uit op basis van relevante literatuur. Aan het einde van dit hoofdstuk gebruiken wij de uitwerking van deze elementen om onze eigen algemene definitie van remote beheer te formuleren.
2.2
WAT IS REMOTE BEHEER? Uit onze literatuurstudie blijkt dat er geen algemeen geaccepteerde definitie van remote beheer is. De definities die er zijn, zijn vaak erg eng, dat wil zeggen alleen gericht op specifieke vormen van remote beheer (bijvoorbeeld remote support), en slecht onderbouwd. Eén van de weinige definities waarin remote beheer vanuit een breed perspectief wordt neergezet, is beschikbaar op Wikipedia [WIKI10]. Deze definitie luidt als volgt: Remote beheer is een methode om een computer te besturen vanaf een locatie op afstand. Definitie 2.1: Remote beheer volgens Wikipedia
De definitie van Wikipedia bevat weliswaar elementen die voor remote beheer van belang zijn, maar is onnauwkeurig. Zo heeft remote beheer in beginsel niet uitsluitend betrekking op het ‘besturen’ van een ‘computer’. Daarnaast is onduidelijk wat met ‘methode’ en ‘locatie op afstand’ wordt bedoeld. In de volgende paragraaf worden de vier in cursief gedrukte elementen uit de definitie eerst breed neergezet aan de hand van relevante literatuur. Vervolgens wordt ieder element, op grond van redenatie, afgebakend tot wat binnen het domein ‘remote beheer’ valt. Dit wordt kort verwoord in een conclusie. Uit het samenvoegen van de conclusies per element volgt een nieuwe definitie van remote beheer die zowel algemeen als onderbouwd is. Deze wordt gepresenteerd in paragraaf 2.4.
2.3
ELEMENTEN VAN REMOTE BEHEER
2.3.1
De informatievoorziening (‘computer’) Volgens de definitie van Wikipedia wordt remote beheer uitgevoerd op een computer. Het begrip ‘computer’ is niet nader gespecificeerd. Binnen de context van een organisatie spreekt men meestal niet van ‘computers’ maar van ‘de informatievoorziening’ [OVER00].
- 10 -
2.3.1.1 Componenten van de informatievoorziening Binnen de stippellijn van de onderstaande figuur zijn de componenten van de informatievoorziening weergegeven. Gebruikers Informatievoorziening
Procedures Applicaties
Gegevensinfrastructuur IT-infrastructuur Basisinfrastructuur Figuur 2.1: de informatievoorziening
Iedere component uit de informatievoorziening bestaat uit een aantal objecten. Hierna wordt per component beschreven uit welke objecten deze is opgebouwd. [OVER00]. Een applicatie is de programmatuur waarin specifieke functionaliteit van een informatiesysteem is geprogrammeerd. Een applicatie omvat de toepassingsprogrammatuur (applicatieprogrammatuur) en bijbehorende gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie. Een gegevensinfrastructuur is het geheel van één of meer gegevensverzamelingen, inclusief de daarop van toepassing zijnde procedures en documentatie, dat beschikbaar is voor één of meer informatiesystemen. Een IT-infrastructuur is het geheel van automatiseringsmiddelen voor het opslaan, bewerken, transporteren en representeren van gegevens ten behoeve van gegevensinfrastructuren en applicaties. De IT-infrastructuur bestaat uit de objecten apparatuur, basisprogrammatuur en communicatievoorzieningen, inclusief de daarop van toepassing zijnde procedures en documentatie. Het object ‘basisinfrastructuur’ omvat ondermeer besturingssystemen, firmware en virtual machines. De basisinfrastructuur valt buiten het gestippelde kader van figuur 2.1, omdat deze volgens Overbeek [OVER00] geen deel uitmaakt van de informatievoorziening. Wel schept de basisinfrastructuur de noodzakelijke voorwaarden voor het functioneren ervan. De basisinfrastructuur omvat ondermeer gebouwen en ruimten, airconditioning en voorzieningen voor elektriciteit, water en telecommunicatie. Hoewel de basisinfrastructuur geen deel uitmaakt van de informatievoorziening kan deze wel een object zijn van ITbeheer. Wij nemen daarom ook de basisinfrastructuur in beschouwing. 2.3.1.2 Informatievoorziening en remote beheer Voor het uitvoeren van beheer heeft een beheerder fysieke of logische toegang tot de informatievoorziening nodig. Fysieke toegang vindt niet op afstand plaats, maar in de nabijheid van een object dat beheerd wordt. Daarom kan remote beheer per definitie alleen via logische toegang tot een object worden uitgevoerd. Hieronder is een overzicht opgenomen van objecten uit de informatievoorziening die respectievelijk wel en niet remote beheerd kunnen worden. Hierbij is als uitgangspunt gehanteerd dat software remote toegankelijk is en hardware niet, omdat alleen software logisch toegankelijk is.
- 11 -
Tabel 2.1: Overzicht van objecten die wel/niet remote beheerbaar zijn Objecten Componenten
Wel remote beheerbaar
Applicatie
Gegevens-infrastructuur IT-infrastructuur
Toepassingsprogrammatuur en gegevensverzamelingen (zie hieronder) Gegevensverzamelingen Basisprogrammatuur
Basis-infrastructuur
Basisprogrammatuur*
Niet remote beheerbaar
Apparatuur en fysieke communicatievoorzieningen Gebouwen en ruimten, airconditioning en elektriciteit, telecommunicatie- en watervoorziening.
* basisprogrammatuur wordt niet expliciet door Overbeek benoemd, maar maakt wel onderdeel uit van een deel van de objecten uit de basisinfrastructuur (bijv. noodstroomvoorziening of gebouwbeheersysteem).
Uit het overzicht blijkt dat toepassingsprogrammatuur, gegevensverzamelingen en de basisprogrammatuur van de IT- en basisinfrastructuur remote beheerbaar zijn. Ten aanzien van de component IT-infrastructuur wordt wel onderscheid gemaakt in drie vormen van remote beheer. Als verschillende soorten objecten uit de ITinfrastructuur van een organisatie remote beheerd worden, spreekt men van remote netwerk beheer [SULL04]. Dit omvat servers, routers, switches, werkstations en andere ‘managed devices’. Als uitsluitend servers of uitstuitend werkstations remote beheerd worden spreekt men respectievelijk van remote server beheer [REED05] [PRAN08] en remote desktop beheer [WONG08] [KIST04]. Het laatste wordt ook wel remote support genoemd. 2.3.1.3 Conclusie Remote beheer kan worden uitgevoerd op toepassingsprogrammatuur, gegevensverzamelingen en op de basisprogrammatuur van de IT- en basisinfrastructuur. Conclusie 2.1: componenten van de informatievoorziening (‘computer’)
2.3.2
IT-beheer (‘besturen’) In de definitie van Wikipedia wordt gesproken over het ‘besturen’ van een computer. Hoewel niet precies is aangegeven welke activiteiten onder ‘besturen’ vallen, kan dit worden gezien als een onderdeel van het domein ‘IT-beheer’. Het IT-beheer is gericht op het instandhouden van de betrouwbaarheid 2 van de informatievoorziening [LOOI04].
2.3.2.1 IT-beheereenheden en -taken Het IT-beheer bestaat uit een verzameling zeer diverse IT-beheertaken. In paragraaf 2.3.2.4 geven we hiervan een aantal voorbeelden. Looijen brengt de IT-beheertaken onder in drie IT-beheereenheden te weten het functioneel beheer (FB), het applicatiebeheer (AB) en het technisch beheer (TB). Het functioneel beheer vervult een intermediairfunctie tussen de gebruikers en de andere twee beheereenheden. Het is verantwoordelijk voor het definiëren en in stand houden van de benodigde functionaliteit van de informatievoorziening, zodat deze optimaal blijft aansluiten op de bedrijfsprocessen. De gebruikersorganisatie is eindverantwoordelijk voor het functioneel beheer en 2
Het begrip ‘betrouwbaarheid’ wordt verder uitgewerkt in het volgende hoofdstuk.
- 12 -
fungeert meestal als eigenaar van informatiesystemen en als opdrachtgever voor het technisch beheer en applicatiebeheer. Het applicatiebeheer is verantwoordelijk voor de instandhouding en aanpassing van de applicatieprogrammatuur en gegevensbanken. Het omvat het geheel van activiteiten dat ertoe dient om applicaties te laten voldoen aan de eisen en behoeften van de eigenaren ervan, gedurende de gehele levensduur van de bedrijfsprocessen die door de applicaties worden ondersteund. Zodra wijzigingen moeten worden aangebracht voor onderhoud dan is applicatiebeheer verantwoordelijk voor het uitvoeren van de wijzigingen en het testen daarvan. Technisch beheer betreft de beschikbaarstelling en instandhouding van de infrastructuur waarop ondermeer applicaties draaien. Technisch beheer bewaakt overeengekomen dienstenniveaus, speelt in op afwijkingen en voert wijzigingen door als gevolg van gebruikerswensen en technologische ontwikkelingen. Onder technisch beheer valt de zorg voor de totale technische infrastructuur. Hieronder vallen ondermeer de hardware, inclusief de netwerk- en werkplekinfrastructuur, de systeemprogrammatuur en de ontwikkelhulpmiddelen. 2.3.2.2 Niveaus van IT-beheertaken Looijen [LOOI04] onderscheidt drie niveaus waarop IT-beheertaken binnen een beheereenheid worden uitgevoerd: strategisch, tactisch en operationeel. Op het strategisch niveau wordt het beleid bepaald. Dit bestaat uit directieven over de inhoud van de beheereenheid, de plaats in de organisatie en relaties met andere beheereenheden. Op het tactisch niveau vindt de vertaling van het beleid plaats. Het tactisch niveau is verantwoordelijk voor de technische en personele middelen op het operationele niveau en de algemene bedrijfsondersteuning. De praktische uitvoering van het beheer vindt plaats op het operationele niveau. 2.3.2.3 Relatie tussen IT-beheer en informatievoorziening IT-beheer richt zich op zowel de afzonderlijke componenten van de informatievoorziening als de samenhang daartussen. Dat neemt niet weg dat er een sterke relatie is tussen de drie IT-beheereenheden en de afzonderlijke componenten uit de informatievoorziening. Dit is gevisualiseerd door de pijlen in figuur 2.2. Het functioneel beheer en het applicatiebeheer hebben sterke relaties met de component ‘applicaties’ uit de informatievoorziening. Meer specifiek richt het functioneel beheer zich op de informatie-infrastructuur. Dit is de infrastructuur die de functionaliteit van een informatiesysteem vertegenwoordigd. Deze infrastructuur bevindt schematisch bovenop de applicatie-infrastructuur. Het technisch beheer heeft een sterke relatie met de componenten ‘gegevensinfrastructuur’, ‘IT-infrastructuur’ en ‘basisinfrastructuur’. [LOOI04] Gebruikers Informatievoorziening
Procedures Applicaties
Gegevensinfrastructuur
functioneel beheer & applicatiebeheer technisch beheer
IT-infrastructuur Basisinfrastructuur Figuur 2.2: de informatievoorziening en het IT-beheer
- 13 -
2.3.2.4 IT-beheertaken en remote beheer IT-beheertaken op strategisch en tactisch niveau zijn overkoepelend en scheppen randvoorwaarden voor de uitvoering van het operationeel beheer in het algemeen, ongeacht of dat lokaal of remote plaatsvindt. De managementtaken op deze niveaus kunnen weliswaar voor een deel op afstand en eventueel met behulp van toepassingsprogrammatuur worden uitgevoerd, maar daarvoor wordt reguliere functionaliteit gebruikt en zijn geen beheerrechten nodig. Daarom wordt het op afstand uitvoeren van ITbeheertaken op strategisch en tactisch niveau beschouwd als remote werken in het algemeen en niet als remote beheer. De daadwerkelijke uitvoering van het beheer geschiedt op operationeel niveau. Operationele beheertaken worden via fysieke of logische toegang tot de informatievoorziening uitgevoerd. Een beheerder kan alleen fysieke toegang tot een object van de informatievoorziening krijgen als hij zich in de nabijheid daarvan bevindt. Daarom zijn operationele beheertaken waarvoor fysieke toegang noodzakelijk is, per definitie niet geschikt om remote te worden uitgevoerd. Voorbeelden van taken die fysieke toegang vereisen zijn het vervangen van hardware en het verwisselen van back-up tapes. Operationele beheertaken waarvoor logische toegang nodig is, zijn in beginsel wel geschikt om remote te worden uitgevoerd. Hiervoor zijn meestal bijzondere privileges binnen programmatuur nodig. Voorbeelden van deze beheertaken zijn: o Opstarten en bewaken van de (batch)verwerking (TB) o Wijzigen van system settings (TB) o Installeren en verwijderen van programmatuur (TB) o Beheren van applicatieparameters (FB) o Beheren van autorisatie van gegevensgebruik (FB) o Onderhouden van gegevensbankstructuren (FB) o Programmeren en testen van programmatuur (FB) In figuur 2.3 is de relatie tussen IT-beheer, IT-beheereenheden en ITbeheertaken gevisualiseerd. De grijze markering geeft aan welk deel 3 van het ITbeheerdomein in beginsel binnen de reikwijdte van het begrip remote beheer valt. Het vierkant en de ovalen die respectievelijk het IT-beheerdomein en de ITbeheereenheden uitbeelden, zijn deels grijs om aan te geven dat slechts een deel van de taken tot remote beheer kan worden gerekend. De taken zelf zijn onder te verdelen in de drie niveaus in de piramides rechts. De lagen ‘strategisch’ en ‘tactisch’ zijn geheel wit, omdat deze buiten het domein remote beheer vallen. De laag ‘operationeel’ is voor een deel grijs om aan te geven dat veel IT-beheertaken op dit niveau via logische toegang kunnen worden uitgevoerd en daarmee binnen het domein remote beheer vallen.
3
De grijze markeringen geven niet de ‘echte’ verhoudingen tussen remote en niet remote uitvoerbare beheertaken weer, maar laten slechts zien dat er een onderscheid is.
- 14 -
IT-beheereenheden
IT-beheertaken
functioneel beheer
IT-beheer
applicatie beheer
technisch beheer
= binnen reikwijdte remote beheer
= bestaat uit
Figuur 2.3: IT-beheerdomein en remote beheer
2.3.2.5 Conclusie Remote beheer omvat operationele IT-beheertaken uit het technisch beheer (TB), functioneel beheer (FB) en applicatiebeheer (AB) waarvoor geen fysieke maar logische toegang tot de informatievoorziening nodig is. Conclusie 2.2: IT-beheer (‘besturen’)
2.3.3
Beheerlocaties (‘locatie op afstand’) De definitie van Wikipedia geeft aan dat remote beheer ‘vanaf een locatie op afstand’ plaatsvindt. Dit kan in beginsel iedere locatie zijn buiten de ruimte waarin de IT- of basisinfrastructuur, waarop de te beheren basisprogrammatuur, gegevensverzamelingen of toepassingsprogrammatuur draait, zich bevindt.
2.3.3.1 Werklocaties van de beheerder De remote werklocatie van de beheerder kan vast of wisselend zijn. In literatuur over remote werken wordt vaak het volgende onderscheid gemaakt: thuis, satellietkantoor en mobiel [HADD05] [KURL99]. In de praktijk kunnen combinaties van verschillende locaties en tussenvormen voorkomen. Thuis: De beheerder werkt vanuit zijn huis en heeft daar eventueel een ingerichte werkplek. Satellietkantoor: De beheerder werkt vanuit een locatie die handig is voor werkgevers of klanten. Het satellietkantoor kan werknemers van één organisatie huisvesten maar ook een locatie zijn die door meerdere organisaties gedeeld wordt.
- 15 -
Mobiel: De beheerder heeft geen vaste werkplek en is regelmatig onderweg. De werklocaties van een mobiele werker kunnen erg variëren. Voorbeelden zijn het vliegveld, een hotel, een station of een internetcafé. 2.3.3.2 Conclusie Remote beheer wordt uitgevoerd vanaf locaties buiten de ruimte waarin de ITof basisinfrastructuur zich fysiek bevindt. Conclusie 2.3: beheerlocaties (‘locatie op afstand’)
2.3.4
Methode voor remote beheer (‘methode’) In basis zijn er drie methoden om programmatuur op de IT- en basisinfrastructuur te beheren: (1) via een console dat rechtstreeks op de infrastructuur is aangesloten, (2) via een peer-to-peer link zoals een KVMswitch4 of (3) via een computernetwerk 5. Beheer via de eerste twee methoden vindt lokaal plaats en beschouwen wij daarom niet als remote beheer. Remote beheer vindt dus plaats via een computernetwerk. Dit is schematisch weergegeven in figuur 2.4.
object(en) uit informatievoorziening
werkstation
Figuur 2.4: methode voor remote beheer
De rechthoek rechts in het figuur illustreert een remote beheerbaar object uit de informatievoorziening. In paragraaf 2.3.1 is aangegeven dat hieronder vallen de basisprogrammatuur, gegevensverzamelingen of toepassingsprogrammatuur. De wolk illustreert het computernetwerk. Dit kan bijvoorbeeld een private netwerk zijn, zoals een kantoornetwerk, of een public netwerk zoals het Internet. De rechthoek links in het plaatje symboliseert het werkstation van de beheerder. Dit is een vaste of mobiele computer die is voorzien van software voor het uitvoeren van beheertaken. Een desktop is een voorbeeld van een vaste computer. Laptops, tablets en smartphones zijn voorbeelden van mobiele computers. De stippellijn geeft aan dat het werkstation in verbinding staat met het remote beheerbare object. Via deze verbinding vindt datacommunicatie plaats. 2.3.4.1 Conclusie Remote beheer wordt uitgevoerd met behulp van een werkstation dat via een computernetwerk in verbinding staat met een remote beheerbaar object van de informatievoorziening. Conclusie 2.4: Methoden voor remote beheer (‘methode’)
4
Een KVM-switch is een apparaat om meerdere ‘computers’ via een enkele toetsenbord, monitor en muis te bedienden. De KVM-switch is hiertoe met kabels aangesloten op de KVM-poorten van de computers (peer-to-peer). 5 In bijlage 1 wordt a.d.h.v. het referentiemodel van Tanenbaum uitgelegd wat een computernetwerk is.
- 16 -
2.4
DEFINITIE VAN REMOTE BEHEER Alle conclusies delen de inzichten dat remote beheer: a. wordt uitgevoerd op één of meer objecten van de informatievoorziening en b. logische toegang daartoe vereist Verder leiden de conclusies afzonderlijk tot de inzichten dat remote beheer: c. operationele IT-beheertaken betreft uit alle drie de beheerdomeinen (TB, FB en AB); d. plaatsvindt vanaf locaties buiten de ruimte waarin de IT- en basisinfrastructuur zich fysiek bevindt; e. wordt uitgevoerd met behulp van een werkstation dat via een computernetwerk in verbinding staat met de te beheren objecten van de informatievoorziening. Deze inzichten zijn als volgt samengevoegd en verwoord in één algemene definitie van remote beheer: Remote beheer is het uitvoeren van operationele IT-beheertaken(c) met behulp van een werkstation dat via een computernetwerk in verbinding staat met toepassingsprogrammatuur, gegevensverzamelingen of basisprogrammatuur (a / b) (e) vanaf een locatie buiten de ruimte waarin de IT- of basisinfrastructuur zich fysiek bevindt(d). Definitie 2.2: Algemene definitie van remote beheer
In de definitie zijn referenties opgenomen naar de inzichten (a t/m e). Te zien is dat alle inzichten terugkomen in de definitie.
2.5
CONCLUSIE Aan het begin van dit hoofdstuk hebben wij een algemene definitie van remote beheer van Wikipedia geïntroduceerd. Wij concludeerden dat de definitie van Wikipedia wat onnauwkeurig was. Op basis van deze definitie konden wij wel vier elementen van remote beheer onderscheiden, te weten IT-beheer (‘besturen’), informatievoorziening (‘computer’), beheerlocaties (‘locatie op afstand’) en methoden voor remote beheer (‘methode’). Deze elementen hebben wij verder uitgewerkt. Per element hebben wij beredeneerd wat wel en niet binnen het domein van remote beheer valt. Dit leidde tot een conclusie per element. Op basis van deze conclusies hebben wij een algemene definitie van remote beheer geformuleerd. Deze is hierboven weergegeven.
- 17 -
3
INFORMATIEBEVEILIGING
3.1
INLEIDING Informatiebeveiliging is gericht op het beschermen van de betrouwbaarheid van informatiesystemen en de informatie die daarin besloten ligt. In dit hoofdstuk komen een aantal belangrijke concepten uit het vakgebied ‘informatiebeveiliging’ aan de orde. Eerst ontleden wij het begrip ‘betrouwbaarheid’ in deelaspecten. Vervolgens beschrijven wij wat beveiligingsrisico’s en –maatregelen zijn. Deze kunnen respectievelijk de betrouwbaarheid schaden en beschermen.
3.2
HET BELANG VAN INFORMATIEBEVEILIGING Voor veel organisaties zijn informatiesystemen, en de informatie die daarin besloten ligt, belangrijke bedrijfsmiddelen. Voor deze organisaties is betrouwbare informatie essentieel voor het behalen van concurrentievoordeel en winstgevendheid, compliance met wet- en regelgeving en de reputatie. Betrouwbare informatie is echter geen vanzelfsprekendheid. Dat komt doordat informatiesystemen bloot staan aan vele risico’s. Deze nemen bovendien steeds toe doordat bedrijfsinformatie meer en meer buiten de muren van organisaties ontsloten wordt. Daarom moet informatie, net als andere bedrijfsmiddelen, worden beschermd. Het beschermen van de betrouwbaarheid van informatie en informatiesystemen is het domein van het vakgebied ‘informatiebeveiliging’. Het begrip ‘betrouwbaarheid’ wordt in de literatuur [OVER00] [ISO05] [RENO09] doorgaans ontleed in de deelaspecten ‘beschikbaarheid’, ‘vertrouwelijkheid’ en ‘integriteit’. ‘Controleerbaarheid’ wordt wisselend als afzonderlijk deelaspect onderscheiden of geschaard onder ‘integriteit’. Wij gaan uit van het laatste en definiëren de drie betrouwbaarheidsaspecten als volgt [RENO09]: Beschikbaarheid: de waarborg, dat vanuit hun functie geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen (waaronder informatiesystemen). Integriteit: het waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd.
3.3
BEVEILIGINGSRISICO’S De informatievoorziening van een organisatie staat bloot aan diverse bedreigingen. Een bedreiging is een proces of gebeurtenis met in potentie een verstorende invloed op de betrouwbaarheid van een object van de informatievoorziening. De bron van bedreigingen kan menselijk of niet-menselijk zijn. Menselijke bedreigingen worden veroorzaakt door onopzettelijk foutief handelen of door misbruik en criminaliteit. Aan niet-menselijke bedreigingen liggen invloeden van buitenaf (natuurrampen) of storingen in apparatuur of programmatuur ten grondslag. Een beveiligingsincident ontstaat wanneer een bedreiging één of meer kwetsbaarheden van een object uitbuit. Kwetsbaarheden zijn aanwezig als karakteristieken van een object het mogelijk maken dat bedreigingen er een
- 18 -
negatieve invloed op kunnen uitoefenen. Zo is apparatuur gevoelig voor fysiek geweld en programmatuur voor ‘digitaal geweld’. Het beveiligingsrisico is een functie van de potentiële schade als gevolg van een beveiligingsincident en de kans dat het incident optreedt (kans maal schade). Schade kan direct of indirect zijn. Met name indirecte schade, ofwel gevolgschade, is moeilijk kwantificeerbaar. Risico’s kunnen daardoor meestal niet precies worden berekend maar alleen globaal worden geschat. Daarom zijn risicoanalyses vaak subjectief van aard. [ISF97] [OVER00] [HOOG06]
3.4
BEVEILIGINGSMAATREGELEN Beveiligingsmaatregelen verkleinen de kans op beveiligingsincidenten en verminderen de impact ervan. Dit doen zij ondermeer door de objecten van de informatievoorziening minder kwetsbaar te maken. Beveiligingsmaatregelen kenmerken zich door (1) hun aard, (2) hun werkingssfeer en (3) hun plaats in de beveiligingscyclus. In de beveiligingskubus van Bautz (zie figuur 3.1) komen deze kenmerken samen. Ze zijn uitgezet in respectievelijk de x-, y- en z-as.
Figuur 3.1: De beveiligingskubus van Bautz
Bij een goed beveiligde informatievoorziening zijn voor ieder vakje van de beveiligingskubus voldoende, dat wil zeggen niet teveel en niet te weinig, maatregelen getroffen die elkaar niet tegenwerken maar juist versterken. Het stelsel van maatregelen is dan samenhangend en evenwichtig. Risicoanalyse helpt om tot een samenhangend en evenwichtig stelsel van maatregelen te komen.
- 19 -
3.4.1
Plaats in de beveiligingscyclus De incidentcyclus [OVER00] beschrijft de stappen die plaatsvinden rondom het manifesteren van een beveiligingsincident. Deze stappen zijn achtereenvolgens: een bedreiging (iets dat zou kunnen gebeuren), een verstoring (het manifesteren van een bedreiging), schade (de impact van een beveiligingsincident) en herstel (het verminderen van de schade). Bedreiging
Correctie
Preventie
Verstoring
Herstel
Detectie
Repressie
Schade Figuur 3.2: De incident- en beveiligingscyclus
De beveiligingscyclus [OVER00] loopt parallel aan de incidentcyclus en doorloopt de fasen preventie, detectie, repressie en correctie. Analoog hieraan kunnen de beveiligingsmaatregelen als volgt worden ingedeeld: Preventieve maatregelen. Deze maatregelen hebben tot doel om te voorkomen dat bedreigingen tot een verstoring leiden. Daarom worden deze ook wel eerstelijnsmaatregelen genoemd. Voorbeelden zijn brandwerende deuren en authenticatie. Detectieve maatregelen. Deze maatregelen detecteren een verstoring en zijn alleen effectief in combinatie met andere, meestal repressieve, maatregelen. Voorbeelden zijn rookdetectors en intrusion detection. Repressieve maatregelen. Deze maatregelen hebben tot doel de negatieve invloed van een verstoring te minimaliseren en worden daarom tweedelijnsmaatregelen genoemd. Voorbeelden zijn het implementeren van uitwijkvoorzieningen en verzekeren. Correctieve maatregelen. Deze maatregelen richten zich op het herstellen van objecten die bij een incident beschadigd zijn. Dit zijn eigenlijk geen beveiligingsmaatregelen maar onderhoudsmaatregelen.
3.4.2
De aard van de maatregelen Naast de indeling op basis van de beveiligingscyclus, kunnen maatregelen ingedeeld worden naar hun aard ofwel naar de wijze waarop ze gerealiseerd worden. [OVER00] Organisatorische maatregelen. Deze maatregelen hebben betrekking op de organisatie als geheel. Hieronder vallen beveiligingsbeleid, richtlijnen en procedures. Logische maatregelen. Deze maatregelen zijn geprogrammeerd in programmatuur. Voorbeelden zijn logging en versleuteling. Fysieke maatregelen. Deze maatregelen zijn gebaseerd op apparatuur of andere materiële zaken. Voorbeelden zijn brandblussers en sloten. In figuur 3.3 is de aard van de maatregelen in verband gebracht met de componenten van de informatievoorziening [OVER00]. De mapping is niet 1-op1 maar geeft de sterkste relaties weer. Zo hebben logische maatregelen niet alleen betrekking op applicaties en gegevensinfrastructuur maar ook op programmatuurdelen van de IT-infrastructuur en basisinfrastructuur.
- 20 -
Gebruikers
organisatorische maatregelen logische maatregelen fysieke maatregelen
Informatievoorziening
Procedures Applicaties
Gegevensinfrastructuur IT-infrastructuur Basisinfrastructuur
Figuur 3.3: De informatievoorziening en informatiebeveiliging
3.4.3
De werkingssfeer van de maatregelen Maatregelen beschermen één of meer betrouwbaarheidsaspecten van informatie. De betrouwbaarheidsaspecten zijn reeds beschreven in paragraaf 3.2.
3.5
CONCLUSIE In dit hoofdstuk hebben wij uitgelegd dat veel organisaties voor hun bedrijfsvoering afhankelijk zijn van informatiesystemen. Daarom is het belangrijk om de betrouwbaarheid (vertrouwelijkheid, integriteit en beschikbaarheid) hiervan te waarborgen. Daarna hebben wij aangegeven dat de betrouwbaarheid bloot staat aan verschillende bedreigingen en dat er een risico is dat deze bedreigingen leiden tot incidenten die schade veroorzaken. Om het risico op beveiligingsincidenten en de impact daarvan te verminderen, worden beveiligingsmaatregelen getroffen. Deze maatregelen kunnen variëren in plaats in de beveiligingscyclus (preventief, detectief, repressief of correctief), aard (organisatorisch, logisch of fysiek) en werkingssfeer (vertrouwelijkheid, integriteit of beschikbaarheid).
- 21 -
4
ONDERZOEKSAFBAKENING
4.1
INLEIDING In de voorgaande twee hoofdstukken zijn de begrippen ‘remote beheer’ en ‘informatiebeveiliging’ breed neergezet. In dit hoofdstuk bakenen wij deze begrippen af. Eerst doen wij dit voor remote beheer aan de hand van de vier elementen die in hoofdstuk 2 worden onderscheiden. Dit leidt tot een projectspecifieke definitie van remote beheer. Het begrip informatiebeveiliging wordt op basis van deze projectspecifieke definitie verder ingeperkt. De twee afgebakende begrippen liggen aan de basis voor onze GPG.
4.2
AFBAKENING VAN REMOTE BEHEER
4.2.1
De informatievoorziening Volgens een onderzoek onder meer dan 500 IT-professionals is de favoriete remote beheer mogelijkheid het benaderen van besturingssystemen of servers alsof de beheerder fysiek aanwezig is. Dit werd genoemd door 90 procent van de respondenten. [COMM05] Vanwege de duidelijke populariteit van deze vorm van remote beheer, beperken wij de reikwijdte van ons onderzoek tot de server en het besturingssysteem (ofwel het Operating System) dat daarop draait. Omdat voor het benaderen van het besturingssysteem geen fysieke maar logische toegang nodig is, kan het OS remote worden beheerd (zie ook paragraaf 2.3.1). Door OS-virtualisatie kan er een veel-op-veel relatie zijn tussen fysieke servers en besturingssystemen. Meestal wordt OS-virtualisatie gebruikt om op één fysieke server meerdere besturingssystemen te hosten, maar één besturingssysteem kan ook op meerdere servers gehost worden. In verband met de complexiteit van OS-virtualisatie, laten we dit verder buiten beschouwing. We gaan er hierna steeds vanuit dat er een één-op-één relatie is tussen de fysieke server en het OS en dat er geen sprake is van middleware in de vorm van virtual machines.
4.2.2
IT-beheer Het besturingssysteem maakt deel uit van de ‘basisprogrammatuur’ die zich volgens Overbeek [OVER00] in de component ‘IT-infrastructuur’ van de informatievoorziening bevindt. In figuur 2.2 is de relatie tussen de verschillende componenten uit de informatievoorziening en de drie IT-beheerdomeinen weergegeven. De pijlen in dit figuur geven aan dat er een sterke relatie is tussen ‘IT-infrastructuur’ en het ‘technisch beheer’. Het zijn daarom overwegend taken uit het technisch beheer die via toegang tot het OS op de server worden uitgevoerd. In het vorige hoofdstuk is verder aangegeven dat remote beheertaken operationeel van aard zijn. Voorbeelden van taken die via toegang tot het OS worden uitgevoerd zijn het wijzigen van system settings en het installeren en verwijderen van programmatuur.
4.2.3
Beheerlocaties (‘locatie op afstand’) In het vorige hoofdstuk is geconcludeerd dat remote beheer wordt uitgevoerd vanaf locaties buiten de ruimten waarin de te beheren objecten van de informatievoorziening zich fysiek bevinden. Servers bevinden zich doorgaans in
- 22 -
een rekencentrum ofwel datacenter. Het remote beheer vindt dus buiten het rekencentrum plaats.
4.2.4
Methoden voor remote (server) beheer De beheerder benadert het OS op de server via Remote Access Software (RAS). RAS bestaat uit een client applicatie en een serverapplicatie. De client applicatie verschaft de beheerder een interface op zijn werkstation. De client en server applicatie communiceren met elkaar via een computernetwerk. Dit is weergegeven in figuur 4.1. De bolletjes illustreren de RAS, de stippellijn de datacommunicatie en de wolk het computernetwerk. De wijze waarop datacommunicatie over computernetwerken plaatsvindt is beschreven in bijlage A. Deze beschrijving is gebaseerd op het referentiemodel van Tanenbaum [TANE11]. Hierna zullen wij terminologie uit dit referentiemodel gebruiken.
OS op server
werkstation
Figuur 4.1: communicatie tussen werkstation en server
Wij onderscheiden twee manieren om het OS van een server te benaderen: (1) direct via RAS op het OS of (2) indirect via de systeemconsole. 4.2.4.1 Direct via RAS op het OS De serverapplicatie van de Remote Access Software (RAS) is geïnstalleerd op het OS van de server. Deze serverapplicatie is geïntegreerd in het OS of add-on software. Voorbeelden van RAS zijn SSH voor toegang tot de shell en RDP voor toegang tot de graphical user interface. De serverapplicatie is benaderbaar via één of meer NSAP’s van de server. Deze NSAP’s worden ontsloten via Network Interface Cards (NIC’s). Een NIC is een losse insteekkaart of onderdeel van het moederbord van de server. 4.2.4.2 Indirect via console toegang Console toegang stelt de beheerder in staat om BIOS-instellingen van de server te beheren en het gehele opstartproces te monitoren. Daarnaast kan hij via het systeemconsole inloggen op het besturingssysteem. Wij onderscheiden twee manieren om via een computernetwerk toegang te krijgen tot het systeemconsole van de server: via een (a) console server of (b) via een service processor. Console server De serverapplicatie van de Remote Access Software (RAS) is geïnstalleerd op de console server. Dit kan bijvoorbeeld telnet of ssh zijn. Door in te loggen op de console server krijgt de beheerder toegang tot de servers die daarop zijn aangesloten. De console server heeft fysieke poorten die via kabels één op één in verbinding staan met fysieke poorten op de aangesloten servers. Als het seriële poorten betreft wordt vaak gesproken van een serial console server. Bij KVM-poorten spreekt men van een i 6KVM switch. Er zijn diverse leveranciers van
6
KVM-switches die worden ontsloten via computernetwerken worden IP KVM ofwel iKVM switches genoemd.
- 23 -
dedicated console server appliances, maar ze worden ook wel zelf gebouwd. [KRUL01] [PROW00] [COMM03] Service processor Een service processor biedt ondermeer toegang tot de systeemconsole van de server. Andere functies zijn remote power cycling en het uitlezen van sensor informatie. Een service processor is geïmplementeerd als een op het moederbord geïntegreerde processor, een dochterkaart van het moederbord of een volledig gescheiden PCI kaart. [BORD06] De meeste moderne servers beschikken over een service processor. Voorbeelden van standaarden en protocollen zijn IPMI (Intelligent Platform Management Interface), HP iLO (Integrated Lights Out), Dell RAC (Remote Access Card), IBM RSA (Remote Supervisor Adapter), Sun ALOM (Advanced Lights Out Manager). De eerstgenoemde is open source en de overige zijn leverancier specifiek. [BLOO08] [PASS07] Service processors hebben een eigen NSAP of een fysieke poort. In het eerste geval is de RAS geïnstalleerd op de service processor. In het tweede geval is kan de service processor remote toegankelijk gemaakt worden via de console server.
4.2.5
Projectspecifieke definitie van remote (server) beheer Uit het voorgaande leiden wij de volgende projectspecifieke definitie voor remote (server) beheer af. Remote (server) beheer is het uitvoeren van operationele taken uit het technisch beheer met behulp van een werkstation dat via een computernetwerk in verbinding staat met het OS van een server, vanaf een locatie buiten het rekencentrum waarin deze server zich fysiek bevindt. Definitie 4.1: Projectspecifieke definitie van remote (server) beheer
4.3
AFBAKENING VAN INFORMATIEBEVEILIGING Informatiebeveiliging in algemene zin richt zich op het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Dit gebeurt door middel van beveiligingsmaatregelen. Welke maatregelen relevant zijn hangt af van het object van informatiebeveiliging en de bedreigingen daarop inspelen. In de vorige paragraaf hebben wij het object van informatiebeveiliging bepaald, te weten ‘remote server beheer’. In deze paragraaf bepalen wij de bedreigingen. Dit doen wij aan de hand twee beveiligingsdoelstellingen voor remote server beheer. De doelstellingen en bedreigingen vormen de basis voor de verdere invulling van de GPG in hoofdstuk 6.
4.3.1
Beveiligingsdoelstellingen Wij hebben de onderstaande twee doelstellingen voor beveiliging van remote server beheer geformuleerd. Deze zijn gerelateerd aan hoofdstuk 1.1.3 waarin de noodzaak tot beveiliging bij remote beheer wordt toegelicht. Uitsluitend geautoriseerde beheerders kunnen inloggen op de RAS die toegang verschaft tot het besturingssysteem van een server. Doelstelling A
Het besturingssysteem op een server is remote toegankelijk voor beheerders. Doelstelling B
Doelstelling A heeft een sterke relatie met de kwaliteitsaspecten vertrouwelijkheid en integriteit. Doelstelling B is vooral gericht op het kwaliteitsaspect beschikbaarheid. - 24 -
4.3.2
Bedreigingen Bedreigingen die potentieel een verstorende invloed hebben op de beveiligingsdoelstellingen A en B hebben niet alleen betrekking op de server zelf, maar ook op de datacommunicatie en het werkstation. Dit is weergegeven in de onderstaande figuur. Oranje bedreigingen hebben betrekking op doelstelling A en groene op doelstelling B. Hierna zullen we iedere bedreiging kort beschrijven. ongeautoriseerde logische toegang tot WS (A5) ongeautoriseerde fysieke toegang tot WS (A4)
identificatie- en authenticatiemechanismen RAS doorbroken (A1) te laat ingetrokken bevoegdheden op RAS misbruikt (A2)
ongeautoriseerde inzage in of manipulatie van DC (A3)
werkstation
server DC niet mogelijk (B3) technische storingen op server(B1)
technische storingen op WS(B4)
denial-of-service attack (B2)
Figuur 4.2: bedreigingen remote server beheer
A.1
Identificatie- en authenticatiemechanismen RAS doorbroken De RAS heeft geen of zwakke identificatie- en authenticatiemechanismen waardoor derden zichzelf toegang kunnen verschaffen tot het OS op de server. De RAS staat gebruikers bijvoorbeeld toe zwakke wachtwoorden te kiezen zonder dat er daarnaast authenticatie op basis van andere factoren, zoals bezit of fysieke eigenschappen, plaatsvindt.
A.2
Te laat ingetrokken bevoegdheden op RAS misbruikt De RAS heeft actieve gebruikersaccounts waarop voormalig beheerders kunnen inloggen, omdat zijn de authenticatiemiddelen daarvoor nog hebben (bijv. een wachtwoord). Dit kunnen persoonsgebonden accounts of gedeelde accounts zijn. Vaak wordt bijvoorbeeld een generiek ‘administrator’ account gedeeld.
A.3
Ongeautoriseerde inzage in of manipulatie van datacommunicatie Derden kunnen de datacommunicatie tussen het werkstation en de server lezen of manipuleren. Hierdoor zijn zij bijvoorbeeld in staat om gebruikersnamen en wachtwoorden te onderscheppen of een man-in-the-middle attack uit te voeren. In het laatste geval nemen zij de verbinding tussen het werkstation en de server over.
A.4
Ongeautoriseerde fysieke toegang tot het werkstation Derden hebben toegang tot de ruimte waarin het werkstation zich fysiek bevindt. Daardoor kunnen zij het werkstation meenemen of er ter plaatse op inloggen. Via het werkstation krijgen zij vervolgens toegang tot het OS op de server.
A.5
Ongeautoriseerde logische toegang tot het werkstation Derden verschaffen zichzelf toegang tot het werkstation via het computernetwerk waarop het werkstation is aangesloten. Via het werkstation krijgen zij vervolgens toegang tot het OS op de server.
B.1
Technische storingen op de server Er zijn hardware- of softwarematige storingen op de (console) server waardoor het OS vastloopt of niet remote benaderbaar is. In het laatste geval is er bijvoorbeeld een storing in een Network Interface Card (NIC) van de server.
- 25 -
4.3.3
B.2
Denial-of-service-attack Als gevolg van een denial-of-service-attack raakt de (console) server of een deel van het computernetwerk overbelast. Hierdoor is het OS op de server niet remote toegankelijk.
B.3
Datacommunicatie niet mogelijk Er is geen datacommunicatie mogelijk tussen de server en het werkstation vanwege storingen in componenten uit de netwerkinfrastructuur of de console server.
B.4
Technische storingen op het werkstation Er zijn hardware- of softwarematige storingen op het werkstation van de beheerder waardoor hij via zijn werkstation niet kan inloggen op het OS op de server.
Maatregelen Zowel de server als het OS dat daarop draait, maken volgens Overbeek deel uit van de IT-infrastructuur. In figuur 3.3 is de aard van beveiligingsmaatregelen in verband gebracht met de componenten van de informatievoorziening. Uit dit figuur blijkt dat er een sterke relatie is tussen de IT-infrastructuur enerzijds en fysieke en logische maatregelen anderzijds. Daarom zal de GPG primair gericht zijn op deze zogenaamde technische beveiligingsmaatregelen. Organisatorische maatregelen blijven grotendeels buiten beschouwing.
4.4
CONCLUSIE In dit hoofdstuk is het begrip remote beheer afgebakend tot remote server beheer en meer specifiek het beheer van besturingssystemen op servers. Hiervoor zijn twee methodes beschreven te weten: ‘direct via RAS op het OS’ en ‘indirect via console toegang’. Ten aanzien van de laatste methode wordt nog onderscheid gemaakt in toegang via een console server en toegang via een service processor. Op basis van de afbakening van remote server beheer zijn twee informatiebeveiligingsdoelstellingen geformuleerd. Daarnaast zijn bedreigingen beschreven die er potentieel voor kunnen zorgen dat deze doelstellingen niet gehaald worden. Tot slot is aangegeven dat vooral logische en fysieke maatregelen voor remote server beheer relevant zijn. Hiermee is ook het begrip informatiebeveiliging afgebakend. De GPG is gericht op de twee afgebakende begrippen.
- 26 -
5
MEERVOUDIGE CASE STUDY
5.1
INLEIDING In het vorige hoofdstuk zijn de begrippen ‘remote beheer’ en ‘informatiebeveiliging’ afgebakend. Hieruit volgt dat wij ons in dit onderzoek richten op remote server beheer en de technische beveiligingsmaatregelen daarbij. Om te achterhalen hoe remote server beheer in de praktijk wordt toegepast en welke technische beveiligingsmaatregelen daarbij zijn getroffen, hebben wij een meervoudige case study uitgevoerd. In dit hoofdstuk beschrijven wij eerst wat de doelstellingen van de meervoudige case study zijn en hoe deze is uitgevoerd. In het tweede deel beschrijven wij de belangrijkste resultaten. In het volgende hoofdstuk gebruiken wij de resultaten van de meervoudige case study, samen met die van het literatuuronderzoek, voor het formuleren van de GPG voor het beveiligen van remote (server) beheer.
5.2
OPZET MEERVOUDIGE CASE STUDY De doelen van de meervoudige case study zijn om te bepalen (1) welke oplossingen voor remote server beheer in de praktijk worden toegepast, (2) welke beveiligingsmaatregelen daarbij zijn getroffen en (3) waarom voor deze oplossingen en maatregelen is gekozen.
5.2.1
Organisaties betrokken in meervoudige case study Voor de meervoudige case study zijn IT service providers en grote organisaties met een professionele (eigen) IT-beheerorganisatie benaderd. In totaal zijn er vijf organisaties in de meervoudige case study betrokken, te weten: • Een bank en verzekeraar; • Een accountants- en adviesorganisatie; • Een informatieprovider (van vertrouwelijke informatie); • Een ICT-dienstverlener voor de grootzakelijke markt en • Een ICT-dienstverlener voor (met name) zorgverzekeraars. De namen van de organisaties zijn niet genoemd, omdat verschillende geïnterviewden hebben aangegeven dat de resultaten van de interviews alleen openbaar gemaakt mogen worden, als deze niet naar hun organisatie herleidbaar zijn. Dit risico wordt verder beperkt doordat de informatie uit de interviews geaggregeerd is weergegeven.
5.2.2
Interviews Om de doelen van de meervoudige case study te bereiken, zijn interviews gehouden met personen die ter zake kundig zijn. Dit waren met name security officers en IT-beheerders. De interviews zijn afgenomen in maart 2011. Alle geïnterviewden hebben dezelfde vragenlijst ontvangen om het vergelijken van de resultaten van de interviews te vereenvoudigen. Wel waren de interviews ‘open’ van aard. Dat wil zeggen dat de in de vragenlijst genoemde onderwerpen vast stonden maar de vragen zelf niet. Deze waren meer indicatief. De geïnterviewden hebben de vragenlijsten enige tijd voorafgaand aan het interview ontvangen, zodat zij in de gelegenheid waren om het interview voor te bereiden. De gehanteerde vragenlijst is opgenomen in bijlage B.
- 27 -
De geïnterviewden zijn vooraf beperkt geïnformeerd over de afbakening van het onderzoek. Wij hebben alleen een werkdefinitie van remote server beheer gegeven (zie vragenlijst). De geïnterviewden waren dus vrij in het benoemen van de oplossingen en beveiligingsmaatregelen die zij relevant vinden voor remote server beheer. Een interview duurde één tot twee uur. Dit was voldoende om het onderwerp met voldoende diepgang te bespreken. De resultaten zijn vastgelegd in interviewverslagen. Deze zijn naderhand gebruikt voor een kwalitatieve analyse. De resultaten hiervan zijn beschreven in de volgende paragraaf. De interviewverslagen zijn niet afgestemd met de geïnterviewden vanwege de beperkte tijd die voor het onderzoek beschikbaar is. Daarnaast zouden aanpassingen als gevolg van de feedback op individuele interviewverslagen waarschijnlijk geen significante invloed hebben op het totaalbeeld van alle interviews gezamenlijk.
5.3
RESULTATEN MEERVOUDIGE CASE STUDY
5.3.1
Context remote server beheer In de meeste gevallen worden niet alleen servers maar ook andere componenten uit de IT-infrastructuur remote beheerd. Voorbeelden hiervan zijn routers en werkstations. Geen van de organisaties voert (zelf) remote beheer uit op de basisinfrastructuur. Een aantal organisaties heeft het beheer hiervan uitbesteed. Alle organisaties voeren zelf beheer uit op zowel basisprogrammatuur, gegevensverzamelingen als toepassingsprogrammatuur. Bij alle partijen worden taken uit zowel het functioneel beheer, applicatiebeheer als technisch beheer remote uitgevoerd. De belangrijkste reden voor remote beheer is bij alle organisaties dat de te beheren componenten uit de IT-infrastructuur fysiek op andere locaties staan dan de locaties waarop beheerders werken. Beheer rechtstreeks op het console van het te beheren component komt eigenlijk niet meer voor. De fysieke afstand tussen beheerder en te beheren component varieert van in hetzelfde pand tot op diverse locaties bij klanten.
5.3.2
Remote server beheer oplossingen en beveiligingsmaatregelen Uit de meervoudige case study blijkt dat binnen de meeste organisaties verschillende methoden voor remote server beheer in gebruik zijn. De geïnterviewden hebben steeds de voornaamste of meest gebruikte methode binnen hun organisatie beschreven. Op basis van een analyse van deze beschrijvingen, onderscheiden wij drie methoden om op afstand beheertoegang tot servers te verkrijgen, te weten: 1. inloggen op een beheernetwerk; 2. inloggen op een stepping stone in de vorm van a. een opstapserver of b. een gevirtualiseerde desktop. Deze methoden alsmede de voornaamste beveiligingsmaatregelen daarbij zijn hieronder in meer detail beschreven. De beschrijving geeft geen volledig beeld van alle mogelijke methoden en maatregelen, maar is slechts een afspiegeling van wat bij de interviews naar voren is gekomen.
5.3.2.1 Inloggen op beheernetwerk Bij deze methode hebben de servers twee soorten netwerkinterfaces (IPadressen): een productie- en een beheerinterface. Beheerapplicaties, voor bijvoorbeeld toegang tot het besturingssysteem (bijv. SSH, RDP), zijn gekoppeld - 28 -
aan de beheerinterface. Productieapplicaties, zoals toepassingsprogrammatuur, zijn gekoppeld aan de productieinterface. Het private netwerk ofwel kantoornetwerk is opgedeeld in netwerksegmenten. Beheerinterfaces van servers zijn uitsluitend toegankelijk via aparte segmenten die we beheernetwerken noemen. Van buiten het beheernetwerk zijn de beheerinterfaces, en de beheerapplicaties daarop, niet benaderbaar. Het beheernetwerk is alleen toegankelijk voor beheerders. Dit wordt gewaarborgd door identificatie en authenticatie van de beheerder en/of zijn werkstation. Binnen het private netwerk wordt toegang tot het beheernetwerk verleend op basis van identificatie en authenticatie van het werkstation van de beheerder. Dit gebeurt bijvoorbeeld op basis van IP-adres, MAC-adres of digitaal certificaat. Vanaf het public netwerk moet eerst een VPN-verbinding met het private netwerk worden opgezet. Het opzetten van de VPN-verbinding vindt plaats op basis van identificatie en authenticatie van de beheerder. Daarnaast kan toegang worden verleend na controle van het beveiligingsniveau van het werkstation en het beëindigen van rechtstreekse verbindingen met het Internet. Netwerkinterfaces worden beschikbaar gesteld via een fysieke netwerkpoort op de server. Achter deze poort bevindt zich een netwerkkaart. Reguliere netwerkkaarten bieden toegang vanaf het niveau van het besturingssysteem. Bij een aantal organisaties wordt echter ook gebruik gemaakt van een bijzonder soort netwerkkaart: de iLO7 server manager. Deze heeft een eigen fysieke netwerkpoort en opereert in hoge mate onafhankelijk van de hardware en software op de server. Daardoor is de iLO manager meestal ook benaderbaar bij hardwarematige storingen en het vastlopen van het besturingssysteem. De iLO manager biedt ondermeer console toegang tot de server en de mogelijkheid om de server hardwarematig te resetten. 5.3.2.2 Inloggen op stepping stone in de vorm van opstapserver Net als bij de vorige methode is er bij deze methode sprake van een beheernetwerk. Voor toegang tot het beheernetwerk logt de beheerder echter niet rechtstreeks in op het netwerk maar eerst op een stepping stone in de vorm van een zogenaamde opstapserver (bijv. via SSH). Vervolgens logt de beheerder vanaf de opstapserver in op andere servers in het netwerk. Om dit mogelijk te maken heeft de opstapserver tenminste twee netwerkinterfaces. Eén netwerkinterface maakt onderdeel uit van het beheernetwerk. Hierdoor kan de opstapserver andere servers in het beheernetwerk benaderen. De andere netwerkinterface is benaderbaar vanaf een extern netwerk. Dit kan bijvoorbeeld een ander netwerksegment uit het private netwerk zijn maar ook een public netwerk zoals het Internet. Hierdoor kan de beheerder van buiten het beheernetwerk inloggen op de opstapserver. Als de netwerkinterface van de opstapserver benaderbaar is vanaf een public netwerk worden de poorten op deze netwerkinterface over het algemeen zoveel mogelijk dichtgezet. Poorten voor beheerapplicaties zijn dan bijvoorbeeld alleen benaderbaar vanaf de specifieke IP-adressen van werkstations van beheerders. Ook is er dan meer aandacht voor toegangsbeveiliging op applicatieniveau. In de beheerapplicatie worden bijvoorbeeld sterkere wachtwoordeisen ingesteld.
7
iLO staat voor ‘Integrated Lights-Out’ en is een product van Hewlett-Packard.
- 29 -
5.3.2.3 Inloggen op stepping stone in de vorm van gevirtualiseerde desktop Bij deze methode loggen beheerders vanaf een public of private netwerk in op een virtuele desktop. Op deze desktop is alleen de beheersoftware aanwezig die de beheerder nodig heeft. De beheerder heeft geen beheerrechten op de virtuele desktop. De virtuele desktop wordt volledig gehost op een centrale ‘remote access’ omgeving. Op het werkstation van de beheerder draait een client toepassing die ervoor zorgt dat de virtuele desktop kan worden gepresenteerd op zijn werkstation. Er worden alleen schermweergaven, toetsenbordaanslagen en muisbewegingen tussen de ‘remote access’ omgeving en het werkstation van de beheerder uitgewisseld. Doordat de virtuele desktop een geïsoleerde omgeving is, hoeft het werkstation zelf geen hoog beveiligingsniveau te hebben. Uit de meervoudige case study komen twee varianten van het gebruik van de gevirtualiseerde desktop naar voren. Bij de eerste variant benaderen beheerders via hun virtuele desktop de servers uit een private (beheer)netwerk en bij de tweede variant benaderen zij servers uit een public netwerk. Om de eerste variant mogelijk te maken heeft de ‘remote access’ omgeving netwerkinterfaces die onderdeel zijn van een private netwerk. Per beheerder of groep beheerders is ingesteld welke specifieke (server)netwerkinterfaces binnen het private netwerk benaderbaar zijn. Eventueel is ook ingesteld welke specifieke poorten op die netwerkinterfaces voor de beheerders toegankelijk zijn. Bij de tweede variant zijn de beheerapplicaties op servers toegankelijk via een netwerkinterface die adresseerbaar is vanaf een public netwerk (i.c. het Internet). Op deze netwerkinterface zijn de poorten van de beheerapplicaties uitsluitend toegankelijk vanaf de IP-adressen van de ‘remote access’ omgeving. Per beheerder of groep beheerders is ingesteld welke specifieke netwerkinterfaces en poorten toegankelijk zijn. De ‘remote access’ omgeving is uitgerust als ‘high availibility’ omgeving. Dit houdt in dat servers en netwerkcomponenten zoveel mogelijk redundant zijn uitgevoerd, zodat zij elkaars taken kunnen overnemen in geval van storingen.
5.3.3
Ratio achter gekozen oplossingen en maatregelen Voor het bestaan van remote beheer diverse oplossingen binnen dezelfde organisatie zijn diverse oorzaken genoemd. Soms zijn de oplossingen organisch gegroeid zonder dat er een duidelijk beleid aan ten grondslag ligt. Daarnaast worden organisaties beperkt in hun keuzemogelijkheden doordat klanten een bepaalde vorm van remote beheertoegang eisen. Tot slot moet weleens worden afgeweken van de gewenste of standaard oplossing omdat componenten niet via die oplossing te benaderen zijn. Sommige legacy systemen hebben bijvoorbeeld geen netwerkkaart maar alleen een seriële poort. Expliciete risicoanalyses voor remote beheer worden eigenlijk niet uitgevoerd. Bij een aantal partijen is beveiliging van remote beheer onderdeel van een breder risicomanagementproces met betrekking tot informatiebeveiliging. Dit geldt niet voor de grootste IT-dienstverlener. De standaardoplossing van deze partij is ISO 9001 en ISO 27001 gecertificeerd. Daarnaast worden beveiligingsmaatregelen gekozen op basis van richtlijnen van leveranciers en peer reviews met andere organisaties uit dezelfde branche.
- 30 -
5.4
CONCLUSIE In het eerste deel van dit hoofdstuk hebben we de doelstellingen van de meervoudige case study beschreven. Eén daarvan is om te achterhalen welke oplossingen voor remote server beheer in de praktijk worden gebruikt. Daarna hebben wij aangegeven dat wij voor het behalen van de doelstellingen interviews hebben afgenomen met security officers en IT-beheerders bij vijf verschillende organisaties. De resultaten van de meervoudige case study zijn beschreven in het tweede deel van dit hoofdstuk. Het blijkt dat de meeste organisaties naast servers ook andere componenten uit de IT-infrastructuur remote beheren. Uit de case meervoudige case study volgen de volgende drie methoden voor remote server beheer: (1) inloggen op een beheernetwerk en inloggen op een stepping stone in de vorm van (2) een opstapserver of (3) een gevirtualiseerde desktop. Vaak zijn er bij dezelfde organisatie verschillende oplossingen voor remote server beheer in gebruik. In het volgende hoofdstuk gebruiken wij de resultaten van dit veldonderzoek bij het formuleren van de GPG voor beveiliging van remote beheer.
- 31 -
6
DE GOOD PRACTICE GUIDANCE
6.1
INLEIDING In dit hoofdstuk presenteren wij de Good Practice Guidance (GPG) voor het beveiligen van remote beheer. Het hoofdstuk bestaat uit twee delen. In het eerste deel worden de scope en opzet van de GPG beschreven. Het tweede deel van dit hoofdstuk bestaat uit de handreiking voor het gebruik van de beveiligingsprincipes. De beveiligingsprincipes zelf zijn opgenomen in bijlage C. De GPG is het geheel van de handreiking en de beveiligingsprincipes.
6.2
SCOPE EN OPZET VAN DE GPG De doelstelling van dit onderzoek is het ontwikkelen van een Good Practice Guidance (GPG) voor beveiliging van remote beheer. Uit paragraaf 1.2.1 volgt dat de GPG uit twee onderdelen bestaat: (1) beveiligingsprincipes en (2) een handreiking voor de toepassing hiervan. Uit de scope-afbakening in hoofdstuk 4 volgt verder dat de GPG is gericht op remote server beheer en meer specifiek het beheer van OS dat daarop draait. Bovendien is de reikwijdte van de GPG beperkt tot de twee beveiligingsdoelstellingen en de bijbehorende bedreigingen die in dit hoofdstuk zijn beschreven. De beveiligingsprincipes voor remote server beheer zijn uitgewerkt in bijlage C. Per doelstelling zijn relevante beheersmaatregelen geformuleerd. Deze maatregelen zijn verder uitgewerkt in implementatierichtlijnen. Voor onze beveiligingsprincipes hebben wij de structuur van de ‘Code voor Informatiebeveiliging’ (ISO/IEC 27002) gehanteerd. De principes zijn voor een belangrijk deel afgeleid van de resultaten uit de meervoudige case study. Het ligt voor de hand om zoveel mogelijk van deze beheersmaatregelen te implementeren. De maatregelen hebben echter ook een keerzijde: ze brengen kosten met zich mee en beperken het gemak waarmee beheerders hun taken uitvoeren. Het is dus zaak om niet zwaarder te beveiligen dan nodig is, maar ook niet lichter. De handreiking is erop gericht om de gebruiker van de GPG te helpen met het kiezen van de juiste beheersmaatregelen. Hiertoe bestaat de handreiking uit twee onderdelen: (1) een afhankelijkheids- en (2) een kwetsbaarheidsanalyse. De afhankelijkheidsanalyse geeft inzicht in de hoogte van de twee beveiligingsdoelstellingen van remote server beheer. De kwetsbaarheidsanalyse geeft inzicht in de bedreigingen en kwetsbaarheden, ofwel de risico’s, rond remote server beheer. Daarnaast worden in de kwetsbaarheidsanalyse de doelstellingen en risico’s met elkaar geconfronteerd. Dit leidt tot inzicht in de treffen maatregelen.
6.3
DE HANDREIKING
6.3.1
Afhankelijkheidsanalyse In een generieke afhankelijkheidsanalyse wordt bepaald hoe belangrijk de betrouwbaarheid van de informatievoorziening voor een organisatie is. De afhankelijkheid komt tot uitdrukking in betrouwbaarheidseisen die aangeven welke mate van beschikbaarheid, integriteit en vertrouwelijkheid nodig is. Meestal wordt hiervoor aan elk van deze aspecten een linguïstische waarde toegekend zoals ‘hoog’ en ‘laag’. - 32 -
Er zijn diverse methoden waarmee de afhankelijkheid van de informatievoorziening kan worden bepaald. Een bekend voorbeeld is de SPRINTrisicoanalyse. De afhankelijkheidsanalyse is de eerste stap in de SPRINTmethode. De afhankelijkheid wordt bepaald door het evalueren van de consequenties en impact van een verlies van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Hiertoe is voor elk betrouwbaarheidsaspect een formulier opgesteld. Voor elk type consequentie op dit formulier (bijvoorbeeld fraude, extra kosten, verstoring van de bedrijfsvoering) wordt bepaald wat de business impact is. Hiervoor wordt een aantal impact ratings gebruikt: ‘ernstige schade’, ‘significante schade’, ‘kleine impact’ en ‘verwaarloosbaar’. De individuele waarderingen van de consequenties resulteren samen in een linguïstische waardering voor het betreffende betrouwbaarheidsaspect. Voor meer details verwijzen wij naar de ‘SPRINT User Guide’ [ISF97] Er is een duidelijk verband tussen de afhankelijkheid van de informatievoorziening en de door ons geformuleerde beveiligingsdoelen van remote server beheer. De servers en de OS-en maken deel uit van de ITinfrastructuur laag van de informatievoorziening. Servers zijn meestal het hart van de informatievoorziening, omdat hierop het gros van de gegevensverwerking en –opslag plaatsvindt. Het gewenste niveau van beveiliging van de serveromgeving is daarom vergelijkbaar met het gewenste niveau van beveiliging van de informatievoorziening als geheel. Meer specifiek is er een sterke relatie tussen beveiligingsdoelstelling A en de aspecten ‘vertrouwelijkheid’ en ‘integriteit’ en tussen beveiligingsdoelstelling B en het aspect ‘beschikbaarheid’. Deze relatie is met het symbool ‘x’ weergegeven in de onderstaande tabel. V I B A Uitsluitend geautoriseerde beheerders kunnen inloggen op de RAS die toegang verschaft tot het besturingssysteem van een server. B Het besturingssysteem op een server is remote toegankelijk voor beheerders.
x x x
Tabel 6.1: Relatie tussen doelstellingen ren betrouwbaarheidsaspecten (V, I, B)
Naarmate de betrouwbaarheidseisen voor de aspecten vertrouwelijkheid en integriteit hoger zijn, zal doelstelling A hoger zijn. Een aandachtspunt hierbij is dat toegang tot het besturingssysteem van een server meestal onder hogere privileges plaatsvindt dan toegang tot bijvoorbeeld applicaties. De impact van ongeautoriseerde toegang tot servers is daarom groter. Voor servers zijn betrouwbaarheidseisen daarom doorgaans nog hoger dan voor andere componenten van de informatievoorziening zoals applicaties. Naarmate de betrouwbaarheidseis voor het aspect beschikbaarheid hoger is, zal doelstelling B hoger zijn. Als servers niet remote toegankelijk zijn, kunnen beheerders de storingen daarin, die potentieel veel gebruikers treffen, niet tijdig te verhelpen. De beschikbaarheidseis zal daarom bij remote server beheer relatief groot zijn, tenzij er snel fysieke toegang tot de servers mogelijk is.
6.3.2
Kwetsbaarheidsanalyse In de kwetsbaarheidsanalyse worden enerzijds de bedreigingen en kwetsbaarheden rond remote server beheer bepaald en anderzijds de beheersmaatregelen geïdentificeerd om de risico’s tot een aanvaardbaar niveau te beperken. De onderstaande tabel is hierbij leidend.
- 33 -
KN L
H
H
M
L
M
L
DS
MN
H
Figuur 6.1: relatie tussen DS, KN en MN
De omvang en de aard van de te treffen beheersmaatregelen, ofwel het maatregelenniveau (MN) volgt uit de hoogte van de doelstelling (DS) enerzijds en het kwetsbaarheidsniveau (KN) anderzijds. De tabel geeft per combinatie van DS en KN weer wat het MN is. De tabel is een vereenvoudigde weergave. Voor de DS en het KN wordt uitgegaan van twee niveaus (hoog en laag) en voor het MN van drie niveaus (hoog, midden, laag). Uit de tabel volgt bijvoorbeeld dat bij een hoge doelstelling en een hoog kwetsbaarheidsniveau veel beheersmaatregelen moeten worden getroffen. De tabel vormt een theoretisch kader voor beveiliging van remote server beheer. Om hier praktische invulling aan te kunnen geven hebben wij in hoofdstuk 4 reeds de relevante bedreigingen per doelstelling beschreven. Daarnaast hebben wij in bijlage C beveiligingsprincipes geformuleerd. In bijlage D hebben wij een bedreigingen/maatregelen-matrix opgenomen. Deze geeft de sterkste relatie weer tussen de bedreigingen en de beveiligingsprincipes. Hierna werken wij het theoretisch kader verder uit door per bedreiging een aantal factoren te beschrijven die de kwetsbaarheid voor deze bedreiging beïnvloeden. Ook zullen we aangeven hoe de beveiligingsprincipes kunnen worden ingezet om de kwetsbaarheid te verminderen. 6.3.2.1 A.1 Identificatie- en authenticatiemechanismen RAS doorbroken De opties voor identificatie en authenticatie verschillen per RAS. Er is RAS die sterke authenticatie ondersteunt op basis van meerdere factoren, maar er is ook RAS die weinig tot geen mogelijkheden tot identificatie en authenticatie biedt. Ook kan het zijn dat RAS programmeerfouten bevat die derden kunnen misbruiken om identificatie- en authenticatiemechanismen te omzeilen. Bijvoorbeeld doordat beveiligingsupdates niet tijdig zijn doorgevoerd. Identificatie en authenticatie hoeft niet altijd lokaal, op de RAS, plaats te vinden. Er is ook RAS die gebruik kan maken van diensten van authenticatieservers. De validatie van inloggegevens gebeurt dan centraal, op de authenticatieservers, in plaats van, lokaal, op de RAS. De meeste RAS voor OS-en (zoals SSH en RDP) kunnen gebruik maken van diensten van authenticatieservers, maar dat geldt niet altijd voor RAS op console servers of service processors. Deze laatste hebben soms ook minder opties voor authenticatie. Met name in grote omgevingen met een grote diversiteit aan servers, console servers en service processors is het moeilijk om te waarborgen dat alle RAS voldoende sterke identificatie- en authenticatiemechanismen heeft. Dan is toegangsbeveiliging op applicatieniveau onvoldoende en kan (aanvullend) toegangsbeheersing op transport- en/of netwerkniveau worden toegepast. Het zwaartepunt van toegangsbeveiliging ligt dan op het laagste niveau, bijvoorbeeld op de stepping stone of de firewall waarmee de VPN-verbinding wordt opgezet.
- 34 -
6.3.2.2 A.2 Te laat ingetrokken bevoegdheden op RAS misbruikt Sommige RAS werkt alleen met lokale user accounts, terwijl andere RAS gebruik kan maken van global user accounts in een centrale user database. RAS voor OS-en (zoals SSH en RDP) kan vaak wel gebruik maken van global user accounts, maar dat geldt niet altijd voor RAS op console servers of service processors. Ook RAS op OS-en heeft echter vaak één of meer lokale beheeraccounts. Met name bij grotere beheerorganisaties is het moeilijk om lokale RAS accounts bij het uit dienst treden van beheerders tijdig in te trekken of de wachtwoorden daarvan te wijzigen. Deze organisaties kunnen toegangsbeheersing op transporten/of netwerkniveau toepassen en zich richten op het tijdig intrekken van bevoegdheden op het laagste niveau. Bijvoorbeeld het intrekken van accounts op de stepping stone of de firewall waarmee een VPN-verbinding wordt opgezet. 6.3.2.3 A.3 Ongeautoriseerde inzage en manipulatie van datacommunicatie De mogelijkheden voor versleuteling van datacommunicatie en wederzijdse authenticatie verschillen per RAS. Ook hier geldt dat RAS voor OS-en meestal meer opties heeft dan RAS voor console server en service processors. Er wordt echter ook op OS-en weleens RAS gebruikt die onveilig is. Telnet is hiervan een voorbeeld. Meestal moeten instellingen voor het beveiligen van verbindingen lokaal, per RAS worden gedaan. Met name in omgevingen met een grote diversiteit aan RAS is het moeilijk om te waarborgen dat datacommunicatie via RAS altijd goed beveiligd is. In deze situatie kan de datacommunicatie ook op netwerkniveau beveiligd worden. Op deze manier is datacommunicatie over het publieke netwerk ook versleuteld als gebruik wordt gemaakt van RAS die onvoldoende mogelijkheden tot versleuteling biedt. 6.3.2.4 A.4 Ongeautoriseerde fysieke toegang tot het werkstation Bij remote beheer bevindt de werkplek van de beheerder zich buiten het rekencentrum. Dit kan een gesloten ruimte zijn, zoals een kantoor of een thuiswerkplek of een meer openbare ruimte zoals een hotel of een station. In openbare ruimtes is de kans op ongeautoriseerde fysieke toegang tot het werkstation relatief groot. Het is dan belangrijker dat beveiligingsmaatregelen op het werkstation zijn getroffen, zoals logische toegangsbeveiliging en encryptie van opgeslagen gegevens. De organisatie kan deze afdwingen door werkstations in eigen beheer uit te geven of door bijvoorbeeld desktop virtualisatie toe te passen. 6.3.2.5 A.5 Ongeautoriseerde logische toegang tot het werkstation Er zijn diverse soorten werkstations die de beheerder kan gebruiken. Voorbeelden zijn smartphones, tablets, laptops en desktops. De beveiligingsopties variëren per soort werkstation. Op smartphones en tablets kunnen relatief weinig beveiligingsmaatregelen, zoals firewalls, anti-virus, logische toegangsbeveiliging, worden getroffen. Hierdoor is het risico op ongeautoriseerde toegang groter. [HOOG11] Het is mogelijk om alleen het gebruik van door de organisatie beheerde en beveiligde, werkstations mogelijk te maken. Een andere optie is om de beheerder toe te staan om het werkstation van zijn keuze te gebruiken en desktop virtualisatie toe te passen. Een gevirualiseerde desktop is een geïsoleerde omgeving waardoor het beveiligingsniveau van het werkstation zelf minder relevant is.
- 35 -
6.3.2.6 B.1 Technische storingen op de server / B2 denial of service attacks Op iedere server kunnen zich onverwachts technische storingen voordoen en iedere server is kwetsbaar voor denial of service attacks (DOS). Door gebruik te maken van service processors en console servers is de server bij storingen of DOS-attacks in veel gevallen toch remote benaderbaar. Eventueel kan door remote power management, buiten de server om, via de UPS een hard reset gegeven worden. Als een server op verschillende manieren naar een computernetwerk ontsloten wordt, is het risico op ongeautoriseerde toegang wel lastiger te beheersen. Er moeten dan immers meerdere toegangspunten beveiligd worden. Een technische storing of DOS-attack op een individuele server heeft doorgaans minder gevolgen dan een technische storing of DOS-attack op een console server of een stepping stone. In het laatste geval kunnen meerdere servers niet remote benaderbaar zijn. Het is mogelijk om de console server of stepping stone uit te rusten als ‘high availability’ omgeving zodat de kans op onbeschikbaarheid als gevolg van technische storingen wordt verkleind. 6.3.2.7 B.3 Datacommunicatie niet mogelijk In een netwerkinfrastructuur met veel single-points-of-failures is de kans groter dat storingen ertoe leiden dat datacommunicatie niet mogelijk is. Het is mogelijk om het aantal single-points-of failure terug te dringen door componenten uit de netwerkinfrastructuur redundant uit te voeren. Dit is echter niet mogelijk voor netwerkinfrastructuren waarvoor de organisatie geen invloed op het beheer heeft. Een voorbeeld hiervan is het thuisnetwerk van de beheerder. Een alternatief is om toegang tot de (console) server of stepping stone ook plaats te laten vinden via een andere netwerkinfrastructuur (bijvoorbeeld inbellen). Dit betekent wel dat het lastiger wordt om het risico op ongeautoriseerde toegang te beheersen. Er zijn dan immers verschillende toegangspaden die beveiligd moeten worden. 6.3.2.8 B.4 Technische storingen op het werkstation De kans op technische storingen varieert per werkstation. Bepaalde merken en typen werkstations zijn betrouwbaarder dan andere. Daarnaast kunnen mobiele werkstations vaker storingen vertonen dan vaste werkstations, omdat ze meer onderhevig zijn aan schokken. Softwarematige storingen kunnen bijvoorbeeld ontstaan door verkeerd geconfigureerde werkstations. De organisatie kan de kans op technische storingen op het werkstation verkleinen door zelf werkstations uit te geven en te beheren. Een alternatief is om te werken met desktopvirtualisatie waardoor de organisatie meer invloed heeft op de betrouwbaarheid van de software op de desktop.
6.4
CONCLUSIE In dit hoofdstuk hebben wij de GPG gepresenteerd. Het hoofdstuk bestaat uit twee delen. In het eerste deel worden de scope en opzet van de GPG beschreven. Hieruit blijkt dat de GPG gericht is op remote server beheer en meer specifiek het beheer van OS dat daarop draait. Daarnaast beperkt GPG zich tot de twee beveiligingsdoelstellingen en de bedreigingen die in hoofdstuk 4 zijn beschreven. De GPG bestaat uit beveiligingsprincipes en een handreiking voor de toepassing hiervan.
- 36 -
De beveiligingsprincipes zijn opgenomen in bijlage C. Per beveiligingsdoelstelling zijn beheersmaatregelen geformuleerd. Deze zijn verder uitgewerkt in implementatierichtlijnen. De handreiking wordt uiteengezet in het tweede deel van dit hoofdstuk. De handreiking bestaat uit een afhankelijkheids- en een kwetsbaarheidsanalyse. In de afhankelijkheidsanalyse wordt vastgesteld hoe hoog de beveiligingsdoelstellingen zijn. De kwetsbaarheidsanalyse geeft inzicht in de bedreigingen en kwetsbaarheden, ofwel de risico’s, rond remote server beheer. Daarnaast worden in de kwetsbaarheidsanalyse de beheersmaatregelen gekozen. De handreiking biedt hiervoor handvatten in de vorm van een ‘bedreigingen / maatregelen matrix’ en per bedreiging een beschrijving van (1) factoren die de kwetsbaarheid bepalen en (2) hoe de beveiligingsprincipes kunnen worden ingezet om de kwetsbaarheid te verminderen.
- 37 -
7
CONCLUSIES EN AANBEVELINGEN
7.1
EINDRESULTATEN ONDERZOEK
7.1.1
Aanleiding en doel onderzoek Steeds vaker worden (delen van) de informatievoorziening op afstand beheerd. Het beheer vindt dan plaats vanaf werkplekken en via computernetwerken die zich buiten de beheersbare bedrijfsomgeving bevinden. Dit brengt extra beveiligingsrisico’s met zich mee. Er is nog weinig beschreven over beveiliging van remote beheer vanuit een breder perspectief. Daarom zijn wij een onderzoek gestart met als doel om beveiligingsprincipes voor remote beheer en een handreiking voor de toepassing hiervan te ontwikkelen. Het geheel van de beveiligingsprincipes en de handreiking noemen we de Good Practice Guidance (GPG). De GPG is een hulpmiddel voor organisaties om adequate informatiebeveiliging bij remote beheer te realiseren.
7.1.2
Remote beheer in brede zin Bij remote beheer worden IT-beheertaken uitgevoerd met behulp van een werkstation dat via een computernetwerk in verbinding staat met objecten van de informatievoorziening. Alleen de objecten die logisch benaderbaar zijn, kunnen remote beheerd worden. Hieronder vallen toepassingsprogrammatuur, gegevensverzamelingen en basisprogrammatuur van de IT-infrastructuur en de basisinfrastructuur. Remote beheer vindt plaats buiten de ruimten waarin de infrastructuur zich fysiek bevindt. Alleen de operationele IT-beheertaken uit het technisch beheer (TB), functioneel beheer (FB) en applicatiebeheer (AB) lenen zich voor remote beheer. Voorbeelden van dergelijke taken zijn het opstarten en bewaken van de (batch)verwerking (TB), het wijzigen van system settings (TB), het beheren van applicatieparameters (FB) en het onderhouden van gegevensbankstructuren (AB). In hoofdstuk 2 is het begrip remote beheer breed neergezet.
7.1.3
Remote beheer afgebakend Uit een onderzoek blijkt dat het benaderen van besturingssystemen of servers alsof de beheerder fysiek aanwezig is, verreweg de meest populaire vorm van remote beheer is. [COMM05] Daarom is de GPG gericht op remote beheer van het besturingssysteem (OS) dat op de server draait8. Er zijn twee manieren om het OS van een server te benaderen: (1) direct via Remote Access Software, zoals SSH en RDP, die is geïnstalleerd op het OS of (2) indirect via console toegang. Dit laatste kan via een console server of een service processor. Het zijn vooral operationele IT-beheertaken uit het technisch beheer die via remote server beheer worden uitgevoerd.
7.1.4
De Good Practice Guidance Informatiebeveiliging in algemene zin richt zich op het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Dit hebben wij voor ons afgebakende ‘remote beheer’ begrip geconcretiseerd in twee beveiligingsdoelstellingen. Deze staan centraal in de GPG. Doelstelling A heeft een sterke relatie met de betrouwbaarheidsaspecten vertrouwelijkheid en integriteit. Doelstelling B heeft een sterke relatie met het aspect beschikbaarheid.
8
OS-virtualisatie laten we in verband met de complexiteit buiten beschouwing.
- 38 -
Uitsluitend geautoriseerde beheerders kunnen inloggen op de RAS die toegang verschaft tot het besturingssysteem van een server. Doelstelling A
Het besturingssysteem op een server is remote toegankelijk voor beheerders. Doelstelling B
De GPG bestaat uit twee onderdelen: (1) beveiligingsprincipes en (2) een handreiking voor de toepassing hiervan. De beveiligingsprincipes zijn uitgewerkt in bijlage C. Per doelstelling zijn relevante beheersmaatregelen geformuleerd. Deze maatregelen zijn verder uitgewerkt in implementatierichtlijnen. Hierbij is de structuur van de ‘Code voor Informatiebeveiliging’ (ISO/IEC 27002) gehanteerd. De handreiking is erop gericht om de gebruiker van de GPG te helpen met het kiezen van de juiste beheersmaatregelen uit bijlage C. Hiertoe bestaat de handreiking uit twee onderdelen: (1) een afhankelijkheids- (2) en een kwetsbaarheidsanalyse. De afhankelijkheidsanalyse geeft inzicht in de hoogte van de twee beveiligingsdoelstellingen van remote server beheer. De kwetsbaarheidsanalyse geeft inzicht in de bedreigingen en kwetsbaarheden, ofwel de risico’s, rond remote server beheer. Daarnaast worden in de kwetsbaarheidsanalyse de beheersmaatregelen gekozen. Dit gebeurt volgens de onderstaande tabel. Deze tabel laat zien dat de omvang en de aard van de te treffen beheersmaatregelen, ofwel het maatregelenniveau (MN) volgt uit de hoogte van de doelstelling (DS) enerzijds en het kwetsbaarheidsniveau (KN) anderzijds. KN L
H
H
M
L
M
L
DS
MN
H
Figuur 7.1: relatie tussen DS, KN en MN
In hoofdstuk 4 zijn per beveiligingsdoelstelling de bedreigingen beschreven die deze potentieel negatief beïnvloeden. De handreiking bevat een ‘bedreigingen / maatregelen matrix’ die de sterkste relatie weergeeft tussen deze bedreigingen en de beheersmaatregelen uit bijlage C. Daarnaast bevat de handreiking per bedreiging een beschrijving van (1) factoren die kwetsbaarheid voor deze bedreiging bepalen en (2) hoe de beveiligingsprincipes kunnen worden ingezet om de kwetsbaarheid te verminderen. Dit helpt de gebruiker van de GPG om praktische invulling te geven aan de kwetsbaarheidsanalyse.
7.2
ONDERZOEKSAANPAK De GPG is tot stand gekomen door een studie van literatuur over informatiebeveiliging en IT-beheer en een meervoudige case study. Deze meervoudige case study bleek noodzakelijk, omdat er wel veel beschreven is over technische oplossingen voor remote beheer maar niet over beveiliging van remote beheer vanuit een breder perspectief. Er zijn vijf organisaties betrokken in de meervoudige case study. Hieronder vallen IT service providers en grote organisaties met een professionele (eigen) IT-beheerorganisatie. Bij iedere organisatie is een interview gehouden met één of twee personen die ter zake - 39 -
kundig zijn. Dit waren met name security officers en IT-beheerders. De resultaten van de meervoudige case study zijn beschreven in hoofdstuk 5.
7.3
AANBEVELINGEN VOOR NADER ONDERZOEK
7.3.1
Scope GPG uitbreiden De GPG is gericht op het remote beheer van servers en meer specifiek van OSen die op de servers draaien. In nader onderzoek kan de GPG verder worden uitgebreid, zodat deze meer van het domein remote beheer omvat. Naast servers kunnen bijvoorbeeld ook andere IT-infrastructuurdelen worden meegenomen zoals routers, switches, werkstations en andere ‘managed devices’. De focus van de GPG verschuift dan van remote server beheer naar remote netwerk beheer. Het is ook mogelijk om delen van de basisinfrastructuur hierin mee te nemen, zoals noodstroomvoorzieningen en gebouwenbeheersystemen. Daarnaast kan naast het OS ook andere software uit de informatievoorziening worden meegenomen. Te denken valt aan (beheertoegang tot) toepassingsprogrammatuur en gegevensverzamelingen. Hierdoor vallen niet alleen taken uit het technisch beheer maar ook uit het functioneel en applicatiebeheer binnen de reikwijdte van de GPG.
7.3.2
Kwaliteit GPG verder verbeteren In paragraaf 1.3 is de onderzoeksmethodologie beschreven. Binnen de methodologie worden twee fases onderscheiden. Wij hebben alleen de eerste fase uitgevoerd. Deze bestaat uit het uitvoeren van een literatuurstudie en een meervoudige case study om tot een concept GPG, ofwel de hypothese, te komen. Fase 1 is beschrijvend en explorerend van aard. De tweede fase bestaat uit survey in de vorm van een sessie met een focusgroep. De focusgroep bestaat uit experts op het gebied van IT-beheer en beveiliging. In een discussie kunnen zij hun mening geven over de ‘kwaliteit’ van de GPG. Hierdoor wordt in de tweede fase de hypothese getoetst. Dit levert niet alleen inzicht op in de kwaliteit van de GPG maar kan ook gebruikt worden op deze verder te verbeteren. Het uitvoeren van fase 2 is een aanbeveling voor nader onderzoek. Er zijn vijf organisaties betrokken in de meervoudige case study. In nader onderzoek kan het aantal cases worden vergroot. Dit kan de kwaliteit van de GPG in het algemeen verder verbeteren, maar zou met name meer inzicht geven in de factoren die van invloed zijn op de kwetsbaarheid per bedreiging.
- 40 -
LITERATUURLIJST [BAAR09]
Baarda, D.B., Goede de, M.P.M., Teunissen, J.: Basisboek Kwalitatief Onderzoek. Noordhoff Uitgevers, 2009.
[BLOO08]
Have Mac Will Blog: What is a Service Processor? And Why Should I Care?. Online beschikbaar via http://www.havemacwillblog.com/. Geraadpleegd op 15 juni 2011.
[BOGN10]
Bognar, M.: Secure Network Administration. Collegesheets Postgraduate IT Audit Opleiding, Vrije Universiteit Amsterdam, 2010.
[BORD06]
Cyclades: Service Processor based management. Presentatie 2006.
[COMM03]
Communication News: KVM switch solves server expansion. Insurance services company chooses remote access over more IT personnel. Communication News, 2003.
[COMM05]
Communication News: Where’s the remote? Communication News, 2005.
[HADD05]
Haddon, L., M. Brynin: ‘The character of telework and the characteristics of teleworkers’, in: New Technology, Work and Employment, Volume 20, Issue 1 (2005), pp. 34-46.
[HOOG06]
Hoogendijk, L.: A Risk Analysis Methodology for Securing Teleworking. A survey within the Dutch national government., Master thesis (2006), Erasmus Universiteit Rotterdam.
[HOOG11]
Hoogendijk, L., Schajik van, J.: Beveiliging van telewerken: een praktische aanpak, in: de IT-auditor, 2 (2011), pp. 7-14.
[IFAC08]
International Federation of Accountants: Preface to IFAC’s International Good Practice Guidance. International Federation of Accountants, 2008.
[ISF97]
Information Security Forum: SPRINT User Guide. Information Security Forum, 1997.
[ISO05]
ISO/IEC: Information technology – Security techniques – Code of practice for information security management. ISO/IEC, 2005.
[KIST04]
Kistner, T.: New options for secure remote Access: 3am Labs debuts three control and management tools — two for free, in: NetworkWorld, 13-09-2004, pp. 33-34.
[KRUL01]
Krull, D.: Using Console Server Technology In Server Farm Environments, in: Computer Technology Review, juli 2001, pp. 22-24.
[KURL99]
Kurland, N.B., Bailey D.E.: ‘Telework: The Advantages and Challenges of Working Here, There, Anywhere, and Anytime’, in: Organizational Dynamics, autumn 1999, pp. 53-67.
[LOOI04]
Looijen, M.: Beheer van Informatiesystemen. terHagenStam uitgevers, 2004.
[NASS08]
Nasscom: The rising remote infrastructure management opportunity: Establishing India’s leadership. Nasscom, 2008.
[OVER00]
Overbeek, P., Lindgreen, E.R., Spruit, M.: Informatiebeveiliging onder controle. Pearson, 2000.
[PASS07]
Passos, I.: Put Service Processors to Work, in: Communications News, oktober 2007, pp. 41.
[PRAN08]
Prandini, M., Ramilli, M.: Redesigning remote system administration paradigms for enhanced security and flexibility, in: Computer Standards & Interfaces, 30 (2008), pp. 424-432.
[PROW00]
Prowten, M.: Console Server Technology, in: Computer Technology - 41 -
Review, december 2000, pp. 14-15. [REED05]
Reed, A.: Information technology and systems – II: server administration networks, in: Communications of the Association for Information Systems, Volume 15 (2005), pp. 642-660.
[RENO09]
RENOIR: NORA-katern Informatiebeveiliging. RENOIR, 2009.
[SULL04]
Sullivan, P.: Secure remote network administration and power management, Thesis (2004), Naval Postgraduate School California.
[TANE11]
Tanenbaum, S., Wetherall, D.J.: Computer Networks. Pearson, 2004.
[WIKI10]
Wikipedia: Remote administration. Online beschikbaar via http://en.wikipedia.org/wiki/Remote_administration. Geraadpleegd op 15 maart 2010.
[WONG08]
Wong, W.: Remote Support: Taking Control, in: www.baselinemag.com, december (2008), pp. 30-32.
- 42 -
BIJLAGE A: REFERENTIEMODEL NETWERKEN VAN TANENBAUM Een computernetwerk bestaat uit een groot aantal zelfstandige maar onderling verbonden computers die berichten met elkaar kunnen uitwisselen. De meeste netwerken zijn georganiseerd als een stapel lagen die op elkaar gebouwd zijn om complexiteit te verminderen. De naam, functie en inhoud evenals het aantal lagen variëren van netwerk tot netwerk. Het doel van iedere laag is om diensten aan de hoger gelegen lagen aan te bieden. Dit gebeurt via een interface. De interface verbergt de details van de implementatie van de diensten. Lagen communiceren onderling via protocollen. Een protocol is een overeenstemming tussen partijen over hoe communicatie plaats moet vinden. Een wijziging in protocollen in één laag heeft geen invloed op andere lagen zolang de interface hetzelfde blijft. Er zijn verschillende referentiemodellen voor computernetwerken. Wij zullen onze beschrijving van computernetwerken voortzetten op basis van het werk van Tanenbaum [TANE11] en het bijbehorende referentiemodel. Andere bekende referentiemodellen zijn het theoretische OSI-model en het in de praktijk veelgebruikte TCP/IP model. Het referentiemodel van Tanenbaum kent vijf lagen. In de onderstaande figuur is de relatie tussen deze lagen gevisualiseerd. De verticale pijlen illustreren de interfaces tussen de lagen en de horizontale gestippelde pijlen de protocollen per laag. De horizontale pijlen zijn gestippeld om aan te geven dat berichten in werkelijkheid niet direct worden getransporteerd van laag n op de ene machine naar laag n op de andere machine. In plaats daarvan doorloopt een bericht de lagen op de zendende machine van boven naar beneden. Iedere laag voegt een header toe aan het bericht. Deze header bevat control information zoals adressen, volgnummers, groottes en tijdstippen. Via het fysieke medium, geïllustreerd door de verticale balk onderin, worden de gegevens uiteindelijk getransporteerd. Vervolgens doorloopt het bericht op de ontvangende host de lagen van beneden naar boven. Iedere laag op de ontvangende host gebruikt de control information uit zijn header, verwijderd deze en geeft het bericht door aan de bovenliggende laag. host 1 host 2 nr. laag 5
applicatie
applicatie
4
transport
transport
3
netwerk
netwerk
2
datalink
datalink
1
fysiek
fysiek fysiek medium
protocol laag n interface tussen laag n en n + 1 Lagen uit een computernetwerk en hun onderlinge relatie
- 43 -
Fysieke laag De fysieke laag is de eerste laag van in referentiemodel. Het doel van de fysieke laag is om ruwe bits over een communicatiekanaal te verzenden. De fysieke laag moet ervoor zorgen dat een bit niet tijdens transport omdraait. Voorbeelden van zaken die hierbij een rol spelen zijn welke elektrische signalen worden gebruikt om een 1 of 0 te representeren, hoeveel nanoseconde een bit duurt, of transmissie tegelijkertijd in twee richtingen plaats mag vinden, hoe verbindingen worden opgezet en afgebroken, hoeveel pinnen een netwerkconnector heeft en waar iedere pin voor wordt gebruikt. De fysieke transportmedia bevinden zich onder de fysieke laag. Deze kunnen bekabeld of draadloos zijn. Veelvoorkomende bekabelde media zijn twisted pair, coax en glasvezel. Draadloze media zijn ondermeer radio, infrarood en satellieten. De eigenschappen van de verschillende transportmedia bepalen de prestaties zoals bandbreedte en error rate maar ook de mogelijkheid tot het aftappen van gegevens. Datacommunicatie over draadloze media bijvoorbeeld, is in beginsel makkelijker te onderscheppen dan over bekabelde media, zeker wanneer het bereik van het draadloze medium groot is. Glasvezel is weer moeilijker af te tappen dan andere bekabelde transportmedia. Datalinklaag De datalinklaag zorgt voor transport van data over een verbinding (link), bijvoorbeeld tussen de netwerkkaart van een computer en een router. De datalinklaag zet de ruwe bits van de fysieke laag om in pakketjes, ofwel frames, ten behoeve van de netwerklaag. De gegevens die worden doorgegeven door de fysieke laag kunnen veel fouten bevatten. De datalinklaag kan verschillende niveaus van error control bieden waardoor het mogelijk is om beschadigde frames te detecteren of corrigeren en verloren frames opnieuw te verzenden. Daarnaast biedt de datalinklaag flow control om te voorkomen dat een snelle zender een langzame ontvanger verzadigd. Adressering van componenten op de datalinklaag gebeurt op basis van het MAC-adres (Media Access Control). Vrijwel ieder netwerkapparaat heeft een vast en uniek, door de fabrikant ingegeven, MAC-adres. Netwerklaag De netwerklaag zorgt voor transport van data tussen twee eindpunten in een netwerk en is daarmee de eerste laag die te maken heeft met end-to-end communicatie. Een belangrijke taak van de netwerklaag is het routeren van pakketjes over het netwerk. De routes kunnen statisch of dynamisch zijn. In het eerste geval liggen de routes vast of worden per verbinding bepaald (connection-oriented). In het tweede geval wordt de route per individueel pakketje bepaald (connectionless). Een andere taak van de netwerklaag is het bieden van voldoende Quality of Service aan de hoger gelegen lagen. Belangrijke QoS aspecten zijn vertraging en gemiddelde doorlooptijd van pakketjes. Om end-to-end communicatie mogelijk te maken hebben de eindpunten een netwerklaag adres. Een eindpunt en het bijbehorende adres noemt Tanenbaum een NSAP (Network Service Access Point). IP is een voorbeeld van een netwerkprotocol dat op Internet wordt gebruikt. IP is connectionless. IP gebruikt IP-adressen als NSAP. Transportlaag De transportlaag ontvangt data van de applicatielaag, verdeelt deze waar nodig in kleinere eenheden en geeft deze door aan de netwerklaag. De transportlaag isoleert lager gelegen lagen van de applicatielaag zodat de (onvermijdelijke) veranderingen in hardware geen invloed hebben op de applicatielaag. De transportlaag bepaalt welke soorten service aan de applicatielaag geleverd worden. Pakketjes kunnen bijvoorbeeld al dan niet gegarandeerd foutloos en in volgorde van verzending worden afgeleverd.
- 44 -
Als een applicatieproces verbinding wil maken met een applicatieproces op een andere host moet deze applicatie specificeren waarmee hij verbinding wil maken. Hiertoe heeft de andere applicatie een transportadres waarop hij luistert naar connectieverzoeken. Dit is een specifiek eindpunt in de transportlaag. Het eindpunt en het bijbehorende adres noemt Tanenbaum een TSAP (Transport Service Access Point). UDP en TCP zijn voorbeelden van transportprotocollen die op Internet worden gebruikt. Ze zijn respectievelijk connectionless en connection oriented. UDP en TCP gebruiken poortnummers als TSAP. Applicatielaag De applicatielaag communiceert direct met de applicatie en geeft opdrachten aan de transportlaag. De applicatielaag levert zelf geen transportdiensten maar doet het echte werk voor de gebruikers. Voorbeelden van protocollen op de applicatielaag zijn http (World Wide Web), ftp (file transfer) en SSH (secure shell).
- 45 -
BIJLAGE B: VRAGENLIJST INTERVIEWS Onderzoek beveiliging van remote server beheer Overzicht van onderwerpen en vragen t.b.v. interview met … van XXXX Het doel van dit interview is om te inventariseren welke oplossingen voor remote server beheer bij XXXX worden toegepast, (2) welke beveiligingsmaatregelen daarbij zijn getroffen en (3) waarom voor deze oplossingen en maatregelen is gekozen. De resultaten van dit interview zullen, tezamen met die van interviews bij andere organisaties en IT-dienstverleners, worden gebruikt in een kwalitatieve analyse van de wijze waarop beveiliging van remote server beheer in de praktijk plaatsvindt. Deze analyse ligt aan de basis van een te ontwikkelen raamwerk dat organisaties helpt om de juiste ‘IB-architectuur’9 voor remote server beheer te kiezen. De werkdefinitie van remote server beheer is als volgt: Remote server beheer is het uitvoeren van IT-beheertaken door met een werkstation via een computernetwerk onder een beheeraccount in te loggen op één of meer servers vanaf locaties buiten de ruimten waarin deze servers zich fysiek bevinden. Dit interview is ‘open’ van aard. Dat wil zeggen dat de hierna genoemde onderwerpen vastliggen, maar de vragen niet. De vragen zijn slechts indicatief. Onderwerpen van het interview: 1. Globale inventarisatie van de context van remote server beheer. 2. Inventarisatie van de gebruikte oplossingen voor remote server beheer. 3. Inventarisatie van de getroffen beveiligingsmaatregelen rondom de gekozen oplossingen voor remote server beheer. 4. Inventarisatie van de ratio achter de gekozen oplossingen en maatregelen.
9
Het geheel van de remote server beheer oplossing en de en de beveiligingsmaatregelen daarbinnen.
- 46 -
Onderwerp 1: inventarisatie context remote server beheer Vragen 1. Welke componenten van de informatievoorziening worden remote beheerd en welke niet? Toepassingsprogrammatuur Gegevensverzamelingen IT-infrastructuurdelen (servers, routers, werkstations etc.) Basisinfrastructuur (stroomvoorziening, koeling, gebouwbeheersysteem etc.) 2. Waarom worden servers remote en niet lokaal beheerd? 3. Welke IT-beheertaken worden uitgevoerd via remote server beheer en welke niet? Functioneel beheer Applicatiebeheer Technisch beheer 4. Welke eisen worden gesteld aan de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van informatie op de servers die remote beheerd worden? Vanuit de doelstellingen van de organisatie Vanuit wet- en regelgeving Onderwerp 2: inventarisatie oplossingen voor remote server beheer Vragen 1. Hoeveel servers worden remote beheerd? 2. Wat zijn de kenmerken van de servers die remote worden beheerd? a. Zijn de servers fysiek en/of virtueel? b. Welke taken voeren de servers uit? (databaseserver, webserver, applicatieserver, domain controller etc.) c. Welke besturingssystemen draaien erop (Windows, Unix etc.) 3. Op welke manieren worden de servers op afstand benaderd? a. Welke specifieke protocollen (SSH, RDP, VPN etc.)? b. Welke architecturen (rechtstreeks van buitenaf benaderbaar, beheernetwerk, console server etc.)? 4. Via welke computernetwerken vindt remote server beheer plaats? Publieke computernetwerken (bijv. internet) Eigen computernetwerken (bijv. kantoornetwerk) 5. Wat voor werkstations/clients worden gebruikt voor remote server beheer? a. Welke soorten werkstations (desktop, laptops, tablets, smartphones etc.)? b. Wie beheert en onderhoudt de werkstations? 6. Vanaf welke locaties vindt remote server beheer plaats? Vaste locaties (op kantoor, in het huis van de beheerder etc.) Wisselende locaties
- 47 -
Onderwerp 3: inventarisatie getroffen beveiligingsmaatregelen Vragen 1. Welke logische beveiligingsmaatregelen zijn getroffen in het kader van remote server beheer. Meer specifiek rondom: a. Werkstation (bijv. fat client / thin client) b. Het computernetwerk (bijv. versleuteling, onweerlegbaarheid) c. Server (bijv. logische toegangsbeveiliging, autorisaties, logging, monitoring) 2. Welke organisatorische beveiligingsmaatregelen zijn getroffen in het kader van remote server beheer. Onderwerp 4: inventarisatie ratio achter gekozen oplossingen en maatregelen Vragen 1. Wat zijn de belangrijkste redenen dat voor de betreffende remote server beheer oplossingen is gekozen? 2. Wordt beveiliging van remote server beheer benaderd vanuit risicoanalyse en/of best practices? 3. Wat zijn de belangrijkste nadelen c.q. restrisico’s rond de gekozen remote beheer oplossingen?
- 48 -
BIJLAGE C: DE BEVEILIGINGSPRINCIPES In deze bijlage worden de beveiligingsprincipes voor remote server beheer beschreven. Per beveiligingsdoelstelling (A en B) zijn relevante beheersmaatregelen geformuleerd. Deze maatregelen zijn verder uitgewerkt in implementatierichtlijnen. Voor de beveiligingsprincipes hebben wij de structuur van de ‘Code voor Informatiebeveiliging’ (ISO/IEC 27002) gehanteerd. Deze structuur is in het onderstaande schema weergegeven. X
beveiligingsdoelstelling X.1 beheersmaatregel X.1.X implementatierichtlijn Opbouw van de beveiligingsprincipes
Bij de onderzoeksafbakening in hoofdstuk 4 (paragraaf 3) is aangegeven dat de GPG primair gericht is op technische beveiligingsmaatregelen. Daarom zijn de maatregelen en implementatierichtlijnen in deze bijlage technisch van aard. Voor beveiligingsdoelstelling A zijn vooral logische maatregelen van belang en voor -doelstelling B zowel logische als fysieke. Beveiligingsdoelstelling A
Uitsluitend geautoriseerde beheerders kunnen inloggen op de RAS die toegang verschaft tot het besturingssysteem van een server.
Beheersmaatregelen en implementatierichtlijnen Server A.1
Toegangsbeveiliging op netwerkniveau Identificatie- en authenticatiemechanismen waarborgen dat de NSAP’s die RAS ontsluiten alleen toegankelijk zijn voor geautoriseerde beheerders.
A.1.A
Beheernetwerken Het private netwerk wordt opgedeeld in netwerksegmenten. Hieronder vallen één of meer beheernetwerksegmenten. De servers, console servers of service processors zijn met één of meer NSAP’s gekoppeld aan het beheernetwerk. Deze NSAP’s zijn buiten het beheernetwerk niet benaderbaar. De RAS wordt uitsluitend ontsloten via NSAP’s die zijn gekoppeld aan het beheernetwerk. Identificatie en authenticatiemechanismen waarborgen dat uitsluitend geautoriseerde beheerders toegang hebben tot het beheernetwerk. [REED05] Op kantoorlocaties hebben beheerders fysiek toegang tot aansluitpunten van het private netwerk. Toegang tot het beheersegment vindt dan bijvoorbeeld plaats op basis van identificatie en authenticatie van het werkstation (bijv. MAC-adres of certificaat). Buiten kantoorlocaties, vanaf publieke netwerken (bijv. Internet), zetten beheerders eerst een VPNverbinding op. Hiermee worden ze onderdeel van het private netwerk. De VPN-verbinding wordt bijvoorbeeld opgezet na identificatie en authenticatie van de beheerder (bijv. gebruikersnaam, wachtwoord, token).
- 49 -
A.1.B
Stepping stones De servers, console servers of service processors zijn met één of meer NSAP’s gekoppeld aan een netwerksegment in het private netwerk. De RAS wordt uitsluitend ontsloten via NSAP’s die zijn gekoppeld aan dit netwerksegment. [BOGN10] Het is niet mogelijk om (buiten het private netwerk) rechtstreeks, ofwel op netwerkniveau, op dit netwerksegment in te loggen. In plaats daarvan moet eerst ingelogd worden op een stepping stone. Vanaf de stepping stone zijn de servers, console servers of service processors binnen het netwerksegment benaderbaar. De stepping stone is met één NSAP gekoppeld aan het interne netwerksegment en met een andere NSAP aan een extern netwerksegment zoals het Internet. RAS om in te loggen op de stepping stone wordt op deze laatste NSAP ontsloten. Een stepping stone kan een opstapserver of een gevirtualiseerde desktop zijn (zie paragraaf 5.3).
A.2
Toegangsbeveiliging op transportniveau Identificatie- en authenticatiemechanismen waarborgen dat de TSAP’s die RAS ontsluiten alleen toegankelijk zijn voor geautoriseerde beheerders.
A.2.A
A.3
Identificatie en authenticatie RAS is alleen toegankelijk nadat de beheerder zich met succes heeft geïdentificeerd en geauthenticeerd op de TSAP via welke deze RAS wordt ontsloten. In dit kader wordt bijvoorbeeld het IP-adres of het certificaat van het werkstation van de beheerder gecontroleerd. Toegangsbeveiliging op transportniveau kan bijvoorbeeld worden gerealiseerd met firewalls.
Toegangsbeveiliging op applicatieniveau (RAS) Identificatie- en authenticatiemechanismen waarborgen geautoriseerde beheerders in kunnen loggen op RAS.
dat
uitsluitend
A.3.A
Identificatie en authenticatie Een gebruiker kan alleen inloggen op RAS na succesvolle identificatie en authenticatie. Authenticatie kan plaatsvinden op basis van kennis, bezit, lichamelijke kenmerken of een combinatie van deze factoren. Bij gebruik van wachtwoorden is het mogelijk om eisen te stellen aan frequent wijzigen, lengte en complexiteit.
A.3.B
Centrale gebruikersdatabase en authenticatie De RAS op een individuele server heeft zo min mogelijk lokale gebruikersaccounts. In plaats daarvan is er een centrale database met RAS accounts van alle servers. Eventueel bevat deze ook accounts voor toegang tot andere componenten in het logische toegangspad, zoals console servers en service processors. Validatie van inloggegevens (gebruikersnaam, wachtwoord etc.) vindt plaats op centrale authenticatieservers.
A.3.C
Updates en patches De RAS wordt tijdig voorzien van de laatste updates en patches. Op deze manier worden (bekende) kwetsbaarheden in identificatieen authenticatiemechanismen van de RAS verholpen.
- 50 -
Datacommunicatie A.4
End-to-end-versleuteling van datacommunicatie Datacommunicatie tussen werkstation beheerder en server wordt zoveel mogelijk end-to-end versleuteld.
A.4.A
Versleuteling op applicatieniveau De RAS bestaat uit een client en een server applicatie. De client applicatie is geïnstalleerd op het werkstation en de serverapplicatie bijvoorbeeld op de server. De RAS zorgt voor versleuteling van datacommunicatie tussen de client en de server applicatie en voor wederzijdse authenticatie.
A.4.B
Versleuteling op netwerkniveau Er wordt een VPN-verbinding opgezet tussen het werkstation en het toegangspunt tot het beheernetwerk (de firewall). Al het netwerkverkeer over de VPN-verbinding wordt versleuteld. Bij het opzetten van de VPNverbinding vindt wederzijdse authenticatie plaats.
Werkstation A.5
Beveiliging werkstation Beveiligingsmaatregelen op het werkstation van de beheerder waarborgen dat het werkstation alleen toegankelijk is voor de geautoriseerde beheerder(s).
A.5.A
Werkstation uitgegeven en beheerd door organisatie De organisatie geeft werkstations uit en houdt deze in eigen beheer. De organisatie implementeert beveiligingsmaatregelen op het werkstation. Voorbeelden hiervan zijn een firewall, een virusscanner en logische toegangsbeveiliging. Beheerders hebben geen rechten om beveiligingsinstellingen op het werkstation aan te passen.
A.5.B
Gevirtualiseerde desktop Nadat de beheerder zich heeft aangemeld op de stepping stone, krijgt hij een gevirtualiseerde desktop. De gevirtualiseerde desktop wordt gehost op de stepping stone. Op de gevirtualiseerde desktop zijn alleen de beheerapplicaties beschikbaar die de beheerder nodig heeft. De beheerder heeft geen beheerrechten op de gevirtualiseerde desktop.
- 51 -
Beveiligingsdoelstelling B
Het besturingssysteem op een server is remote toegankelijk voor beheerders.
Beheersmaatregelen B.1
Out-of-band-management Er zijn maatregelen getroffen die ervoor zorgen dat de server toegankelijk is bij hardware- of softwarematige storingen op de server zelf of bij het uitvallen van de netwerkinfrastructuur waarmee de server normaliter benaderd wordt. B.1.A
Console toegang via fysieke poorten De systeemconsole van de server is benaderbaar via fysieke poorten die via een console server worden ontsloten naar een computernetwerk. Hierdoor is de server ook benaderbaar wanneer de software, zoals het besturingssysteem, vastloopt. Verder stelt console toegang de beheerder in staat om BIOS-instellingen te beheren en het gehele opstartproces te monitoren, zowel vóór, tijdens als na het laden van het besturingssysteem. De fysieke poorten zijn meestal Keyboard Video en Mouse (KVM) poorten of seriële poorten. Deze worden met kabels aangesloten op respectievelijk een iKVM switch of een serial console server. De console server heeft ook een NSAP. Via deze NSAP kan de beheerder inloggen op de console server om vervolgens de systeemconsole van de server te benaderen. Meestal wordt terminal emulator software (bijv. SSH of telnet) of een webbrowser gebruikt om in te loggen op de console server. [KRUL01] [PROW00] [COMM03]
B.1.B
Service processor De server is uitgerust met een service processor. Deze biedt ondermeer toegang tot de systeemconsole van de server, de mogelijkheid tot remote power cycling en toegang tot sensor informatie (temperatuur, stroom etc.). De meeste moderne servers beschikken over een service processor. Service processors zijn gescheiden van het CPU, OS en applicaties die op de server draaien. Daardoor zijn deze ook benaderbaar bij software- en hardwarematige storingen op de server. Ze worden meestal geïmplementeerd als een geïntegreerde processor, een dochterkaart van het moederbord of een volledig gescheiden PCI kaart. Service processors hebben een eigen NSAP of een fysieke poort. In het eerste geval kunnen ze rechtstreeks op een computernetwerk worden aangesloten en in het laatste geval kan dat via bijvoorbeeld een console server. [BORD06] [BLOO08] [PASS07]
B.1.C
Remote power management De server wordt via de stroomvoorziening herstart als deze is vastgelopen. Dit kan automatisch of door tussenkomst van de beheerder. De volgende methoden voor remote power management worden in de praktijk toegepast [SULL04]: Via een computernetwerk wordt op de UPS ingelogd. Na het inloggen kiest de beheerder welke van de aangesloten devices moet worden herstart. De UPS wordt benaderd via een in-band netwerk (bijv. Internet) of via een out-of-band netwerk (bijv. telefoonlijn). De UPS wordt aangestuurd met een touch-tone controller. Deze is onderdeel van of verbonden met de UPS. De beheerder belt via een - 52 -
telefoonlijn in op de controller om de herstart te activeren. Met touchtones geeft hij zijn wachtwoord door en welk device moet worden herstart. Op de server wordt heartbeat software geïnstalleerd. De UPS wordt hiermee verbonden en luistert naar de heartbeat. Als deze er niet is dan zorgt de UPS automatisch voor een power reset, zodat de server opnieuw opstart. B.1.D
Toegang via verschillende netwerkinfrastructuren De server is via verschillende netwerkinfrastructuren toegankelijk. Als de ‘productie’ ofwel in-band netwerkinfrastructuren uitvalt, bijvoorbeeld door storingen in haar componenten (routers, switches, bekabeling etc.), blijft de server via de ‘uitwijk’ ofwel out-of-band netwerkinfrastructuur benaderbaar. De server heeft hiertoe meerdere NSAP’s, bijvoorbeeld een reguliere netwerkkaart en een service processor, die via de verschillende netwerkinfrastructuren worden ontsloten. Het kan ook zijn dat niet de server zelf, maar alleen de console server of de stepping stone waarop deze is aangesloten via verschillende netwerkinfrastructuren toegankelijk is. Een out-of-band netwerkinfrastructuur wordt in de praktijk bijvoorbeeld gerealiseerd door toegang via een ‘leased line’ te combineren met toegang via het Internet of door toegang via het Internet te combineren met toegang via de telefoonlijn (inbellen).
B.2
Continuïteit toegangspad Er zijn maatregelen getroffen die ervoor zorgen dat het toegangspad tot de server voldoende beschikbaar blijft. Dit toegangspad bestaat uit de netwerkinfrastructuur en eventuele stepping stones of console servers. B.2.A
Redundant uitvoeren componenten netwerkinfrastructuur De componenten van de netwerkinfrastructuur (routers, switches, kabels etc.) zijn zoveel mogelijk redundant uitgevoerd. Het netwerkverkeer tussen het werkstation en de server kan dan worden omgeleid over andere componenten die nog wel operationeel zijn.
B.2.B
Stepping stone is ‘high availability’ omgeving De stepping stone of console servers zijn ‘high availability’ omgevingen. Hierdoor blijven ook de servers die zijn aangesloten op de stepping stone benaderbaar. Er zijn verschillende manieren om deze ‘high availability’ te realiseren. Het is aan te bevelen om console servers niet zelf te bouwen maar te betrekken van gerenommeerde leveranciers. De stepping stone kan worden gehost op verschillende hardware, zodat deze bij het uitvallen van individuele componenten beschikbaar blijft. Daarnaast kan deze worden gebouwd op basis van standaardoplossingen en ingericht conform de specificaties van leveranciers.
- 53 -
BIJLAGE D: BEDREIGINGEN / MAATREGELEN MATRIX Op de volgende pagina van deze bijlage is een bedreigingen / maatregelen matrix opgenomen. De bedreigingen en maatregelen zijn ingedeeld naar doelstelling (A en B). De bedreigingen uit hoofdstuk 4 zijn opgenomen als rijen en de beheersmaatregelen en implementatierichtlijnen uit bijlage C als kolommen. Als er een sterke relatie is tussen een bedreiging en beheersmaatregel of implementatierichtlijn is dat aangegeven door de letter ‘V’ in de cel waar deze samenkomen.
- 54 -
- Beheernetwerken - Stepping stones Toegangsbeveiliging op transportniveau - Identificatie en authenticatie Toegangsbeveiliging op applicatieniveau - Identificatie en authenticatie - Centrale gebruikersdatabase en authenticatie - Updates en patches End-to-end versleuteling van datacommunicatie - Versleuteling op applicatieniveau - Versleuteling op netwerkniveau Beveiliging van het werkstation - Werkstation uitgegeven en beheerd door organisatie - Gevirtualiseerde desktop Out-of-band-management - Console toegang via fysieke poorten - Service processor - Remote power management - Toegang via verschillende netwerkinfrastructuren Continuïteit toegangspad - Redundant uitvoeren componenten netwerkinfrastructuur - Stepping stone is high availabilty omgeving
A.1.A A.1.B A.2 A.2.A A.3 A.3.A A.3.B A.3.C A.4 A.4.A A.4.B A.5 A.5.A A.5.B B.1 B.1.A B.1.B B.1.C B.1.D B.2 B.2.A B.2.B
A.1 Identificatie- en authenticatiemechanismen RAS doorbroken V V V V V V V V V
A.2 Te laat ingetrokken bevoegdheden op RAS misbruikt V V V V V V
A.3 Ongeautoriseerde inzage in of manipulatie van datacommunicatie V V V
A.4 Ongeautoriseerde fysieke toegang tot werkstation V V V
A.5 Ongeautoriseerde logische toegang tot werkstation V V V
B.1 Technische storingen op de server V V V V V
B.2 Denial of service attack V V V V V
B.3 Datacommunicatie niet mogelijk V V V
B.4 Technische storingen op het werkstation Beheersmaatregelen en implementatierichtlijnen (uit bijlage C) Toegangsbeveiliging op netwerkniveau
Doelstelling A
Bedreigingen (uit H4) A.1
Doelstelling B
Doelstelling A Doelstelling B
V
V V V V
