Beveiliging van VenWnet bij externe koppelingen

Ministerie van Verkeer en Waterstaat Directoraat-Generaal

Rijkswaterstaat

Meetkundige Dienst

Beveiliging van VenWnet bij externe koppelingen

Ministerie van Verkeer en Waterstaat Directoraat-Generaal Rijkswaterstaat Meetkundige Dienst

Beveiliging van VenWnet bij externe koppelingen

Opdrachtgever

D i r e c t i e Organisatie & Informatie d r s . R.J. K u i p e r Postbus 20901 250 0 EX Den Haag

Opdrachtnemer

RWS Meetkundige D i e n s t A f d e l i n g IBI Postbus 5 023 2600 GA D e l f t

Datum

13 mei 1997

Rapportnummer:

MDIBI-9712

Focus van het onderzoek In j a n u a r i 1996 i s door de Meetkundige D i e n s t i n o p d r a c h t van de D i r e c t i e O r g a n i s a t i e & I n f o r m a t i e een onderzoek u i t g e v o e r d , w a a r i n de b a s e l i n e b e v e i l i g i n g van VenWnet i s v a s t g e s t e l d . Voor h e t handhaven van deze b a s e l i n e i s h e t n o o d z a k e l i j k de k o p p e l i n g e n met e x t e r n e netwerken en i n b e l v o o r z i e n i n g e n u i t s l u i t e n d v i a VenWnet t e l a t e n v e r l o p e n en deze adequaat t e b e v e i l i g e n . De Meetkundige D i e n s t h e e f t daarom a a n v u l l e n d onderzoek u i t g e v o e r d d a t z i c h r i c h t op de w i j z e waarop VenWnet gekoppeld kan worden aan e x t e r n e ( m o g e l i j k niet-VenW-) netwerken. D i t r a p p o r t i s h e t r e s u l t a a t van d a t onderzoek.

Conclusies B i j de i n t e r n e b e v e i l i g i n g van VenWnet wordt g e b r u i k gemaakt van een c o m b i n a t i e van o r g a n i s a t o r i s c h e en t e c h n i s c h e maatregelen. Wanneer e c h t e r een k o p p e l i n g wordt gemaakt t u s s e n VenWnet en e x t e r n e netwerken z a l een g r o o t d e e l van de o r g a n i s a t o r i s c h e maatregelen n i e t l a n g e r d o e l t r e f f e n d z i j n . B i j h e t b e v e i l i g e n van deze k o p p e l i n g z a l de nadruk daarom l i g g e n op t e c h n i s c h e maatregelen t e n e i n d e h e t i n t e r n e netwerk a f t e schermen tegen b e d r e i g i n g e n van b u i t e n a f . Een f i r e w a l l i s de b e l a n g r i j k s t e t e c h n i s c h e m a a t r e g e l voor h e t b e v e i l i g e n van h e t koppelpunt t u s s e n h e t i n t e r n e en h e t e x t e r n e netwerk. Het b e l a n g r i j k s t e d o e l van een f i r e w a l l i s h e t voorkomen dat onbevoegden toegang k r i j g e n t o t (de i n f o r m a t i e en d i e n s t e n op) VenWnet en h e t d e t e c t e r e n v a n pogingen t o t o n g e a u t o r i s e e r d e toegang. A f h a n k e l i j k v a n de b e d r e i g i n g d i e voorkomt u i t k o p p e l i n g met een s p e c i f i e k netwerk, z a l voor een b e p a a l d type f i r e w a l l worden gekozen. I n h e t algemeen g e l d t dat naarmate een f i r e w a l l meer bescherming b i e d t tegen b e d r e i g i n g e n u i t h e t t e k o p p e l e n netwerk, de t r a n s p a r a n c y (de mate waarin g e b r u i k e r s en n e t w e r k d i e n s t e n h i n d e r ondervinden van de f i r e w a l l ) en performance (de mate w a a r i n de aanwezigheid van de f i r e w a l l v e r t r a g i n g i n h e t netwerkverkeer o p l e v e r t ) n a d e l i g worden b e i n v l o e d . I n d i t r a p p o r t worden de v e r s c h i l l e n d e t y p e n f i r e w a l l s en de mate van bescherming d i e z i j b i e d e n beschreven, en e r wordt een a a n b e v e l i n g gedaan over de w i j z e waarop de k o p p e l i n g e n h e t b e s t g e r e a l i s e e r d kunnen worden. Het u i t g a n g s p u n t voor h e t b e v e i l i g i n g s m o d e l van VenWnet i s h e t b e v e i l i g e n van a l l e k o p p e l i n g e n t u s s e n VenWnet en andere (zowel l o k a l e a l s externe) netwerken. De bescherming op de koppelpunten wordt v e r z o r g d door een f i r e w a l l . A f h a n k e l i j k van de b e d r e i g i n g e n , d i e u i t h e t gekoppelde netwerk kunnen voortkomen, wordt voor een b e p a a l d type f i r e w a l l gekozen. Voor de k o p p e l i n g v a n h e t netwerk van een o r g a n i s a t i e - o n d e r d e e l van VenW aan VenWnet wordt v a n z e l f s p r e k e n d voor andere type f i r e w a l l gekozen dan b i j de k o p p e l i n g v a n een e x t e r n netwerk. Met name de k o p p e l i n g met I n t e r n e t v e r g t , vanwege de hoge mate van d r e i g i n g , een hoog n i v e a u v a n bescherming. I n h o o f d s t u k 8 van h e t r a p p o r t wordt h e t b e v e i l i g i n g s m o d e l van VenWnet u i t g e b r e i d beschreven.

Aanbevelingen Opwaarderen h u i d i g e f i r e w a l l Vanwege de hoge mate van d r e i g i n g d i e van het I n t e r n e t u i t g a a t , i s de f i r e w a l l d i e de k o p p e l i n g t u s s e n I n t e r n e t en VenWnet v e r z o r g t het b e l a n g r i j k s t e aandachtspunt. Het v e r d i e n t daarom de a a n b e v e l i n g i n een v e r v o l g o p d r a c h t de h u i d i g e f i r e w a l l t u s s e n I n t e r n e t en VenWnet conform de e i s e n u i t d i t r a p p o r t i n te r i c h t e n . V e r v o l g e n s kan een e x t e r n e p a r t i j worden g e s e l e c t e e r d om de k w a l i t e i t van de opgewaardeerde f i r e w a l l aan de hand van d i t r a p p o r t t e t o e t s e n . Toegestane p r o t o c o l l e n Naast de b e v e i l i g i n g door middel van een f i r e w a l l moet e r v o o r z i c h t i g worden omgesprongen met het g e b r u i k van bepaalde p r o t o c o l l e n , omdat deze g e m a k k e l i j k z i j n t e compromitteren. Het v e r d i e n t daarom de a a n b e v e l i n g voor de k o p p e l i n g met het I n t e r n e t s l e c h t s de volgende p r o t o c o l l e n t o e t e s t a a n : • U i t g a a n d v e r k e e r : T e l n e t , FTP, r - l o g i n , X l l , HTTP, gopher en NNTP; • Ingaand v e r k e e r : NTP, Secure T e l n e t , Secure S h e l l , anonymous-FTP en HTTP (de l a a t s t e twee a l l e e n met zogenaamde ' p u b l i e k e s e r v e r s ' , d i e op h e t p e r i m e t e r netwerk z i j n g e p l a a t s t en n i e t op het VenWnet z e l f ) ; • B i d i r e c t i o n e e l v e r k e e r : DNS en SMTP. Koppelingen aan e x t e r n e netwerken Uitgangspunt van het b e v e i l i g i n g s m o d e l i s dat a l l e k o p p e l i n g e n t u s s e n VenWnet en e x t e r n e netwerken adequaat b e v e i l i g d z i j n . Op deze w i j z e wordt een b a s i s b e v e i l i g i n g s n i v e a u ( b a s e l i n e ) van VenWnet g e c r e e e r d . Een onvoldoende b e v e i l i g d e k o p p e l i n g met een ' o n v e i l i g ' netwerk, h e e f t t o t g e v o l g dat VenWnet a l s geheel ' o n v e i l i g ' wordt. Het v e r d i e n t daarom de a a n b e v e l i n g i n b e l v o o r z i e n i n g e n en k o p p e l i n g e n met andere netwerken met de c e n t r a a l o p g e z e t t e v o o r z i e n i n g e n van VenWnet (met v a s t g e s t e l d en t e controleren beveiligingsniveau) te r e a l i s e r e n . B e v e i l i g i n g van hostsystemen en n e t w e r k d i e n s t e n Een f i r e w a l l b i e d t geen bescherming tegen ' i n t e r n e ' b e d r e i g i n g e n , de b e d r e i g i n g e n d i e binnen VenWnet z e l f o n t s t a a n . Ook b i e d t een f i r e w a l l geen bescherming tegen b e d r e i g i n g e n op n e t w e r k p r o t o c o l l e n d i e door de f i r e w a l l z i j n t o e g e s t a a n . Een f i r e w a l l i s daarom geen reden om de b e v e i l i g i n g van de n e t w e r k d i e n s t e n en hostsystemen op VenWnet t e verwaarlozen. Hostsystemen en n e t w e r k d i e n s t e n op VenWnet d i e n e n adequaat b e v e i l i g d t e z i j n . Gebruik van v i r u s s c a n n e r s Een f i r e w a l l b i e d t (over het algemeen) geen bescherming tegen v i r u s s e n en T r o j a a n s e p a a r d e n d i e door de f i r e w a l l heen kunnen worden opgehaald. Ook op andere w i j z e n kunnen systemen en a p p l i c a t i e s op VenWnet worden g e i n f e c t e e r d . Het g e b r u i k van v i r u s s c a n n e r s op het netwerk en werkplekken i s n o o d z a k e l i j k om het r i s i c o van v i r u s i n f e c t i e t e beperken.

Beveiliging van het VenWnet bij externe koppelingen

R W . ten W o l d e Pinewood Automatisering B V Delft

Samenvatting Doel van het onderzoek In navolging op een eerder uitgevoerde opdracht door B S O [Hoo96] waarin de baseline beveiliging van het VenWnet wordt vastgesteld, richt dit onderzoek zich op de netwerkbeveiliging van het VenWnet wanneer dit gekoppeld gaat worden aan externe (mogelijk niet-VenW) netwerken.

Bedreigingen in de netwerksfeer Bedreigingen vanuit het netwerk die de integriteit, exclusiviteit en beschikbaarheid van de VenW telematicadiensten en data op het VenWnet kunnen aantasten zijn terug te voeren op onderstaande oorzaken: • slecht beheerde, en daardoor slecht beveiligde, systemen; • aftappen van het netwerk, waardoor onbevoegden met de netwerkdatastroom kunnen meekijken of deze kunnen bei'nvloeden; • inherent onveilige applicatieprotocollen door het ontbreken van - of een te zwakke vorm van toegangscontrole (authenticatie); • manipulatie van netwerkprotocollen (op zowel datalink-, netwerk-, transport- en applicatieniveau); • opzettelijke overbelasting van het netwerk en uitputting van netwerk gebaseerde systeemresources, waardoor diensten (tijdelijk) kunnen uitvallen; • bedreigingen die nog niet onderkend worden of nog niet algemeen bekend zijn en later een rol kunnen gaan spelen. Een bijkomend aspect van bedreigingen in de netwerksfeer is dat indringers vaak onzichtbaar zijn en op grote afstand een aanval kunnen inzetten. Meestal zijn aanvallen moeilijk te detecteren en is de indringer achteraf zeer moeilijk te traceren.

Algemene beveiliging van netwerken Bij de beveiliging van interne netwerken (LANs) wordt gebruik gemaakt van een combinatie van technische en organisatorische maatregelen. Technische maatregelen dwingen een veiiig gebruik van de IT-middelen af. Om wille van de werkbaarheid van IT-sy stemen worden vaak met opzet te nemen technische maatregelen achterwege gelaten en wordt de beveiliging gebaseerd op aanvullende organisatorische maatregelen. Deze kunnen bijvoorbeeld bepaalde werkwijzen verbieden. Op ontduiking van de regels staan sancties. Tenslotte geldt voor een intern netwerk, dat dit fysiek is afgeschermd en dat het personeel dat toegang heeft tot het netwerk aan een toegangscontrole is onderworpen. Wanneer een koppeling wordt gemaakt tussen het interne netwerk en een extern netwerk, zullen een groot deel (zo niet alle) organisatorische maatregelen niet langer doeltreffend zijn. Dit effect wordt sterker naar mate de eigen organisatie minder invloed kan uitoefenen op het beheer en de gebruikers van het externe netwerk. B i j het koppelen van externe netwerken zal de nadruk van de beveiliging daarom op technische hulpmiddelen komen te liggen. Een zeer effectieve technische maatregel is het eigen netwerk zo veel mogelijk af te schermen van het externe netwerk door middel van het plaatsen van een netwerk firewall systeem.

vi

Firewalls Een firewall is een verzameling netwerkcomponenten die tezamen een beveiligde en controleerbare koppeling tussen een intern en extern netwerk vormt, waarbij het interne netwerk beveiligd wordt tegen bedreigingen uit het externe netwerk. De belangrijkste doelstellingen van een firewall zijn: • het zoveel mogelijk afschermen van het interne netwerk tegen toegang (lees: netwerk-verkeer) vanaf het externe netwerk. Dit echter met behoud van de gewenste functionaliteit. Dat wil zeggen dat slechts bepaalde veilige netwerkprotocollen worden toegestaan door de firewall. • vertragend werken bij een eventuele aanval door een indringer vanaf het externe netwerk. . detectie van een aanval op het interne netwerk of op het beveiligingssysteem zelf. In combinatie met de vertragende werking moet een aanval vroegtijdig verijdeld worden. • vastleggen van alle activiteiten in log files zodat een (half uitgevoerde) aanval achteraf zo goed mogelijk is te analyseren en eventueel de identiteit van de indringer is vast te stellen. Een goed ingerichte firewall zal een groot deel van de netwerkbedreigingen wegnemen. Bedreigingen waartegen een firewall geen bescherming biedt zijn: • bedreigingen die ontstaan ten gevolge van netwerkverbindingen die buiten de firewall om lopen. • bedreigingen die van binnen het interne netwerk ontstaan. • door de firewall binnengehaalde virussen en trojan-horses. • bedreigingen op netwerkprotocollen die door de firewall zijn toegestaan. • geheel nieuwe en nu nog onbekende bedreigingen. Een firewall levert dus een belangrijke bijdrage in de beveiliging van het interne netwerk maar is geen excuus voor het verwaarlozen van de interne beveiliging van hostsystemen en netwerkdiensten. Daarnaast moet een verstandige keuze worden gemaakt in welke netwerkprotocollen door de firewall van en naar het externe netwerk zijn toegestaan. Sommige protocollen zijn te gevaarlijk om doorgelaten te worden. Criteria bij het kiezen van een firewall Er bestaat een ruime keuze in de opbouw en inrichting (de architectuur) van een firewall. Welk type firewall op een gegeven moment moet worden ingezet bij het beveiliging van een intern netwerk, hangt af van onderstaande factoren: • de mate waarin de firewall het interne netwerk afschermt (en dus beveiligt) tegen bedreigingen uit het externe netwerk. • de kwaliteit van de firewall zelf (in hoeverre is de beveiliging zelf bestand tegen aanvallen). • de controleerbaarheid van de beveiliging (op welke wijze en in welke mate kan worden vastgesteld dat het beveiligingssysteem correct werkt). • de functionaliteit van de netwerkkoppeling (welke netwerkprotocollen worden door de firewall doorgelaten en welke zijn om beveiligings-technische redenen afgesloten). • de transparancy van de firewall (in hoeverre ondervinden telematicadiensten en gebruikers van het netwerk hinder van de aanwezige firewall). • de performance van de firewall (wat is het verlies in performance ten gevolge van het inzetten van een firewall).

© 1996, Pinewood Automatisering B.V.

Vll

• de kosten van de beveiliging. Veelal zijn de gewenste eisen in conflict met elkaar en zal een keuze gemaakt moeten worden voor het type firewall en de configuratie ervan. Er bestaat dus geen 'beste firewall' voor iedere situatie. Beveiligingsmodel van het VenWnet B i j de beveiliging van het VenWnet is uitgegaan van het opdelen van het gehele netwerk in kleinere delen die onderling tegen elkaar beschermd worden door het plaatsen van een beveiligde koppeling in de vorm van een firewall. De basis van het VenWnet wordt gevormd door de backbone. Hierop zijn de afzonderlijke dienstonderdelen van VenW aangesloten. Daarnaast is de backbone gekoppeld aan externe netwerken van organisaties die niet tot VenW behoren (bijvoorbeeld het RCC-net en het Internet). Het beveiligingsmodel gaat uit van het creeren van een basisbeveiliging van de backbone door de koppeling met externe netwerken zeer goed te beveiligen, waarbij de transparency en flexibiliteit van de koppeling van ondergeschikt belang is. De koppeling van ieder dienstonderdeel met de backbone vindt plaats door middel van een firewall waarbij een hogere prioriteit is gegeven aan de flexibiliteit en transparancy, zodat de telematicadiensten tussen verschillende dienstonderdelen zo min mogelijk gehinderd worden door de aanwezigheid van firewalls. De kwaliteit van de beveiliging van deze koppelpunten is lager dan theoretisch mogelijk, maar de bedreigingen uit de backbone zijn laag vanwege de hierop aanwezige basisbeveiliging. Koppeling naar het Internet De koppeling naar het Internet eist, in verband met de hoge mate van bedreigingen, een uitzonderlijk goede beveiliging. De firewall is gekozen met kwaliteit en controleerbaarheid als belangrijkste criteria. De overige eisen (functionaliteit, transparancy, performance en kosten) spelen een ondergeschikte rol.


VIII


Inhoud Samenvatting

v

1

Inleiding

1

2

Netwerkbeveiliging

5

2.1

Classificatie van bedreigingen

5

2.2

Netwerkbeveiligingsmodel

8

2.3

Afwegingen bij beveiligingsmaatregelen

10

2.4

Algemeen toepasbare beveiligingsstrategieen

11

3

Overzicht VenWnet

15

4

Afhankelijksheidsanalyse VenWnet

17

5

Betrouwbaarheidseisen VenWnet

19

6

Overzicht van bedreigingen in de TCP/IP protocolfamilie en generieke maatregelen

21

6.1

Het netwerk (OSI: physical and datalink layers)

21

6.1.1

Network sniffing op datalink niveau

22

6.1.2

A R P spoofing

23

6.1.3

Network jamming

24

6.2

Het IP en I C M P (OSI: network layer)

24

6.2.1

Sniffing op IP laag

25

6.2.2

IP source address spoofing

25

6.2.3

IP source routing

26

6.2.4

IP flooding

27

6.2.5

IP forwarding

27

6.2.6

IP fragmentatie

28

6.2.6.1

28

Tiny fragments

ix

6.2.6.2 6.2.7

6.2.8 6.3

6.4

Reassembly attacks

29

I C M P aanvallen

3 f J

6.2.7.1

I C M P destination unreachable

3q

6.2.7.2

I C M P source quench

31

6.2.7.3

I C M P redirects

3 1

6.2.7.4

I C M P router advertisement

32

6.2.7.5

I C M P address mask reply

32

Routing Protocollen

3

3

U D P en T C P (OSI: transport layer)

3

4

6.3.1

U D P and T C P port flooding

3

4

6.3.2

U D P and T C P reserved ports

3

4

6.3.3

T C P initial sequence number prediction

35

6.3.4

T C P session hijacking

3

g

De applicatieprotocollen (OSI: application layer)

3

6

6.4.1

Telnet

3

6

6.4.2

FTP

3

?

6.4.3

TFTP

3

g

6.4.4

S M T P (e-mail)

3

g

6.4.5

DNS

3

9

6.4.6

R-utils

3

9

6.4.7

NTP

6.4.8

SNMP

A n

Finger

40 ^

6.4.9

„ 40

6.4.10 X I 1 41 6.4.11 HTTP

4

2

6.4.12 N N T P

4

2

6.4.13 R P C

4

2

6.4.14 NIS 43 . 44 44 ^

6.4.15 N F S

A

6.4.16 Leverancier specifieke protocollen 6.4.17 Overigen Netwerkbeveiliging door middel van een 7.1 7.2

Definitie Beveiligingsmogelijkheden van een


firewall

47

firewall

47 47

firewall

A n

xi

7.3

7.2.1

Doel van een

7.2.2

Waartegen biedt een firewall geen bescherming

48

7.2.3

Invloed van een firewall op het netwerk

48

8

9

47

Firewall technieken 7.3.1

7.4

firewall

49

Network layer firewalls (IP packet 7.3.1.1

Statische IP packet

7.3.1.2

Dynamische IP packet

filters)

49

filters

49

filters

51

7.3.2

Application layer firewalls (proxy systemen)

52

7.3.3

Bastion hosts

53

Basis firewall architecturen

54

7.4.1

Screened network

54

7.4.2

Screened host

55

7.4.3

Screened subnet

57

7.4.4

Dual-homed bastion host

59

Beveiligingsmodel voor VenWnet bij koppeling met externe netwerken

61

8.1

Koppeling van intern netwerk met de VenWnet backbone

64

8.2

Koppeling van het VenWnet met het Internet

65

8.3

Koppeling van het VenWnet met overige externe netwerken

66

8.4

Virtual private networks

66

Kwetsbaarheidsanalyse VenWnet

69

9.1

Kwetsbaarheidsanalyse van applicatie-protocollen

69

9.2

Kwetsbaarheidanalyse van network layer firewall architecturen

71

9.3

9.2.1

Screened network architectuur op basis van een statisch packet

9.2.2

Screened network architectuur op basis van een dynamisch packet

filter filter

72 74

Kwetsbaarheidanalyse van application layer firewall architecturen

75

9.3.1

Screened host architectuur

75

9.3.2

Screened subnet architectuur

77

9.3.3

Dual-homed bastion host architectuur

77

10 Conclusies

79

A Lijst van afkortingen

81

Bibliografie

83


Xll

© 1996, Pinewood Automatisering B .

Hoofdstuk 1

Inleiding Probleemstelling Eind 1995 heeft een onderzoek plaatsgevonden naar de baseline beveiliging van het VenWnet. Dit onderzoek is uitgevoerd door B S O en gedocumenteerd in [Hoo96]. Het zwaartepunt van dit onderzoek ligt voornamelijk bij de interne beveiliging van het VenWnet in het geheel. De Meetkundige Dienst (MD), onderdeel van Verkeer en Waterstaat, heeft aan Pinewood Automatisering opdracht gegeven een vervolgonderzoek in te stellen. Hierin moet duidelijk worden aan welke eisen een netwerkkoppeling tussen het VenWnet en een extern netwerk moet voldoen. Vanwege de hoge mate van autonomiteit van een enkele VenW dienstonderdeel met betrekking tot de netwerkbeveiliging ten aanzien van het VenWnet, is tevens onderzocht op welke wijze een onderdeel van VenW gekoppeld moet worden aan de VenWnet backbone zelf.

Onderzoeksmethodiek De in dit onderzoek gehanteerde A & K methodiek is conform het op het V I R gebaseerde beleid voor Informatie beveiliging van VenW ([Min94] en [Min95]). In het kort doorloopt deze methodiek vijf afzonderlijke stappen: 1. In de afhankelijkheidsanalyse in kaart gebracht.

worden de afhankelijkheden van IT middelen voor de VenW organisatie

2. Hieruit volgen betrouwbaarheidseisen exclusiviteit van IT middelen.

ten aanzien van de criteria beschikbaarheid, integriteit en

3. De bedreigingen op eerder genoemde criteria van IT middelen worden vastgesteld. 4. Hierna wordt een set van maatregelen gekozen met als doel de bedreigingen af te schermen teneinde aan de betrouwbaarheidseisen te kunnen blijven voldoen. Dit is een iteratief proces waarbij onder andere een evenwicht moet worden gevonden tussen de mate van inspanning en het veiligstellen van de IT middelen. 5. In de kwetsbaarheidsanalyse bedreigingen afschermen.

wordt getoetst of de gekozen maatregelen in voldoende mate de

Daarna kan het informatiebeleid worden bijgesteld en kunnen de maatregelen worden gei'mplementeerd. Dit is nog eens weergegeven in figuur 1.1.

1

2 1.

Inform aliebeveiligingsbeleid

Inleiding

Bedreigingen

Afhankelijkheidsanalyse

Betrouwbaarheidseisen

Keuze van maatregelen

Maatregelen

Kwetsbaarheidsanalyse

Bijstellen beleid Uitvoeren maatregelen Bijstellen budget

Figuur 1.1: De A & K analyse in beeld.

Structuur van het rapport De structuur van het rapport volgt in grote lijnen de afzonderlijke fasen van de A & K analyse, alhoewel 6

V O l 8

r d e

i S

a f

e w e k e n

D

i

t

i s

Z ^ l 7 ° 8 gedaan om de noodzakelijke achtergrond kennis omtrent bedre.gmgen en eventueel te nemen maatregelen te presenteren. Voorafgaand aan de A & K analyse Ve

Cl

° Ti

TThnnrnT

g C g e V e n

m

e

n

t

£

d C

l

e

S p e d f i e k e

P

r o b l

a r C h i t e C t U U r

™ < * van netwerkbeveiliging (hoofdstuk 2)

h C t

V

C

n

W

n

e

t

o o f d S e n LTch r , ^ teerd. D* volgende drie hoofdstukken beschrijven de eerste dne stappen van de A & K analyse: de afhankelijkheidsanalyse de d e

) e d r e i g i n g C n

d i e

e e

Sti .! " netwerkkoppeling met zich meebrengt. Een belangrijk huhpmiddel bi, netwerkbeveihging is de zogenaamde firewall. Alvorens in hoofdstuk 8 het gekozen n

L w .

8 S

vTH

£22t

6

""I "

t C Z e

"

e n

'

W

°

r d t

C e r S t

n 3 d e l e n

"

h C t

V

°

0

r

^

a

V C r S C h i l I e n d e

n

d

e

h

t y P C n

o

o

«

firCWaI1S

een overzicht geschetst van de ( h 0

A& T " "voortgezet^met de kwetsbaarheidsanalyse. in hoofdstuk 9 de A &K K analyse

°

f d S t U k

? )

T e n s l

°»

e

W O r d t

Beperkingen Er is in dit onderzoek slrikt gekeken naar de netotrk-Mlmische n

e

ond^t7p rote „ " g

k 0 P P e

"

n g e n

'


aspecten bij he. gebruik van TCP/IP

« * — «

n = . w « r k b « v e i ^ i „ zijn 8

in

d i t

3

Terminologie De meeste standaard werken over firewalls en netwerkbeveiliging zijn in de Engelse taal geschreven. Er is met opzet voor gekozen om de in dit rapport gebruikte terminologie niet naar het Nederlands te vertalen. Een lijst van gebruikte afkortingen is opgenomen in appendix A . Daar waar het persoonlijk voornaamwoord 'hem' of 'zijn' gebruikt wordt moet vanzelfsprekend 'hem of haar' respectievelijk 'zijn of haar' gelezen worden.


1. Inleiding


Hoofdstuk 2

Netwerkbeveiliging Netwerkbeveiling behelst het beveiligen van data, hostsystemen en applicaties waarbij bedreigingen ontstaan vanuit het netwerk. De door de Meetkundige Dienst gehanteerde begrippen ten aanzien van de beveiliging zijn (uit [Min94]): • exclusiviteit — de mate waarin toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden; • integriteit — de mate waarin een informatiesysteem zonder fouten is; • beschikbaarheid — de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft. Bij netwerkbeveiliging gaat het om het handhaven van de exclusiviteit, de integriteit en beschikbaarheid van data welke is opgeslagen op hostsystemen of wordt getransporteerd over het netwerk. Daarnaast moet de integriteit en beschikbaarheid van de hostsystemen zelf en de daarop draaiende netwerkdiensten worden beschermd. Voorwaarde voor de beschikbaarheid van eerder genoemde data, hostsystemen en applicaties is de beschikbaarheid van het netwerk zelf. Bij netwerkbeveiliging gaat het om het minimaliseren van de risico's die voortvloeien uit de bedreigingen. Een 100% zekere beveiliging bestaat niet. Het gaat erom in te zien aan welke bedreigingen een netwerk bloot wordt gesteld bij koppeling aan een ander netwerk en hoe deze bedreigingen zo goed mogelijk afgeschermd kunnen worden. Speciale aandacht moet worden besteed aan het controleren of een eventuele aanval plaats vindt op basis van de minder goed af te schermen bedreigingen.

2.1

Classificatie van bedreigingen

Bedreigingen kunnen in verschillende klassen worden ingedeeld: • uitlekken van informatie, • denial-of-service aanvallen, • aanvallen op hostsystemen, • falen van authenticatiemechanismen, • falen van netwerkprotocollen en

5

6

2.

Netwerkbeveiliging

• overige bedreigingen.

Uitlekken van informatie Met het uitlekken van data op een netwerk wordt bedoeld het aftappen van het netwerk om op die wijze c o n f i d e n t s data te verkrijgen. Dit aftappen, ook wel network sniffing genoemd, hoeft niet op het fysieke interne netwerk plaats te vinden, maar kan op ieder willekeurig netwerk waarover IP-verkeer tussen twee hosts wordt uitgewisseld. Door in te grijpen op de IP routeringsregels kan dit verkeer zelfs omgeleid worden om zodoende over een voor een computervandaal toegankelijk netwerk gerouteerd te worden. Bij network sniffing is de exclusiviteit van de getransporteerde data in gevaar. Een bijzondere vorm van c o n f i d e n c e data die op die wijze in verkeerde handen kan vallen zijn authenticatiegegevens. Dit zijn bijvoorbeeld passwords die in onversleutelde vorm over het netwerk worden verstuurd wanneer gebruikers ot clients inloggen op serverapplicaties. Algemene maatregelen ter voorkoming van network sniffing zijn het fysiek beveiligen van het gehele netwerk waarover het verkeer tussen twee IP hosts loopt, inclusief alle andere gekoppelde netwerken waarover IPverkeer gerouteerd kan worden. Hierbij moet de beheer-organisatie volledige controle hebben over alle aangesloten hostsystemen en eventueel nieuw aan te sluiten systemen. Netwerk sniffing programmatuur mag met ter beschikking staan aan onbevoegden en er mogen niet ongecontroleerd (nieuwe) hostsystemen worden aangesloten op het netwerk. In het geval er niet aan deze eis kan worden voldaan, moeten in ieder geval de authenticatiegegevens versleuteld verstuurd worden. Wanneer de data zelf confidentieel is, moet ook deze in versleutelde vorm over het netwerk getransporteerd worden.

Denial-of-service aanvallen Denial-of-service aanvallen bedreigen de beschikbaarheid van het gehele netwerk, afzonderlijke hostsystemen of netwerkdiensten en daarmee de beschikbaarheid van opgeslagen of te transporteren data. Dit soort aanvallen kan plaatsvinden vanaf iedere host die in staat is op IP-niveau een netwerk, host of netwerkdienst te benaderen. De enige vorm van beveiliging tegen denial-of-service aanvallen is het isoleren dan wel afschermen van een netwerk, host of netwerkdienst van IP-verkeer dat van buiten het eigen, gecontroleerde netwerk komt.

Aanvallen op hostsystemen Iedere host die via het netwerk (IP-laag) is te benaderen, is kwetsbaar voor aanvallen op het systeem zelf Hierbij gaat het om het ongeautoriseerd toegang verkrijgen tot de host en de opgeslagen data of bepaalde netwerkdiensten. Dit soort aanvallen is ofwel gebaseerd op het falen van het authenticatieproces of maakt misbruik van bugs in netwerkservers die op de host actief zijn. Bij compromittatie van een host of netwerkdienst is er in het ergste geval een potentieel verlies van de exclusiviteit integriteit en beschikbaarheid van alle opgeslagen data. Tevens is de integriteit en de beschikbaarheid van het gecompromitteerde systeem met alle hierop draaiende applicaties in gevaar. Algemene beveiligingsmaatregelen zijn: het zo veiiig mogelijk configureren van iedere host die op netwerk niveau is te benaderen door systemen die buiten de controle-sfeer van de eigen organisatie vallen, dan wel het afschermen van deze hosts op netwerk niveau; de kans dat een systeem gecompromitteerd wordt is kleiner, als dat systeem met vanaf een extern netwerk benaderd kan worden.

Falen van authenticatiemechanismen Authenticatie is het proces van het vaststellen van de identiteit van een persoon of client, die toegang vraaet tot een bepaalde netwerkservice. Er zijn verschillende vormen van authenticatie-


2.1. Classificatie van bedreigingen

7

• Geen — Er vindt geen authenticatie plaats en toegang wordt verleend op basis van anonimiteit. Ieder systeem dat een netwerkverbinding met de host of applicatie kan maken, kan toegang verkrijgen tot de dienst. • Hostauthenticatie — Authenticatie is gebaseerd op de identiteit van een host. Deze wordt afgeleid uit de hostnaam, het IP-adres of wordt op cryptografische wijze verkregen. Eventueel wordt de authenticatie mede gebaseerd op de user-identiteit van het aanroepende proces (in Unix de UID/GID combinatie). Hierbij wordt verondersteld dat dezelfde persoon een gelijke numerieke UID/GID combinatie heeft op beide systemen. • Userauthenticatie — Authenticatie voor een individuele gebruiker. Deze vorm maakt meestal gebruik van een password (geheime informatie) die aan de serverapplicatie moet worden aangeboden alvorens toegang kan worden verkregen. Wanneer dit password onversleuteld over het netwerk wordt verstuurd en het netwerk zelf kan worden afgeluisterd, bestaat het risico dat het password in verkeerde handen valt. Een methode om bescherming te bieden tegen het afluisteren van onversleutelde passwords over het netwerk wordt verkregen met zogenaamde one-time password systemen, zoals S/Key, SecurelD en Enigma. Een andere aanpak is gebruik te maken van cryptografische authenticatie waarbij alle authenticatiedata versleuteld over het netwerk wordt getransporteerd. Hierbij kan het sleutelbeheer (Engels: key management) een probleem zijn. Authenticatie kan op verschillende manieren falen: • Een netwerkdienst die geen authenticatie vereist, verschaft confidentiele data of de integriteit van de applicatie is anderszins in het geding. • Hostauthenticatie vindt plaats op basis van de hostnaam of het IP adres. Beiden kunnen gemakkelijk gespoof'd worden (zie paragrafen 6.2.2 en 6.4.5). • Er vindt authenticatie plaats op basis van UID/GID, maar deze zijn voor een bepaalde gebruiker niet gelijk op het client- en serversysteem. Ook kan het UID/GID gemakkelijk gespoof'd worden. • Er vindt userauthenticatie plaats op basis van een password dat onversleuteld over het netwerk wordt getransporteerd Dit kan worden afgeluisterd middels network sniffing. • Er vindt authenticatie plaats op basis van passwords of encryptiesleutels en deze zijn op enigerlei wijze in verkeerde handen gevallen. • Authenticatie vindt initieel plaats aan het begin van een TCP-sessie. Door middel van T C P session hijacking kan een derde de sessie (en hiermee de identiteit van de oorspronkelijke client) overnemen. • B i j cryptografische authenticatie — verreweg de meeste veilige vorm — kan de distributie en het beheer van de sleutels een probleem zijn. Wanneer de authenticatie faalt zijn de gevolgen ten aanzien van de exclusiviteit, integriteit en beschikbaarheid van het netwerk, de data, hostsystemen en applicaties catastrofaal.

Falen van netwerkprotocollen Een laatste vorm van bedreiging is het falen van de netwerkprotocollen zelf. Door inherente ontwerpfouten of door een slechte implementatie van een protocol kunnen bedreigingen ontstaan. Een goed voorbeeld hiervan is ' T C P initial sequence number prediction', beschreven in paragraaf 6.3.3.


8

2.

Netwerkbeveiliging

Overige bedreigingen Overige bedreigingen die niet in een van bovenstaande classificaties zijn in te delen, zijn: • Aanvallen op het beveiligingssysteem zelf. De kwaliteit van het beveiligingssysteem zelf bepaalt in belangrijke mate in hoeverre dit is beschermd tegen bedreigingen. • Aanvallen op subsystemen ter ondersteuning van een eerder geclassificeerde bedreiging. Een aanval wordt vaak ondersteund door het misleiden van andere onderdelen van de beveiliging of van het netwerk. • Aanvallen op encryptiesystemen. Wanneer encryptie is gebaseerd op een te klein aantal bits in het versleutel-algorithme, kan deze door brute rekenkracht worden gebroken. Ook een slecht sleutelbeheer (Eng: key management) kan de oorzaak zijn van compromittatie van encryptiesystemen, wanneer de geheime sleutels in verkeerde handen vallen. • Tenslotte is er altijd een overblijvende groep van nieuwe, nog onbekende bedreigingen. Algemene aanwijzingen Wanneer de onderstaande richtlijnen worden gehanteerd bij het ontwerpen van nieuwe netwerkapplicaties, valt een groot deel van de eerder genoemde bedreigingen automatisch weg: • Wantrouw in principe iedere vorm van informatie die over het netwerk wordt aangeboden. • Voorkom het in oversleutelde vorm versturen van authenticatiedata. Maak gebruik van onetime password systemen, zoals S/Key, SecurelD of Enigma. Eventueel kan voor cryptografische authenticatie gekozen worden, waarbij alleen versleutelde authenticatiedata over het netwerk wordt getransporteerd. Maak geen gebruik van zwakke hostauthenticatie op basis van onder andere de hostnaam, het IP source adres, UID/GID combinatie, enzovoorts. In plaats hiervan moet cryptografische hostauthenticatie gebruikt worden. Maak gebruik van end-to-end point encryptie voor de datastroom. onbeveiligd netwerk is dan altijd mogelijk.

Veiiig transport over een

• Maak gebruik van end-to-end point encryptie voor T C P sessies die initieel de sessie authenticeren. Dit voorkomt het falen van de authenticatie ten gevolge van TCP session hijacking. Helaas voldoen de meest gebruikte standaard protocollen en netwerkservices niet aan deze richtlijnen, zodat extra beveiligingsmaatregelen noodzakelijk zijn. Tegenwoordig raakt men meer doordrongen van de eisen die aan moderne netwerkapplicaties gesteld worden en zijn nieuwe protocollen standaard voorzien van cryptografische authenticatie en end-to-end point dataencryptie. Voorbeelden hiervan zijn de nieuwe 'secure Telnet' (stel(I)), een vervanger voor Telnet en de 'secure shell' (ssh(l)), een vervanger voor de Berkeley r-utilities.

2.2


De wijze waarop bedreigingen vanuit een extern gekoppeld net worden afgeschermd kan op verschillende manieren gebeuren. Geen beveiliging Alleen indien de kosten van een beveiliging niet opwegen tegen de bedreigingen, of wanneer deze zeer laag worden ingeschat dan wel afwezig zijn, kan gekozen worden voor een volledige en onbeveiligde koppeling met een extern netwerk. Op deze optie wordt verder niet ingegaan.


2.2.

9


Security through obscurity Bij security through obscurity is de beveiliging gebaseerd op een geheime implementatie, werkprocedure of geheim algorithme. Deze vorm van beveiliging werkt meestal maar voor korte tijd. Een groot probleem met deze vorm van beveiliging is dat het niet traceerbaar is welke personen op de hoogte zijn van de geheimen van de beveiliging. Tevens raakt, wanneer het geheim uitlekt, de beveiliging gecompromitteerd en kan deze niet eenvoudig aangepast worden. 'Security through obscurity' is geen goede basis voor beveiliging.

Host beveiliging Een andere wijze van beveiliging komt neer op het beveiligen van iedere afzonderlijke host die benaderbaar is (via IP) vanaf het externe netwerk. Deze methode is niet schaalbaar met het aantal hosts op het interne netwerk, de beheersinspanning is namelijk evenredig met het aantal te beveiligen machines. De operationele kosten om de beveiliging in stand te houden en te controleren zijn zeer hoog. Daarnaast is met host beveiliging het interne netwerk zelf nog niet beveiligd en is er geen enkele vorm van beveiliging tegen denial-of-service aanvallen. 1

Netwerkbeveiliging door middel van een beveiligingsdomein Het meest praktische model voor netwerkbeveiliging is dat van een beveiligingsdomein. Binnen dit domein wordt gesteld dat eerder genoemde bedreigingen afdoende zijn afgeschermd. Wanneer nu een koppeling wordt gemaakt met een extern netwerk geldt dat nieuwe bedreigingen ontstaan op het domein, vanuit dat externe netwerk. Deze bedreigingen moeten nu worden afgedekt door maatregelen op het koppelpunt tussen het interne en externe netwerk. Een technische maatregel is het plaatsen van een firewall tussen de te koppelen netwerken. Door de koppeling met het externe netwerk door middel van een firewall wordt het beveiligingsdomein uitgebreid met het externe netwerk, zij het dat daar andere beveiligingseisen gelden dan binnen het interne beveiligingsdomein. De beveiligingsmaatregelen die getroffen worden op het koppelpunt zijn altijd een afweging tussen de gewenste functionaliteit en de mate waarin externe bedreigingen worden afgeschermd. Meer hierover in paragraaf 2.3. Netwerkbeveiliging door middel van een firewall bewerkstelligt dat de groep van hosts, die direct vanuit een extern netwerk zijn te benaderen, zo klein mogelijk wordt gehouden. Een machine die niet via het netwerk te benaderen is, wordt niet blootgesteld aan eventuele bedreigingen die via dat netwerk ontstaan. Op machines die nog wel via het externe netwerk zijn te benaderen moeten bedreigingen zo goed mogelijk worden afgeschermd door een zeer goede hostbeveiliging.

Gesplitst beveiligingsdomein Een speciale vorm van het model van een beveiligingsdomein is wanneer twee of meerdere netwerken elkaar onderling vertrouwen maar zijn gekoppeld via een extern netwerk. Dit is weergegeven in figuur 2.1. Bedreigingen worden dan niet verwacht van systemen uit elkaars netwerken, maar wel van systemen die anderszins op het externe netwerk gekoppeld zijn. Dit model kan worden verkregen door gebruik te maken van een zogenaamd Virtual Private Network (VPN). Dit wordt bereikt door op beide locaties een speciale encryptie-eenheid te plaatsen die al het verkeer tussen de locaties versleutelt. Er wordt dus wel gebruik gemaakt van een onveilig netwerk als transportmedium, maar alle data is op netwerkniveau versleuteld. De op deze wijze ontstane koppeling is te beschouwen als een prive netwerk. 'Wanneer de dagelijkse controle op de beveiliging per host tien minuten tijd kost — en dit is een zeer optimistische schatting — moet voor iedere vijftig machines een man-jaar tijd worden gereserveerd.


10

2.

Netwerkbeveiliging

netwerk locatie

1

intern beveiligingsdomein^

netwerk locatie

2

Figuur 2.1: Netwerkbeveiliging bij een gesplitst beveiligingsdomein. De netwerken op locaties 1 en 2 vertrouwen elkaar onderling en vormen een beveiligingsdomein. Het tussenliggende externe netwerk wordt echter met vertrouwd.

2.3

Afwegingen bij beveiligingsmaatregelen

De zes belangrijkste factoren voor het bepalen van de beveiligingsmaatregelen op een koppelpunt tussen twee netwerken zijn: r

• het beveiligingsniveau - in hoeverre worden de bedreigingen afgeschermd en wat is de kwaliteit van het beveiligingssysteem zelf, • de controleerbaarheid worden vastgesteld,

in welke mate kan het correct functioneren van het beveiligingsysteem 6

3

• de functionaliteit — welke netwerkfunctionaliteit biedt de koppeling, • de transparancy gingsmaatregelen,

in hoeverre hebben gebruikers en client/server-applicaties last van de beveili-

• de performance — wat zijn de performanceverliezen ten opzicht van een niet beveiligde koppeling, • de kosten — wat zijn de initiele hard- en software kosten van de beveiliging.


2.4. Algemeen

toepasbare

11

beveiligingsstrategieen

Een ideaal systeem levert een zo hoog mogelijk beveiligingsniveau tegen zo laag mogelijke kosten. Tegelijkertijd is de transparancy maximaal en levert het geen performanceverlies ten opzicht van een onbeveiligde koppeling. In de praktijk zijn bovenstaande factoren in conflict met elkaar. Een hoger beveiligingsniveau resulteert meestal in een mindere mate van transparancy, een afnemende performance en soms hogere kosten. Een verbetering van de transparancy, bij een gelijkblijvend beveiligingsniveau, leidt tot hogere kosten en soms een afnemende performance. Een hogere performance, bij een gelijkblijvend beveiligingsniveau en transparancy, leidt zeker tot significant hogere initiele kosten. Een optimale afstemming zal per situatie gemaakt moeten worden. De functionaliteit van de koppeling is meestal alleen afhankelijk van de mate van het beveiligingsniveau. Hoe beter de afscherming tegen potentiele bedreigingen vanaf het externe netwerk, des te groter het aantal interne hosts dat volledig afgeschermd is, maar des te groter het aantal netwerkprotocollen dat niet doorgelaten mag worden en dus niet over de koppeling werkt. Naast de initiele kosten van een beveiligingssysteem zijn er nog de kosten voor het configureren van het systeem en de operationele kosten.

2.4

Algemeen toepasbare beveiligingsstrategieen

Hieronder volgt een achttal algemeen toepasbare beveiligingsstrategieen. Alhoewel deze van toepassing zijn op een willekeurige vorm van beveiliging, is de nadruk gelegd op netwerkbeveiliging door middel van een firewall. Het aantal strategieen en de mate waarin deze worden toegepast in een beveiligingssysteem bepaalt de kwaliteit van dat systeem. Een goede beveiliging maakt van zoveel mogelijk strategieen gebruik. Vanwege het algemeen gebruik in de internationale literatuur is de Engelse terminologie niet vertaald naar het Nederlands. Least Privilege De strategie van least privilege betekent dat er zo min mogelijk rechten verleend moeten worden om een bepaalde taak uit te voeren. Een Unix programma dat geen superuser privilege nodig heeft moet dan ook niet draaien met een (effectieve) UID van 0. Compromittatie van een dergelijk programma leidt dan niet onmiddellijk tot het eventueel verkrijgen van superuser privileges op het systeem. Als superuser privilege gedurende korte tijd nodig is moet het programma slechts gedurende die tijd met die privileges draaien. 2

Defense in Depth Defense in depth houdt in dat er meerdere (eventueel redundante) niveau's van beveiliging aanwezig zijn. Een voorbeeld uit het dagelijks leven is de betaalpas voor geldautomaten. Alvorens geld kan worden opgenomen is zowel de kaart als een pincode noodzakelijk. Compromittatie van een van beide geeft nog geen toegang tot de bankrekening. Defense in depth wordt in belangrijke mate toegepast als vertragingstactiek in firewalls om zodoende de kwaliteit ervan te vergroten. Naarmate een computervandaal langer bezig is door de beveiliging heen te komen, wordt de detectiekans groter en is er meer tijd om op de (nog niet voltooide) aanval te reageren. In 2

Het Unix send mail programma zondigt onder andere tegen het least privilege kenmerk. Sendmail heeft slechts gedurende korte tijd superuser privilege nodig. Het draait echter constant met die rechten. In het geval sendmail gecompromitteerd raakt - en dit is in het verleden verschillende malen gebeurd en zal zeker in de toekomst opnieuw gebeuren - staat de computervandaal superuser privileges tot zijn beschikking.


12

2.

Netwerkbeveiliging

het gunstigste geval is de computervandaal geheel niet in staat door het tweede niveau van beveiliging heen te breken. 6

Choke Point De choke point strategie wordt het best uitgelegd aan de hand van het voorbeeld van een kassa bij een supermarkt. Alle klanten worden, voordat zij de winkel kunnen verlaten, geforceerd via een punt naar buiten geleid. Op dit zelfde punt is de beveiliging geimplementeerd in de vorm van het afrekenen van de goederen. Bij netwerkbeveiliging is de firewall het choke point. Veel beveiligingseisen worden op dit punt technisch atgedwongen en er is een goed gedefinieerd punt waar controle kan worden uitgeoefend. Weakest Link Ieder beveiligingssysteem kent een zogenaamde weakest link. Dit is vaak het punt waarop een aanval gericht wordt. De weakest link in een systeem moet extra aandacht krijgen met betrekking tot controle en inspectie op juiste werking. Van een beveiligingssysteem moet daarom de weakest link onderkend worden. Fail-Safe Mode De fail-safe mode van een systeem geeft aan op welke wijze het systeem faalt - eventueel in geval van compromittatie. Wanneer een component uit de beveiliging faalt, hetzij door een bug, hetzij moedwillig ten gevolge van een aanval, zal dit zo moeten gebeuren dat het op een veilige manier uitvalt B i j netwerkbeveiliging houdt dit bijvoorbeeld in dat alle toegang geweigerd moet worden. Dit betekent voor de bonande gebruikers dat de service wegvalt, maar dit is altijd beter dan dat een computervandaal zich meer toegang kan verschaffen dan onder normale omstandigheden is toegestaan. Een zeer nauw aan het 'fail-safe mode' gerelateerd begrip is de stance (het uitgangspunt) waarop de gehele beveiliging is gebaseerd. Hiervan zijn twee mogelijkheden: • Default Deny Stance — Alles wat niet expliciet is toegestaan, is verboden; • Default Permit Stance — Alles wat niet expliciet is verboden, is toegestaan. Uit het oogpunt van een goede 'fail-safe mode' moet gekozen worden voor de 'default deny stance'. Het meest overtuigende argument tegen de 'default permit stance' is dat alleen bekende bedreigingen worden atgeschermd door een verbodsregel. Het systeem staat open voor nog onbekende nieuwe bedreigingen In geval van netwerkbeveiliging is de 'default deny stance' de enig juiste keuze. Simplicity Een heel belangrijke beveiligingsstrategie is die van simplicity. Een eenvoudig systeem is gemakkelijk te overzien. Hierdoor is de kans op ontwerpfouten en configuratiefouten kleiner. Ook kan de juiste werking van een eenvoudig systeem makkelijker worden aangetoond dan bij een ingewikkeld en moeilijk te overzien systeem. Dit geldt zowel in de ontwerpfase als tijdens de werking van het systeem. Tenslotte geldt in het algemeen dat een klein en simpel systeem minder kans op fouten (bugs) bevat, waardoor ook het aantal security bugs kleiner is. 3

Diversity of defense Extra beveiliging kan worden verkregen door een systeem op te bouwen uit verschillende type componenten. p r 0 g r a m m a

u i t

U n i x

i s e e n

v o o r b e e l d

.evonden i n n T " ™ een te complex systeem. In het verleden is een groot aantal bugs ™° „ programma. Er ,s geen garantie dat de huidige versie van sendmail (release 8.7.5 van april 1996) vrij v T ecurity bugs is. Sendmail mag dan ook niet vanaf het netwerk te benaderen zijn ^ e

c


2.4. Algemeen

toepasbare

beveiligingsstrategieen

13

De achterliggende gedachte achter diversity of defense is dat een security bug in de ene component niet automatisch leidt tot compromittatie van een gelijksoortige component in de beveiliging. 'Diversity of defense' impliceert 'defense in depth'. Universal Participation Universal participation van de eigen medewerkers is een voorwaarde voor het slagen van de algemene beveiliging. Veelal is de (netwerk)beveiliging zodanig van opzet dat deze uit gaat van een zekere mate van vertrouwen van de eigen medewerkers. Een firewall beschermt het interne netwerk tegen buitenstaanders; de eigen medewerkers hebben meestal ongelimiteerd toegang tot het interne netwerk. Deze interpretatie is in overeenstemming met die van het beveiligingsdomein zoals gesteld in paragraaf 2.2. De wijze waarop 'universal participation' wordt verkregen, hetzij vrijwillig hetzij afgewongen, valt buiten het bereik van dit rapport. In het algemeen werkt de vrij willige vorm beter en deze is bovendien met minder moeite in stand te houden.


14 .


,

2.

Netwerkbeveiliging

Hoofdstuk 3

Overzicht VenWnet VenWnet is het landelijk dekkende datacommunicatienetwerk van VenW dat alle gebouwen van het ministerie met elkaar verbindt. Het wordt gebruikt voor zowel kantoor automatisering als voor communicatie tussen systemen, zoals bij meetnetten. De huidige architectuur van het VenWnet bestaat uit de volgende componenten: • Een backbone waarvan het beheer is uitbesteed aan EDS. Er wordt met vaste huurlijnen gewerkt. • Op de backbone aangesloten netwerken van de verschillende dienstonderdelen van de Verkeer en Waterstaat organisatie. • Op de backbone aangesloten netwerken die buiten de Verkeer en Waterstaat organisatie vallen. Voorbeelden hiervan zijn het RCCnet, een netwerk voor inbeldiensten (het Inbelnet) en het wereldwijde Internet. Deze netwerken zijn middels een firewall gekoppeld aan het VenWnet.

VenWnet Backbone

Inlormaliesysteem

Figuur 3.1: Vereenvoudigd overzicht van de huidige VenWnet architectuur. Totaal worden meer dan 150 lokaties met elkaar verbonden middels vaste huurlijnen.

15

~

—

.

3. Overzicht

VenWnet

Figuur 3.1 geeft een grafische representatie van het netwerk. De infrastructuur biedt dragerdiensten, transportdiensten en telematica-diensten van uiteenlopende aard Voor het benaderen van diverse informatiesystemen wordt gebruik gemaakt van client/server applicaties Het benchtenverkeer (gezien uit het oogpunt van een dienstonderdeel) vindt plaats met informatiesystemen die gelokaliseerd zyn op een netwerk van een ander dienstonderdeel, direct gekoppeld zijn aan de VenWnet backbone of zich bevmden op een extern (niet VenW) gekoppeld netwerk.


Hoofdstuk 4

Afhankelijksheidsanalyse VenWnet Een afhankelijkheidsanalyse van de verschillende systemen op het VenWnet is beschreven in [Hoo96]. Hierin is bepaald in welke mate de VenW organisatie afhankelijk is van de beschikbaarheid, integriteit en exclusiviteit van de volgende informatiesystemen en organisaties:

COMI-P FAIS Sal.adm. WVOINFO MSW IVS90 Internet

Een breed en op meerdere besturingsniveau's toegepast Personeelsinformatiesysteem. Een breed en op meerdere besturingsniveau's toegepast financieel administratief informatiesysteem. Een informatiesysteem dat ten behoeve van alle medewerkers binnen VenW de salarisbasisgegevens verzorgt. Een informatiesysteem dat de uitvoering van de Wet Verontreiniging Oppervlaktewateren ondersteunt. Een informatiesysteem dat via een meetnet de waterstanden en stroomsnelheden vastlegt en ter beschikking stelt. Een landelijke telematica applicatie waarmee nationaal en internationaal opererende binnenscheepvaart wordt gemonitored en bestuurd. Er worden drie Internetdiensten onderscheiden, te weten: • Internet-informatie — voornamelijk gebruikt als informatiebron voor VenWmedewerkers (via de VenWnet Webdienst); • E-mail — wordt gebruikt om vragen te kunnen stellen (en antwoorden te krijgen of geven) over specifieke expertise gebieden aan experts over de gehele wereld; • WWW-service — voornamelijk bedoeld om het publiek te informeren over VenW zaken (via de Internet Webdienst).

KNMI DGSM HDTP/BZ RWS-ZH

Koninklijk Nederlands Meteorologisch Instituut als geheel. Het K N M I verzamelt gegevens met betrekking op onder andere Weer en Klimaat. Directoraat-Generaal Scheepvaart en Maritieme Zaken. Tot de taken behoren onder andere het beheer van de Nederlandse vlootgegevens. Hoofddirectie Telecommunicatie en Post, onderdeel Beleidszaken. Houdt zich voornamelijk bezig met Wet- en Regelgeving op dit terrein. Directie Zuid-Holland van RWS. Dit is een uitvoerende regionale Directie binnen Rijks WaterStaat.

17

18

4. Afhankelijksheidsanalyse

VenWnet

De resultaten van de afhankelijkheidsanalyse zijn overgenomen uit [Hoo96]: Object COMI-P FAIS Sal.adm. WVOINFO MSW IVS90 Internet KNMI DGSM HDTP/BZ RWS-ZH

Beschikbaarheid

Afliankelijkheid Integriteit

Zwak Middel Zwak Zwak Sterk Sterk Middel Sterk Sterk Middel Middel

Middel Sterk Middel Sterk Middel Sterk Middel Sterk Sterk Zwak Sterk

Exclusiviteit Sterk Middel Middel Sterk Niet Sterk Middel Zwak Sterk Middel Middel

De termen Zwak, Middel en Sterk zijn achtereenvolgens voor beschikbaarheid, integriteit en exclusiviteit als volgt gedefinieerd. De volgende beschikbaarheidsniveaus worden onderscheiden:

Sterk Middel Zwak

24 uur per dag 7 dagen per week; uitval < 1 uur; beschikbaarheidspercentage > 99,1 %; Kantooruren; Uitval < 24 uur; beschikbaarheidspercentage > 97,5%; Kantooruren; Uitval < 72 uur; beschikbaarheidspercentage > 97,5%.'

De volgende integriteits- en exclusiviteitsniveaus worden gedefinieerd:

Sterk Middel Zwak

Op dit niveau dienen er cryptografische mogelijkheden geintroduceerd te worden; Een hoog niveau van traceerbaarheid; toegangsregistratie en authenticatie, echter zonder het gebruik van cryptografische mogelijkheden; Geen bijzondere maatregelen ten aanzien van traceerbaarheid en toegangsregistratie en authenticatie.


Hoofdstuk 5

Betrouwbaarheidseisen VenWnet De betrouwbaarheidseisen ten aanzien van het VenWnet zijn tevens in [Hoo96] vastgesteld. De hierin opgesomde eisen luiden voor de beschikbaarheid, integriteit en exclusiviteit als volgt. Beschikbaarheid • VenWnet dient 7 dagen per week en 24 uur per dag beschikbaar te zijn. • De maximale uitvalduur mag 24 uur bedragen. • Het beschikbaarheidspercentage van het VenWnet moet 97.5% bedragen. Integriteit • E r dient rond het berichtenverkeer een zodanige opslag van gebeurtenissen plaats te vinden dat berichten getraceerd kunnen worden. • Gegevens dienen ongeschonden getransporteerd te worden. • De overdracht van data via het VenWnet moet zodanig geschieden dat de data ongewijzigd blijft. 1

• In non-repudiation hoeft het VenWnet niet te voorzien, toekomstige implementatie hiervan moet niet geblokkeerd worden. Exclusiviteit • De berichten die over het VenWnet worden verstuurd moeten beschikken over een uniek gei'dentificeerde ontvanger en afzender. • De toegang tot gegevens die samenhangen met beheer van het VenWnet, moet zodanig geregeld zijn dat ongeautoriseerde toegang niet mogelijk is en dat geautoriseerde toegang controleerbaar wordt geregeld. • De toegang tot systemen die middels VenWnet gekoppeld zijn dienen op datatransport niveau slechts bereikt te kunnen worden door "bestemmings"verkeer. • De vertrouwelijkheid van een bericht hoeft op datatransport niveau niet gewaarborgd te worden. Toekomstige eisen op dit gebied mogen door VenWnet niet geblokkeerd worden. Deze eis is gewijzigd, zie "Wijzigingen en aanvullende betrouwbaarheidseisen" hieronder. 1

Non-repudiation houdt in dat een ontvanger van een bericht zich niet kan onttrekken aan dit feit.

19

20

5. Betrouwbaarheidseisen

VenWnet

• Die middelen die ingezet worden waar informatie van berichten, tijdelijk, bewaard worden moeten zo ingericht worden dat er geen, delen van, berichten door derden benaderd kunnen worden. Wijzigingen en aanvullende betrouwbaarheidseisen Ten aanzien van de vertrouwelijkheid van een bericht op datatransport niveau is er een wijziging opgetreden: • De vertrouwelijkheid van sommige berichten moeten op datatransport niveau gewaarborgd kunnen worden. Hierbij kan worden gedacht aan authenticatiegegevens (plain-text passwords) en vertrouwelijke informatie die verstuurd wordt.


Hoofdstuk 6

Overzicht van bedreigingen in de TCP/IP protocolfamilie en generieke maatregelen Vanuit de TCP/IP protocolfamilie komt een aantal bedreigingen, wanneer een extern netwerk wordt gekoppeld aan een (beveiligd) intern netwerk. Bij de beschrijving van deze bedreigingen is steeds uitgegaan van de onderstaande veronderstellingen: • Het interne netwerk wordt in principe veiiig verondersteld (het beveiligingsdomein, zie paragraaf 2.2). • Alleen intern personeel heeft fy siek toegang tot het interne netwerk. Koppeling met externe netwerken vindt plaats op IP-niveau of hoger door middel van IP routers of firewalls. • Bedreigingen door het eigen personeel van binnenuit worden gedekt door een gevoel van eigenbelang van de werknemer (universal participation) en eventuele sancties op misbruik. Bedreigingen komen dus per definitie van buiten het interne netwerk en ontstaan ten gevolge van koppeling van het interne netwerk met een extern netwerk. Bij de beschrijving van de bedreigingen in de TCP/IP protocolfamilie is een indeling gemaakt volgens het OSI netwerkmodel (zie figuur 6.1). Deze indeling is aangehouden omdat bedreigingen op een OSIlaag onherroepelijk een bedreiging vormt voor de hoger gelegen lagen. Ook leidt compromittatie van een ondergelegen laag tot compromittatie van hoger gelegen lagen. Opmerking: De meeste hieronder beschreven technieken lijken ver gezocht en moeilijk uitvoerbaar. In de praktijk blijkt dat voor de meeste methoden hulpmiddelen (softwaretools) ter beschikking staan aan computervandalen, waarmee zij geautomatiseerde aanvallen uitvoeren.

6.1

Het netwerk (OSI: physical and datalink layers)

Volgens het zojuist genoemde uitgangspunt dat koppelingen met externe netwerken plaats vinden op IPniveau of hoger, volgt dat de fysieke- en datalinklaag behoren tot het interne netwerk.

21

6. Overzicht van bedreigingen in de TCP/IP protocolfamilie

Applicatie protocollen

en generieke

maatregelen

Application Layer

UDP & TCP

Transport Layer

IP & I C M P

Network Layer Datalink Layer

Het netwerk Physical Layer

Figuur 6.1: Indeling van bedreigingen naar het OSI netwerk model.

Bedreigingen van buitenaf zijn: 1. network sniffing, 2. A R P spoofing en 3. network jamming. Deze ontstaan wanneer een onbevoegd persoon toegang krijgt tot het fysieke netwerk. Dit kan direct, wanneer een netwerkkabel fysiek wordt gecompromitteerd of indirect, door compromittatie van een hostsysteem op het interne netwerk.

6.1.1

Network sniffing op datalink niveau

Doel Het afluisteren van netwerkverkeer voor het verkrijgen van confidentiele data en authenticatiegegevens. Verklaring Network sniffing is een activiteit waarbij al het verkeer over het netwerk kan worden geinspecteerd. Network sniffing kan worden uitgevoerd met behulp van speciale apparatuur die direct op het fysieke netwerk gekoppeld is. Behalve speciale netwerk-analysers zijn ook gewone hostsystemen in staat, met behulp van bepaalde software, ieder pakket op het netwerk op te vangen en weer te geven. Voorbeelden van dit soort programma's onder Unix zijn tcpdump(l) op Berkeley Unix, etherfind(8C) op SunOS en snoop(lM) op Solaris. Hiervoor zijn wel superuser privileges noodzakelijk. Ook voor MS-DOS en MS-Windows zijn dergelijke tools beschikbaar. Deze kunnen door iedereen worden opgestart. Voorwaarden Directe koppeling met het netwerk is vereist. Dit kan ook via een gecompromitteerd intern hostsysteem. Bedreigingen Verlies van exclusiviteit van data. Uitlekken van authenticatiegegevens (passwords) waardoor andere systemen bedreigd worden.


23

6.1. Het netwerk (OSI: physical and datalink layers)

Maatregelen Scherm het fysieke netwerk af tegen onbevoegden. Voorkom compromittatie van interne hosts van waaruit dit soort aanvallen kunnen worden ondernomen. Maak gebruik van data-encryptie voor (confidentiele) netwerkapplicaties.

6.1.2

ARP spoofing

Doel Het aannemen van de identiteit van een ander hostsysteem met als doel rechten te ontlenen die aan dat systeem zijn toegekend. Verklaring Het Address Resolution Protocol (ARP) wordt op een ethernet gebruikt door de IP-laag om het ethernet adres te vinden van een IP host die is aangesloten op hetzelfde lokale netwerk. De werking is als volgt. Wanneer IP host A wil communiceren met IP host B , zal A eerst een 'ARP-request' broadcast uitzenden met hierin het IP adres van host B . Host B herkent zichzelf in dit IP adres en zal een 'ARP-reply' terugsturen naar host A met hierin het ethernet adres van zichzelf. Vanaf dit moment kennen beide IP hosts elkaars ethernet adressen en kan communicatie op datalink niveau plaatsvinden. A R P spoofing treedt op wanneer een andere host (host C) een vals ARP-reply' bericht stuurt voordat host B dat doet. Host A zal nu denken dat host B reageerde en stuurt vervolgens alle IP-verkeer naar host C in plaats van host B. Host C spooft nu host B. (Eng: to spoof— to fool, pretend, deceive someone.) Voorwaarden Het A R P is gebaseerd op ethernet broadcasts. Een A R P spoof aanval moet derhalve plaatsvinden vanaf een host die fysiek aan het netwerk is gekoppeld. Dit kan een gecompromitteerde interne host zijn. Bedreigingen Authenticatie faalt. Gevolgen ten aanzien van exclusiviteit, integriteit en beschikbaarheid van data en applicaties, hangen af van de rechten van het hostsysteem waarvan de identiteit wordt aangenomen. Maatregelen Scherm het fysieke netwerk af tegen onbevoegden. Voorkom compromittatie van interne hosts van waaruit dit soort aanval kan worden ondernomen. Verleen geen rechten op basis van hostauthenticatie of gebruik cryptografische hostauthenticatie. A R P is meestal gei'mplementeerd als automatisch protocol in de kernel dat op een host de zogenaamde ARP-tabel bijhoudt. Op extra beveiligde systemen zou dit automatisch protocol kunnen worden uitgeschakeld door de ARP-tabel met de hand te vullen met statische A R P informatie. Op Unix is hiervoor het arp(8) commando beschikbaar.



6.1.3

en generieke

maatregelen

Network jamming

Doel Denial-of-service aanval op het gehele netwerk gedurende korte tot middellange tijd (hersteltijd van seconden tot enkele uren). Verklaring Het interne netwerk is door extern verkeer te verzadigen wanneer een grote hoeveelheid netwerkpakketten wordt aangeboden. Ook kan bepaald verkeer van buitenaf op sommige netwerken een zogenaamde broadcast storm veroorzaken. Dit is een zichzelf in stand houdend verschijnsel waarbij meerdere hosts met een broadcast reageren op ontvangen broadcasts. Voorwaarden Broadcast storms worden veroorzaakt door foutieve implementaties van TCP/IP. Bedreigingen De beschikbaarheid van het netwerk valt weg of de performance ervan wordt sterk gereduceerd. Maatregelen Voorkom compromittatie van interne hosts van waaruit deze soort aanval kan worden ondernomen. Vervang TCP/IP implementaties die gevoelig zijn voor het ontstaan van broadcast storms door nieuwere versies. Beperk de intensiteit waarmee pakketten uit een extern netwerk het interne netwerk binnenko-

6.2

Het IP en ICMP (OSI: network layer)

Bedreigingen op een netwerk op datalink niveau vinden plaats vanaf een host die direct gekoppeld is aan dat netwerk. Op netwerklaag niveau (IP en ICMP) kunnen de bedreigingen ook komen van IP gekoppelde netwerken. Met andere woorden: op IP niveau is de veiligheidsperimeter van het fysieke interne netwerk met langer geldig. Een deel van de bedreigingen wordt afgeschermd (dan wel verschoven naar een hogere laag in het OSI model) door de koppeling tussen beide netwerken niet te laten plaats vinden op IP niveau, maar op de transport- of applicatielaag. F

Bedreigingen op de netwerklaag ontstaan door: • Sniffing op IP laag, • IP source address spoofing, • IP source routing, • IP flooding, • IP forwarding, • IP fragmentatie, • I C M P aanvallen en • routing protocol aanvallen.


6.2. Het IP en ICMP (OSI: network

6.2.1

25

layer)

Sniffing op IP laag

Doel Het afluisteren van netwerkverkeer voor het verkrijgen van confidentiele data en authenticatiegegevens. Verklaring De werking van network sniffing op de IP-laag is gelijk aan die van sniffing op datalink niveau zoals beschreven in paragraaf 6.1.1. Sniffing kan echter plaatsvinden op ieder netwerk waarover het IP-verkeer wordt getransporteerd. Wanneer een computervandaal geen toegang heeft tot die netwerken zal hij trachten, door manipulatie van de IP routeringsregels, het IP-verkeer langs een voor hem toegankelijk netwerk te leiden. Voorwaarden Er is fysieke toegang vereist tot een netwerk waarover het IP-verkeer wordt gerouteerd. De route van de IP-pakketten kan worden gemanipuleerd door compromittatie van de IP routeringsregels. Bedreigingen Verlies van exclusiviteit van data. Uitlekken van authenticatiegegevens (zoals passwords) waardoor andere systemen bedreigd worden. Maatregelen Voorkom compromittatie van de IP routeringsregels. Maak gebruik van data-encryptie voor (gevoelige) netwerkapplicaties als deze IP-verkeer over onbeveiligde netwerken routeren.

6.2.2

IP source address spoofing

Doel Het aannemen van de identiteit van een ander hostsysteem met als doel rechten te ontlenen die aan dat systeem zijn toegekend. Verklaring Veel systemen en applicaties gebruiken het IP source adres uit een ontvangen IP-pakket als identificatie van de zendende host om vervolgens aan deze host bepaalde rechten te verlenen. Iedere host kan echter een willekeurig IP source adres invullen en op die wijze de identiteit van een ander systeem proberen aan te nemen. Een computervandaal kan op deze manier uachten de identiteit van een ander systeem aan te nemen dat meer rechten heeft dan het systeem van de computervandaal zelf. Deze vorm van aanval wordt IP source address spoofing, kortweg IP spoofing, genoemd. Een bijkomend probleem voor de computervandaal is wel dat hij niet het IP retourverkeer te zien krijgt, omdat de ontvangende host het IP source adres gebruikt als afleveradres voor het retourverkeer. Door middel van aanvullende technieken kan een aangevallen systeem toch worden geforceerd de retourpakketten naar het systeem van de computervandaal te routeren (bijvoorbeeld door gebruik te maken van IP source routing, zie paragraaf 6.2.3, dan wel door compromittatie van de IP routeringsregels in het algemeen). In sommige gevallen kan een volledige aanval zelfs worden uitgevoerd wanneer er slechts sprake is van eenrichtingsverkeer. De computervandaal moet dan in staat zijn het retourverkeer te kunnen voorspellen. Dit kan soms bij U D P gebaseerde netwerkprotocollen. Voor T C P gebaseerde protocollen wordt gebruik gemaakt van T C P initial sequence number prediction, zie paragraaf 6.3.3.


26


en generieke

maatregel

Voorwaarden Systemen die IP source adres gebaseerde authenticatie uitvoeren zijn kwetsbaar voor deze vorm van aanval. Tevens zijn vaak (maar niet altijd) aanvullende technieken noodzakelijk om een IP spoof aanval succesvol te kunnen uitvoeren. Bedreigingen Authenticatie faalt. Gevolgen ten aanzien van exclusiviteit, integriteit en beschikbaarheid van data en applicaties hangen af van de rechten van het hostsysteem waarvan de identiteit wordt aangenomen. Maatregelen Zorg voor actieve IP spoof detectie op de koppeling met andere IP netwerken. Gebruik het IP source adres niet als host authenticatie. Verleen geen rechten op basis van hostauthenticatie of gebruik cryptografische hostauthenticatie.

6.2.3

IP source routing

Doel IP source routing is een hulpmiddel bij compromittatie op de IP-laag, door manipulatie van de IP routeringsregels. Verklaring IP source routing is een optie in het IP waarmee kan worden gespecificeerd dat een IP-pakket een van te voren gedefinieerde route moet volgen. Deze route heeft voorrang over de standaard routeringsregels. IP source routing wordt gebruikt bij het testen van bepaalde routes in het netwerk of het meten van de performance ervan. Bij normaal gebruik is IP source routine overbodig. 1

IP source routing wordt door de computervandaal vaak gebruikt in combinatie met IP source adres spoofing om het IP routerverkeer naar een bepaalde host te forceren. Ook wordt deze techniek gebruikt om een multi-homed host die standaard niet routeert tussen twee netwerken, toch te laten routeren (zie paragraaf 6.2.5). Voorwaarden Er is direct IP-verkeer mogelijk tussen het externe netwerk en de host die aangevallen wordt. Bedreigingen IP source routing vormt geen directe bedreiging, maar kan een hulpmiddel zijn bij andere bedreigingen. De gevolgen hangen af van die bedreiging. Maatregelen Sta geen IP-pakketten toe uit een extern netwerk die de IP source routing optie gebruiken. Sta geen direct IP-verkeer toe tussen het externe en interne netwerk. 'Bij normaal gebruik is IP source routing zelfs ongewenst omdat het de door de IP-laag zelf opgestelde optimale


routes negeert.

27

6.2. Het IP en ICMP (OSI: network layer)

6.2.4

IP flooding

Doel Denial-of-service aanval op een IP host gedurende korte tijd (zolang de aanval actief plaatsvindt). Verklaring Een IP host kan effectief van het netwerk worden gei'soleerd door deze te bestoken met een overvloed van IP-pakketten. Een dergelijke denial-of-service aanval wordt nogal eens uitgevoerd in combinatie met andere aanvallen indien het gewenst is dat een bepaalde host niet mag reageren. Voorwaarden Er is direct IP-verkeer mogelijk tussen het externe netwerk en de host die aangevallen wordt. Bedreigingen De beschikbaarheid van het hostsysteem onder aanval en de daarop aanwezige netwerkapplicaties vallen weg. In andere gevallen is IP flooding een hulpmiddel bij andere bedreigingen. Maatregelen Beperk de intensiteit waarmee IP-pakketten uit een extern netwerk het interne netwerk binnenkomen. Sta geen direct IP-verkeer toe tussen het externe en interne netwerk.

6.2.5

IP forwarding

Doel IP forwarding is een hulpmiddel bij compromittatie op IP niveau door bei'nvloeding van de IP routeringsregels. Ook kan het een directe bedreiging inhouden voor beveiligingssystemen zelf. Verklaring IP forwarding is niet zo zeer een bedreiging van TCP/IP, dan wel een optie die op sommige hostsystemen absoluut uitgeschakeld moet zijn. Dit geldt voor multi-homed hosts waarbij geen IP-verkeer gerouteerd mag worden tussen twee of meerdere aangesloten netwerken. Een bijzonder voorbeeld is de dual-homed bastion host uit een firewall die werkt op basis van proxyservers (zie paragraaf 7.4.4). IP forwarding is een optie in de (Unix) kernel die gemakkelijk aan en uit is te zetten door het wijzigen van een kernelparameter. Hiervoor hoeft het systeem vaak niet eens gereboot te worden. Zelfs wanneer IP forwarding is uitgeschakeld in de kernel, vindt er toch forwarding plaats voor pakketten met de IP source routing optie. Voorwaarden Deze bedreiging geldt alleen voor multi-homed hosts die niet mogen routeren tussen twee of meerdere netwerken. Bedreigingen Indien IP forwarding ten onrechte wordt ingeschakeld zal een systeem als IP router optreden waardoor ongewenst direct IP-verkeer tussen twee netwerken mogelijk wordt. Dit opent een scala van andere bedreigingen die direct IP-verkeer vereisen.


28


en generieke

maatregel

Maatregelen Indien mogelijk, moet de kernel zodanig gemodificeerd zijn dat de ip-forwarding code emit verwijderd is. Deze kleine ingreep vergt wel de beschikbaarheid van de kernel source code en de mogelijkheid een nieuwe kernel te compileren. Negeer IP-pakketten met de IP source routing optie.

6.2.6

IP fragmentatie

IP fragmentatie op zich kan een bedreiging vormen voor zogenaamde IP packet niters of screening routers Deze zijn ook beschreven in RFC-1858 [ZRT95]. IP fragmentatie Indien een IP-pakket te groot is om als een pakket over de datalink-laag verstuurd te worden, wordt het m afzonderlijke IP fragmenten opgesplitst. Bij deze fragmentatie wordt de payload van het IP-pakket (dit is alles na de IP header) verdeeld over kleinere IP fragmenten. Ieder fragment krijgt een kopie van de oorspronkehjke IP header en wordt als afzonderlijk IP-pakket naar de geadresseerde host gestuurd De IP header van ieder fragment bevat informatie over de plaats (de offset) van het fragment in het oorspronkelijke IP-pakket. Fragmentatie vindt plaats in eenheden van acht bytes. Het oorspronkelijke IP-pakket wordt pas weer opgebouwd op de host van eindbestemming en niet op tussenhggende routers. Deze host is in staat met behulp van de fragmentatie-informatie uit iedere IP header f ^ P of T ^

h

j

k

I P

"

P a k k e t

t C r e a s s e m b l e r e n

-

D

a

a

r

n

a

w

r

o d t de payload doorgegeven aan de transportlaag

IP packet niters Netwerkbeveiliging kan worden verkregen door gebruik te maken van een IP packet filter. Dit is een IP router die een pakket al dan niet doorlaat op basis van informatie uit de IP en U D P of T C P headers B i j T C P pakketten is het bijvoorbeeld gebruikelijk te filteren op basis van het IP source en destination adres uit de IP header en het source en destination poortnummer en de TCP-flags (met name de S Y N en A C K flaas) uit de T C P header. 2

Een IP packet filter kan alleen volledige IP-pakketten dan wel het eerste IP fragment filteren. Het tweede en de overige fragmenten bevatten namelijk niet de noodzakelijke informatie uit de U D P of TCP header waarop gefilterd wordt. Deze fragmenten moeten ongefilterd doorgelaten worden. Dit is geen probleem, omdat alle fragmenten noodzakelijk zijn om het oorspronkelijke IP-pakket te reassembleren. Het tegenhouden van het eerste fragment is voldoende om op de ontvangende host de opbouw van het originele IP-pakket te voorkomen. Na het verstrijken van een timeout zullen de reeds ontvangen fragmenten worden genegeerd. 6.2.6.1

Tiny fragments

Doel Door middel van IP fragmentatie en bugs in het IP packet filter trachten afgeschermd IP-verkeer toch door het IP packet filter te krijgen. Verklaring Een tiny fragment attack wordt uitgevoerd door een IP fragment te sturen met hierin slechts acht bytes payload. De T C P header, die zich in de IP payload bevindt, is echter groter dan acht S 0 1

6

b e p a a

d

T C P

v e r k e e r

d

r

n.,! ^ " Tr*, ' S S E * " " . ^ ' " °° laten, maar tegelijkertijd mag een TCP-sessie-opbouw niet plaatsvmden. Uk de SYN en ACK flags is het mogelijk een TCP-sessie-opbouw ,e detecteren Het eerste TCP-segment van een sess.e is namelyk het enige segment dat wel een SYN flag, maar geen ACK flag actief heeft. Door dit eerste TCP-segment te weren wordt bereikt dat een TCP-sessie niet kan worden opgebouwd. t

8


29


bytes. In de eerste acht bytes zijn wel de source en destination poortnummers opgeslagen, maar de TCP-flags vallen in het tweede IP fragment. Het IP packet filter kan in dat geval niet filteren op basis van de TCP-flags. Veel implementaties laten dan dit eerste fragment (ten onrechte) door en negeren hiermee de filterregels ten aanzien van de TCP-flags. De overige fragmenten worden ongefilterd doorgelaten, waardoor het complete IP-pakket op de ontvangende host gereassembleerd kan worden. 3

Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern en het interne netwerk. Tevens wordt er gebruik gemaakt van een IP packet filter om het interne netwerk enigszins af te schermen van het externe. Dit IP packet filter bevat bovendien bugs in het toepassen van de filterregels. Bedreigingen Met een tiny fragment attack kan een computervandaal sommige IP filterregels van een IP packet filter omzeilen. De uiteindelijke gevolgen hangen af van de gecompromitteerde netwerkdienst. Maatregelen Sta geen direct IP-verkeer toe tussen een extern en het interne netwerk. Een IP packet filter dat kan filteren op basis van TCP-flags mag een tiny fragment niet doorlaten. Aangezien bij normaal gebruik van IP dergelijke fragmenten niet voorkomen, mogen alle tiny fragments geblokkeerd worden.

6.2.6.2

Reassembly attacks

Doel Door middel van IP fragmentatie en bugs in de reassembly code van de geadresseerde host, afgeschermd IP-verkeer toch door een IP packet filter te krijgen. Verklaring Een probleem ten gevolge van IP fragmentatie kan ontstaan door middel van de wijze waarop IP fragmenten in de ontvangende host worden gereassembleerd tot het oorspronkelijke IP-pakket. Het doel is het omzeilen van de filterregels van een IP packet filter met betrekking tot de TCP-flags (zie paragraaf 6.2.6.1). Het is mogelijk (en geheel legaal) dat de IP fragmenten van een IP-pakket in willekeurige volgorde aankomen op de ontvangende host. Het oorspronkelijke IP-pakket wordt in de kernel opgebouwd door de data van ieder ontvangen fragment in een bufferstructuur op te slaan. Normaal sluiten de fragmenten in deze reassembly-buffer precies aan. Mogelijke problemen kunnen ontstaan wanneer een IP fragment moedwillig de data van een eerder ontvangen fragment in deze buffer overschrijft. Beschouw het volgende scenario: Een computervandaal wil een T C P pakket met verboden TCP-flags door een IP packet filter routeren en afleveren aan een host. Eerst wordt een normaal IP fragment verstuurd met hierin een toegestane combinatie van TCP-flags. Dit wordt door het IP packet filter doorgelaten en op de ontvangende host in de reassembly-buffer geplaatst. Het tweede IP fragment (dat altijd door een IP packet filter wordt doorgelaten) bevat een offset van slechts acht bytes. Het bevat dus opnieuw het tweede deel van de T C P header met hierin de verboden TCP-flags. Sommige hostsystemen zullen nu de reeds aanwezige informatie in de reassembly-buffer (die uit het eerste IP fragment) overschrijven met de informatie uit het tweede fragment. Voor de ontvangende host lijkt het dus of een verboden combinatie van TCP-flags door het IP packet filter is gekomen. Een goede IP implementatie laat dit niet toe. 3

De TCP-flags zijn opgeslagen in het 14e byte van de TCP header.


30


en generieke

maatregelen

Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern en het interne netwerk. De ontvangende host heeft een foutieve TCP/IP implementatie. Bedreigingen Met een reassembly aanval kan een computervandaal sommige IP filterregels van een IP packet filter omzeilen. De uiteindelijke gevolgen hangen af van de gecompromitteerde host en netwerkdienst op die host. Maatregelen Sta geen direct IP-verkeer toe tussen een extern en het interne netwerk. Een IP packet filter dat kan filteren op basis van TCP-flags mag een fragment met een offset van acht bytes niet doorlaten. Dit soort IP fragmenten komt bij normaal gebruik niet voor.

6.2.7

ICMP aanvallen

Het Internet Control Message Protocol (ICMP) heeft tot doel de werking van het IP bij te sturen of anderszins te bemvloeden. Het ontbreekt I C M P echter geheel aan authenticatie, waardoor een willekeurige host een andere IP host met valse I C M P berichten tot op zeker hoogte kan controleren. Voor de goede werking van IP is I C M P echter noodzakelijk, waardoor het niet eenvoudig in zijn geheel uitgeschakeld kan worden. Wel zijn er bepaalde I C M P berichten die ofwel overbodig zijn ofwel kunnen worden afgeschermd als ze vanuit een extern netwerk afkomstig zijn. Voor alle hieronder beschreven vormen van I C M P misbruik geldt dat dit soort I C M P berichten van buitenaf, gericht aan het interne netwerk, moeten worden geblokkeerd.

6.2.7.1

ICMP destination unreachable

Doel Denial-of-service aanval door het laten uitvallen van reeds bestaande connecties tussen IP hosts. Verklaring Een hele klasse van I C M P verkeer (ICMP type 3) deelt een zendende host mee dat een bepaalde destination poort, host of compleet netwerk niet bereikbaar is. Door valse ' I C M P destination unreachable' berichten te sturen naar een host, kunnen in sommige implementaties reeds bestaande verbindingen moedwillig en ten onrechte worden afgebroken. Bij oude TCP/IP implementaties (van voor circa 1988) werd zelfs alle bestaande communicatie naar een bepaalde host afgebroken door het sturen van een ' I C M P host unreachable' bericht. Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Bedreigingen De beschikbaarheid van een IP host of de hierop aanwezige netwerkdiensten wordt bedreigd. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat dit type ICMP verkeer van een extern netwerk het interne netwerk binnenkomt.


6.2. Het IP en ICMP (OSI: network

31

layer)

6.2.7.2 ICMP source quench Doel Denial-of-service aanval door het verminderen van de maximaal mogelijke netwerk performance van een IP host. Verklaring Een ' I C M P source quench' bericht (ICMP type 4) wordt door routers gestuurd aan hosts die meer verkeer genereren dan die router kan verwerken. De zendende host moet dan de hoeveelheid IP-verkeer per tijdseenheid verminderen. Valse ' I C M P source quench' berichten kunnen gebruikt worden als denial-of-service aanval. Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Bedreigingen De beschikbaarheid van een IP host of de hierop aanwezige netwerkdiensten wordt bedreigd. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat dit type I C M P verkeer van een extern netwerk het interne netwerk binnenkomt. 6.2.7.3

ICMP redirects

Doel Hulpmiddel bij andere vormen van bedreiging door manipulatie van de IP routeringsregels op een host. Verklaring Met een ' I C M P redirect' bericht (ICMP type 5) wordt een host op de hoogte gesteld van een betere route naar een andere host. De routing tabel van de zendende host wordt dan aangepast. Deze berichten worden normaal alleen verstuurd door een router op een direct gekoppeld IP netwerk (het lokale netwerk dus). Een computervandaal kan met behulp van zelf geinjecteerde ' I C M P redirect' berichten de routing tabel van een host aanpassen en op die wijze trachten de routering van het IP-verkeer over het netwerk te modificeren. Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Bedreigingen ' I C M P redirect' aanvallen vormen geen directe bedreiging, maar kunnen een hulpmiddel zijn bij andere bedreigingen. De gevolgen hangen af van die bedreiging. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat dit type I C M P verkeer van een extern netwerk het interne netwerk binnenkomt.


32


6.2.7A

en generieke

maatregel

ICMP router advertisement

Doel Hulpmiddel bij andere vormen van bedreiging door manipulatie van de IP routeringsregels op een host. Verklaring Een ' I C M P router advertisement' bericht (ICMP type 9) wordt gestuurd door een router nadat een host een ' I C M P router solicitation' heeft gestuurd. Met de informatie in het router advertisement bericht wordt de routing tabel van de host geinitialiseerd. Een implementatie moet er voor zorgdragen dat valse ' I C M P router advertisement' berichten worden genegeerd. Meestal is dit mechanisme uitgevoerd in de vorm van een apart daemon proces (bijvoorbeeld in.rdisc(8) in Solaris 2.x), zodat het niet opstarten van deze daemon de host beschermt. Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Die host heeft bovendien een foutieve TCP/IP implementatie. Bedreigingen ' I C M P router advertisement' aanvallen vormen geen directe bedreiging maar kunnen een hulpmiddel zijn bij andere bedreigingen. De gevolgen hangen af van die bedreiging. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat dit type I C M P verkeer van een extern netwerk het interne netwerk binnenkomt. Maak geen gebruik van deze faciliteit, door het uitschakelen van bijvoorbeeld de in.rdisc daemon.

6.2.7.5

ICMP address mask reply

Doel Denial-of-service aanval door het isoleren van een IP host van het netwerk. Verklaring Een ' I C M P address mask reply' bericht (ICMP type 18) wordt gestuurd nadat een host hierom heeft gevraagd met een ' I C M P address mask request'. Dit gebeurt bij het rebooten van sommige systemen om het subnet mask van het netwerk te vinden. Een implementatie mag niet gevoelig zijn voor valse ' I C M P address mask reply' berichten. Een verkeerd address mask resulteert in een, voor het netwerk, onbereikbaar systeem. Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Die host heeft bovendien een foutieve TCP/IP implementatie. Bedreigingen De beschikbaarheid van een IP host en de hierop aanwezige netwerkdiensten wordt bedreigd. De subnetmask moet met de hand worden teruggezet, ten einde de host weer op het netwerk beschikbaar te krijgen. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat dit type I C M P verkeer van een extern netwerk het interne netwerk binnenkomt.


33


6.2.8

Routing Protocollen

Routing protocollen zijn protocollen op applicatie niveau en maken gebruik van U D P of TCP. Omdat zij echter de IP-laag assisteren bij het bepalen van de optimale route door een IP-netwerk, worden zij gepositioneerd in de netwerklaag. De meest gebruikelijke routing protocollen zijn het Routing Information Protocol (RIP) op L A N s , het Open Shortest Path First (OSPF) op L A N s en het Border Gateway Protocol (BGP) op internet backbones. Op een netwerk kunnen valse routing protocolberichten de routeringsregels verstoren. Doel Hulpmiddel bij andere vormen van bedreiging door manipulatie van de IP routeringsregels op een netwerk. Verklaring Een klasse van bedreiging vormen de routing protocollen die binnen een internet de routering van het IP-verkeer regelen. Het meest bekende routing protocol is het Routing Information Protocol (RIP), met als meest bekende implementatie op Unix routed(8). RIP kent geen enkele vorm van authenticatie, waardoor valse RIP broadcasts de routing tabel van een host of router modificeren. Andere routing protocollen als Open Shortest Path First (OSPF) en het Border Gateway Protocol (BGP) beschikken over optionele authenticatie. Dit wordt in veel gevallen niet gebruikt in verband met de extra beheerinspanning om met buursystemen de authenticatiesleutels uit te wisselen. Zelfs als er van authenticatie gebruik wordt gemaakt, kunnen de authenticatiesleutels worden verkregen door middel van network sniffing. Op het Unix platform is routed vaak standaard actief. De host luistert dan mee op het netwerk naar RIP broadcasts tussen de routers. De routing tabel van de host wordt dan aangepast volgens de ontvangen RIP informatie. De computervandaal kan valse RIP berichten genereren om de IP routeringregels zodanig aan te passen dat bepaald IP-verkeer over een voor hem toegankelijk (en dus te inspecteren) netwerk wordt gerouteerd. Hierdoor kan een IP spoofing aanval met succes worden voortgezet of kan met de datastroom worden meegekeken op zoek naar confidentiele data of authenticatiegegevens. Denial-of-service aanvallen zijn ook mogelijk door complete netwerken te isoleren ten gevolge van verkeerde routing informatie. 4

Voorwaarden Er is direct IP-verkeer mogelijk tussen een extern netwerk en de host op het interne netwerk. Bedreigingen Hulpmiddel bij andere vormen van bedreigingen, met name IP spoofing en network sniffing. Denial-of-service door het isoleren van hostsystemen of complete netwerken. Maatregelen Sta geen direct IP-verkeer toe tussen een extern netwerk en het interne netwerk. Voorkom dat routing protocol informatie van een extern netwerk het interne netwerk binnenkomt. Een host die zelf geen router is moet niet deelnemen aan het routing protocol — ook niet passief. Op een Unix host mag bijvoorbeeld de routed niet worden opgestart. 4

'Routed' komt van 'route-daemon' en wordt uitgesproken als: route-dee (Engels).


34

6. Overzicht van bedreigingen in de TCP/IP protocolfamilie en generieke

6.3

maatregelen

UDP en TCP (OSI: transport layer)

Bedreigingen die voort vloeien uit U D P en T C P kunnen niet worden afgeschermd met de tot nu toe genoemde maatregelen. Bedreigingen op de U D P en T C P laag ontstaan door: • U D P and T C P port flooding, • het begrip ' U D P and T C P reserved ports', • T C P initial sequence number prediction en • T C P session hijacking.

6.3.1

UDP and TCP port flooding

Doel Denial-of-service aanval op een enkele netwerkdienst op een hostsysteem. Verklaring Een netwerkdienst die wordt aangeboden via U D P of T C P kan overbelast raken wanneer deze wordt overspoeld met data. Een bijzonder vervelende vorm van aanval betreft het sturen van enkele tientallen T C P - S Y N segmenten naar een T C P poort waar een netwerkservice draait. Dit legt de betreffende dienst zo goed als zeker op ieder TCP/IP platform voor enkele minuten stil. Voorwaarden Er is direct IP-verkeer mogelijk tussen het externe netwerk en de host die aangevallen wordt. Bedreigingen Het gedurende de aanval, tot enkele minuten daarna, niet beschikbaar zijn van de betreffende netwerkdienst. Maatregelen Sta geen direct IP-verkeer toe van het externe netwerk naar een interne host.

6.3.2

UDP and TCP reserved ports

Doel Hulpmiddel bij het compromitteren van een host of netwerkdienst door oneigenlijk gebruik van het begrip'reserved port'. Verklaring U D P en T C P poorten met nummers tussen de 0 en 1024 staan bekend onder de naam reserved ports (ook wel privileged ports' genoemd).

Hiervan is in Unix gedefinieerd dat alleen

apphcaties die met superuser privilege draaien, deze poorten kunnen gebruiken. Sommige app hcatieprotocollen leiden hieruit af dat een dergelijke verbinding wordt geinitieerd door een P

dTe 5

licatil

S U P e r U S C r

P r i v i , e g e

d r a a i t

e

Dit is het eerste TCP-segment uit de TCP-sessie-opbouw.


n k

e

n

n

e

n

°P S

r o n d h

i

™ rneer rechten toe aan

35

6.3. UDP en TCP (OSI: transport layer)

Dit vertrouwen is echter ongegrond vanwege twee redenen. Ten eerste geldt er voor veel niet-Unix operating systemen dat het begrip superuser niet bestaat. Iedere applicatie op een dergelijk platform kan gebruik maken van de reserved ports. In de tweede plaats kan iemand superuser worden door eenvoudig een eigen PC met Unix aan het netwerk te koppelen. Voorwaarden Er is direct IP-verkeer mogelijk tussen het externe netwerk en de host die aangevallen wordt. Bedreigingen Authenticatie faalt. Gevolgen ten aanzien van exclusiviteit, integriteit en beschikbaarheid van data en applicaties, hangen af van het systeem dat gecompromitteerd wordt. Maatregelen Sta geen direct IP-verkeer toe van het externe netwerk naar een interne host. Ken geen speciale betekenis toe aan de zogenaamde ' U D P en T C P reserved ports' en verleen geen speciale rechten aan een verbinding op grond van het feit dat deze is geiniteerd vanaf een dergelijke poort.

6.3.3

TCP initial sequence number prediction

Doel Hulpmiddel bij compromittatie van een T C P netwerkdienst door middel van IP spoofing, waarbij geen retour IP-verkeer mogelijk is. Verklaring Gedurende een TCP-sessie-opbouw worden in het eerste en tweede TCP-segment twee zogenaamde initial sequence numbers (ISN) uitgewisseld tussen de client en de server onderling. Deze 32-bit ISNs zijn min of meer random en moeten bekend zijn bij zowel de client als de server om data over de TCP-sessie te kunnen uitwisselen. In geval van een IP spoofing aanval is in principe geen retourverkeer mogelijk tussen de server en de client (zie paragraaf 6.2.2). Hierdoor komt het tweede T C P pakket uit de sessie-opbouw, met hierin het ISN van de server, niet aan bij de client. De computervandaal moet nu dus een voorspelling maken van het door de server gekozen ISN. Helaas is het zo dat bij de meeste TCP/IP implementaties het ISN met relatief hoge trefzekerheid voorspeld kan worden uit informatie die betrokken is uit eerder opgebouwde TCP-sessies [Mor85]. Wanneer het ISN van de server met succes is voorspeld, kan de client (de aanvaller) data versturen naar de server zonder dat het retourverkeer van de server bij de client aankomt. Voorwaarden Er is direct IP-verkeer mogelijk tussen het externe netwerk en de host die aangevallen wordt. Bedreigingen Tegen T C P initial sequence number prediction is in principe niets te doen. Het vormt echter geen direct gevaar op zichzelf, maar kan een hulpmiddel zijn bij andere vormen van bedreigingen. De gevolgen hangen af van die bedreiging. Zie paragraaf 6.2.2. Maatregelen Sta geen direct IP-verkeer toe van het externe netwerk naar een interne host. f

'Vroeger was Unix het enige platform dat over TCP/IP beschikte en kon een willekeurig persoon niet beschikken over een eigen Unix (lees: VAX-750) machine. Tegenwoordig heeft het begrip 'reserved port' alleen betekenis, indien de connectie afkomstig is van een Unix machine op hetzelfde netwerk, waarvan het beheer vertrouwd is.


36


6.3.4

en generieke

maatregel

TCP session hijacking

Doel Het overnemen (kapen) van een bestaande TCP-sessie (en hiermee de identiteit van een clientapplicatie) waarvan de serverapplicatie reeds de initiele authenticatie heeft verricht. Verklaring Direct nadat een TCP-sessie tussen een client en server is opgebouwd, vindt vaak authenticatie plaats op applicatie niveau. Denk hierbij bijvoorbeeld aan een login/password authenticatie direct na het starten van een Telnet sessie. Na de authenticatiefase vertrou wt de Telnet applicatie op de onderliggende TCP-sessie voor het behouden van de integriteit van deze sessie. Wanneer een computervandaal zich bevindt op een netwerk waarover het IP-verkeer tussen de client en server wordt gerouteerd, kan hij de TCP-sessie over nemen van de eerder geauthenticeerde client. Voorwaarden De computervandaal is in staat mee te kijken met het IP-verkeer tussen de client en server. Bedreigingen Authenticatie faalt. De gevolgen hangen af van de gecompromitteerde netwerkdienst. Maatregelen Wanneer een TCP-sessie over een onbeveiligd netwerk loopt, is end-to-end point encryptie de enige bescherming tegen T C P session hijacking.

6.4

De applicatieprotocollen (OSI: application layer)

Behalve de tot nu toe besproken bedreigingen uit de netwerken transportlaag van het OSI model, zijn specifieke risico's verbonden aan het gebruik van een bepaald applicatieprotocol. Met behulp van de eerder genoemde bedreigingen zijn aanvallen uit te voeren op de applicatieprotocollen. In sommige gevallen vormt het applicatieprotocol zelf een risico voor de netwerkveiligheid.

6.4.1

Telnet

Telnet levert een end-to-end point login sessie van een client naar een serversysteem. Deze netwerkdienst maakt gebruik van T C P poort 23. Aan het begin van de TCP-sessie, ten gevolge van het Telnet protocol, voert de telnet server een authenticatiefase uit waarin de identiteit van de client wordt vastgesteld. Bedreigingen Het dataverkeer van een Telnet sessie, inclusief de initiele authenticatiefase, wordt onversleuteld over het netwerk getransporteerd. Hierdoor is het protocol gevoelig voor network sniffing. Na de initiele authenticatie vertrouwt Telnet op het behoud van de identiteit van de client op basis van de integriteit van de onderliggende TCP-sessie. Telnet is dus gevoelig voor T C P session hijacking.


6.4. De applicatieprotocollen

37

(OSI: application layer)

Maatregelen Wanneer de integriteit van de onderliggende TCP-sessie en de exclusiviteit van het IP-verkeer niet kan worden gegarandeerd, moet van end-to-end point encryptie gebruik worden gemaakt. 'Secure Telnet' en de 'Secure Shell' zijn voorbeelden van applicaties die een remote login sessie bieden op basis van data-encryptie. Als alleen het uitlekken van authenticatiegegevens (passwords) een bedreiging vormt, kan standaard Telnet gebruikt blijven worden maar moet de authenticatiefase worden uitgevoerd door middel van strong authentication. Deze vorm van authenticatie maakt gebruik van passwords die slechts eenmalig geldig zijn (de zogenaamde 'one-time passwords'). Voorbeelden hiervan zijn S/Key, SecurelD en Enigma.

6.4.2

FTP

Het File Transfer Protocol (FTP) levert een end-to-end point file transfer netwerkdienst. Deze dienst maakt gebruik van meerdere TCP-sessies: een zogenaamd besturingskanaal (TCP poort 21) en een datakanaal (TCP poort 20) per te versturen file. Aan het begin van de TCP-sessie voor het besturingskanaal, voert de FTP server een authenticatiefase uit waarin de identiteit van de client wordt vastgesteld. Eventueel kan anoniem worden ingelogd als gebruiker f t p of a n o n y m o u s . Deze vorm van authenticatie maakt geen gebruik van een password. F T P commando's als put, get en l i s t openen een apart datakanaal voor de te versturen data. Dit datakanaal is tevens op een TCP-sessie gebaseerd. Op het datakanaal wordt geen authenticatie verricht. De FTP client opent ten gevolge van bijvoorbeeld een put commando een dataserver. De hiervoor gekozen T C P poortnummers worden via het controlekanaal aan de F T P server meegedeeld, door middel van het PORT commando. De F T P server opent nu ongeauthenticeerd de dataverbinding en verstuurt of ontvangt de data. Bedreigingen Data over het controlekanaal wordt onversleuteld verstuurd. Hierdoor kunnen authenticatiegegevens uitlekken ten gevolge van network sniffing. Data over het datakanaal wordt onversleuteld verstuurd. Hierdoor wordt de exclusiviteit van de te versturen data bedreigd. Nadat de F T P server op het controlekanaal de identiteit van de client heeft vastgesteld, vertrouwt FTP op het behoud van de identiteit van de client op basis van de integriteit van de onderliggende TCP-sessie. F T P is dus gevoelig voor T C P session hijacking. Wanneer een computervandaal kan 'meelezen' met het controlekanaal, kan hij zoeken op het PORT commando en op deze wijze, voordat de legitieme externe FTP server het datakanaal kan openen, zelf het datakanaal openen en valse data versturen. Dit vormt een bedreiging voor de integriteit van de te versturen data bij een file download (van externe FTP server naar interne client via het F T P get commando). 7

Maatregelen Wanneer de integriteit van de onderliggende TCP-sessie en de exclusiviteit van het IP-verkeer niet kan worden gegarandeerd, moet van end-to-end point encryptie gebruik worden gemaakt voor het F T P besturingskanaal. De integriteit van de te versturen files moet op andere wijze worden gegarandeerd, bijvoorbeeld door gebruik te maken van een elektronische handtekening. Als alleen het uitlekken van authenticatiegegevens (passwords) een bedreiging vormt, kan standaard F T P gebruikt blijven worden maar moet de authenticatiefase worden uitgevoerd door 7

B i j een file upload (van interne client naar exteme FTP server via het FTP put commando) kan de computervandaal de te versturen data afvangen en op deze wijze ongeautoriseerd data ontvangen. Dit is echter geen nieuwe bedreiging omdat dit ook al mogelijk is door middel van network sniffing.


38

6. Overzicht van bedreigingen in de TCP/IP protocolfamilie en generieke

maatregel

middel van strong authentication. Deze vorm van authenticatie maakt gebruik van passwords die slechts eenmalig geldig zijn (de zogenaamde 'one-time passwords'). Voorbeelden hiervan zijn S/Key, SecurelD en Enigma. Sta alleen anonymous FTP verbindingen toe om op die wijze het versturen van onversleutelde authenticatiegegevens over het netwerk te voorkomen.

6.4.3

TFTP

Het Trivial File Transfer Protocol (TFTP) biedt een ongeauthenticeerde wijze van file transfer op basis van U D P (poort 69 . Het wordt gebruikt bij het diskless booten van IP hosts (computersystemen, X-terminals routers, netwerkpnnters, enzovoorts). ' Bedreigingen Het T F T P gebruikt geen enkele vorm van authenticatie, waardoor gegevens die via een T F T P server worden aangeboden, voor iedereen beschikbaar zijn. Het risico bestaat dat een verkeerd ingenchte TFTP server te veel informatie beschikbaar stelt. Een goed geconfigureerde r V C r

P

U l

X

S t d t

S l C C h t S

C e n

d e e l

v

a

n

d

e

f ° " directory-structuur beschikbaar voor r h T P file transfers. Meestal wordt hiervoor de / t f t p b o o t directory gebruikt. Oudere implementaties kennen een dergelijke restrictie niet en 'exporteren' alle files in het filesysteem De /etc/passwd file is dan een geliefd object voor computervandalen, om middels een dictionary attack passwords te achterhalen. De client (de te booten host) heeft geen enkele controle over de integriteit van de ontvangen data. Een computervandaal is in staat een IP host via het netwerk te voorzien van bijvoorbeeld een gemodificeerde kernel. Maatregelen Teneinde een heel intern netwerk te beschermen tegen oude of verkeerd geconfigureerde T F T P servers moet op een firewall het TFTP protocol geblokkeerd worden. Apparatuur die een critische rol speelt in de (netwerk)beveiliging mag geen gebruik maken van I M F voor het laden van het operating systeem.

6.4.4

SMTP (e-mail)

Het Simple Mail Transfer Protocol (SMTP) wordt gebruikt voor het uitwisselen van e-mail berichten tussen twee hostsystemen. S M T P maakt gebruik van een ongeauthenticeerde TCP-sessie (poort 25). Bedreigingen Aan het S M T P zelf zijn geen speciale veiligheidsrisico's verbonden. Wel is de meest bekende implementatie van een S M T P server onder Unix, te weten sendmail, behept met security bugs. Het ontbreken van iedere vorm van authenticatie betekent dat de identiteit van een e-mail afzender met ontleend mag worden aan informatie die uit S M T P is af te leiden (afzenderhostsysteem en afzender-gebruiker). Maatregelen Gebruik op, van buitenaf via het netwerk bereikbare, Unix machines niet de sendmail daemon als S M T P server. In plaats hiervan moet een simpele S M T P server worden gebruikt bijvoorbeeld de smap/smapd wrapper van de Firewall Toolkit van TIS. Sendmail kan wel'



(OSI: application

39

layer)

8

worden ingezet voor de afhandeling van de mailroutering. Gebruik hiervoor wel bij voorkeur de meest recente versie waarvan alle bekende beveiligingsproblemen zijn opgelost. De identiteit van de afzender van een mailbericht moet zijn af te leiden aan de inhoud van het bericht, bijvoorbeeld door middel van een digitale handtekening. Pretty Good Privacy (PGP) lijkt zich in deze te ontwikkelen tot een de-facto standaard.

6.4.5

DNS

Het Domain Name Service (DNS) protocol biedt een hierarchische wijze van afbeelden van hostnamen naar IP adressen en omgekeerd. Het protocol maakt gebruik van zowel U D P als T C P (poort 53). Bedreigingen Sommige applicatieprotocollen baseren hostauthenticatie op basis van de hostnaam van het remote systeem. Hiervoor wordt dan D N S gebruikt om het IP adres (afgeleid van uit het IP source adres) te vertalen naar een hostnaam. Wanneer een computervandaal invloed uitoefend op het D N S protocol, kan hij een willekeurig IP adres laten vertalen in iedere gewenste hostnaam. Deze vorm van aanval heet DNS hostname spoofing en hiervoor gelden dezelfde bedreigingen als voor IP source address spoofing (zie paragraaf 6.2.2). Een andere bedreiging bij het gebruik van D N S is dat informatie omtrent de interne hostsystemen (hostnamen, IP nummers, systeemtype) bekend raakt op een extern netwerk. Uit deze informatie zou een computervandaal gegevens kunnen halen die hem behulpzaam zijn bij het compromitteren van systemen. 9

Maatregelen Hostauthenticatie mag niet gebaseerd zijn op de hostnaam. Verleen geen rechten op basis van hostauthenticatie of gebruik cryptografische hostauthenticatie. Tegen het uitlekken van interne D N S informatie naar buiten moet een zogenaamde 'split D N S ' server worden opgezet. Een D N S server levert de interne D N S informatie, terwijl een aparte D N S server beperkte informatie naar buiten levert. 10

6.4.6

R-utils

De Berkeley r-utilities (rlogin, rsh, rep, rdist, rexec) bieden remote login, remote executie en file transfer diensten. Zij zijn alien gebaseerd op T C P (poorten 512, 513, 514 en 515). Bedreigingen Authenticatiegegevens en data worden onversleuteld over het netwerk getransporteerd, waardoor hier dezelfde bedreigingen gelden als bij het Telnet protocol. De r-utilities bieden een methode om de login/password authenticatie te vervangen door een authenticatie die gebaseerd is op een combinatie van IP source adres, D N S hostnaam en het begrip 'reserved port'. Eerder is aangetoond dat geen van deze gegevens een goede authenticatie bieden. 11

8

Het sendmail programma is uit twee delen opgebouwd. Het eerste deel (minder dan 10% van de code) implementeert een SMTP server die op TCP poort 25 luistert naar inkomende mailberichten van andere SMTP systemen. Hiervoor moet sendmail worden opgestart met de commandline optie -bd. Het tweede deel van sendmail verzorgd de routering, queuing en aflevering van mailberichten. '•"Het werkelijk nut dat een computervandaal aan deze informatie heeft wordt in het algemeen als zeer klein ingeschat. Sommige applicaties voeren een soort dubbele controle uit. Nadat een binnengekregen IP adres vertaald is naar een hostnaam (via DNS), wordt deze hostnaam weer terug vertaald (via DNS) naar een IP adres. Dit IP adres wordt vergeleken met het origineel ontvangen adres en moet hieraan gelijk zijn. Echter, deze vorm van controle biedt ook geen adequate beveiliging tegen DNS hostnaam spoofing. Hiervoor worden op Unix de / e t c / h o s t s . e q u i v e n SHOME/ . r h o s t s files gebruikt. 10

11


40


en generieke

maatregelen

Het programma rexd heeft geen enkele vorm van authenticatie en staat toe dat een willekeurige host een applicatie op afstand executeert! Alle r-utilities zijn gevoelig voor T C P session hijacking. Maatregelen Ten aanzien van de exclusiviteit van de data en authenticatiegegevens gelden dezelfde maatregelen als voor het Telnet protocol (zie paragraaf 6.4.1). De automatische vorm van authenticatie, afgeleid van het IP source adres, de DNS hostnaam en het begrip 'reserved port' is te zwak om toegestaan te worden vanaf een extern netwerk. Om deze reden zijn de r-utitilies meestal afgeschermd. Het programma rexd mag in geen enkel geval actief zijn. T C P session hijacking kan alleen worden voorkomen met behulp van end-to-end point encryptie. De 'Secure Shell' (ssh) is een goed voorbeeld van een vervanging voor de r-utilities.

6.4.7

NTP

Het Network Time Protocol (NTP) biedt de mogelijkheid van tijdsynchronisatie met andere NTP systemen. Tijdsynchronisatie wordt verkregen door een samenspel van N T P servers waarbij een of meerdere servers de tijd afleidt van een fysieke tijdbron, bijvoorbeeld een atoomklok. Deze servers worden stratum-0 servers genoemd. N T P is gebaseerd op U D P en gebruikt poort 123. Met behulp van NTP zijn computerklokken onderling binnen 10 ms nau wkeurig aan elkaar te synchroniseren. Dit maakt het mogelijk logfiles van verschillende machines onderling met elkaar te vergelijken om, bijvoorbeeld, een inbraakpoging te traceren. Verder is een dergelijk hoge mate van tijdsynchronisatie vereist bij sommige cryptografische authenticatie systemen die tijdsgelimiteerde sleutels gebruiken. Bedreigingen NTP is te beinvloeden door een computervandaal, waardoor de tijd van een of meerdere systemen gewijzigd zou kunnen worden. Hierdoor zouden tijdafhankelijke authenticatiegegevens opnieuw gebruikt kunnen worden. Maatregelen NTP biedt optioned de mogelijkheid tot cryptografische authenticatie op basis van onderlinge private keys. Eventueel kan een eigen interne stratum-0 server worden ingericht, waardoor geen afhankelijkheid ontstaat van niet controleerbare tijdservers.

6.4.8

SNMP

Het Simple Network Management Protocol (SNMP) wordt gebruikt voor remote beheer van computersystemen en netwerkapparatuur. Het maakt gebruik van UDP poorten 161 en 162. Bedreigingen Met het S N M P kan de configuratie van een systeem op afstand uitgelezen en eventueel bijgesteld worden. Het spreekt voor zich, dat compromittatie van het S N M P onmiddellijk leidt tot vergaande compromittatie van andere systemen. S N M P vormt een bijzonder grote bedreiging wanneer de beveiligingssystemen zelf te configureren zijn via het SNMP. Maatregelen Het gebruik van S N M P moet worden geminimaliseerd. Indien het gebruik van S N M P niet te vermijden is, dan moeten alle S N M P transacties zijn voorzien van authenticatie informatie en moet het SNMP-verkeer versleuteld over het netwerk worden verstuurd zodat data en authenticatiegegevens confidentieel blijven.



6.4.9

41


Finger

Met het finger protocol is informatie over user-accounts op afstand op te vragen. Het protocol kent geen authenticatie en maakt gebruik van T C P poort 79. Bedreigingen Oude implementaties van finger bevatten een security bug, waarmee een systeem gecompromitteerd kan worden. Deze bug werd door de bekende Internet Worm in 1988 gebruikt [Spa88]. Bij moderne implementaties levert het protocol op zich geen bedreiging op voor de netwerkveiligheid. Wel kan de informatie die een computervandaal met behulp van het finger protocol te weten komt, behulpzaam zijn bij verdere aanvallen. Het levert bijvoorbeeld kennis omtrent het bestaan van een user account, de naam van de persoon waartoe het account behoort, hoelang geleden het voor het laatst gebruikt i s en willekeurige aanvullende informatie die door de gebruiker zelf in de $HOME/ . p l a n en $HOME/ . pro j e c t files gezet kan worden. 12

Maatregelen Vanwege de indirecte bedreiging van het finger protocol kan het beter worden afgeschermd voor gebruik vanaf een extern netwerk.

6.4.10 X l l Het X l l protocol wordt gebruikt om de grafische weergave uit applicaties te kunnen weergeven op een remote hostsysteem, via het netwerk. X l l loopt over T C P en gebruikt poorten 6000 en hoger (Sun's Open Windows systeem — compatible met X l l — gebruikt T C P poorten 2000 en hoger). In X l l terminologie wordt het systeem waaraan het keyboard, de muis en het scherm zijn gekoppeld, de X-server genoemd. De applicaties die verbinding maken met een X-server worden de X-clients genoemd. Bedreigingen De authenticatie van een X I 1 sessie is slecht geregeld. In toenemende mate van veiligheid is authenticatie: • niet aanwezig; • gebaseerd op hostauthenticatie afgeleidt van het IP source adres; • gebaseerd op 128-bit passwords, de zogenaamde M I T - M A G I C - C O O K I E S . Deze worden echter onversleuteld verstuurd en kunnen door network sniffing worden onderschept; • cryptografisch en gebaseerd op DES gebruik makend van private keys; Sun's 'secure R P C of M I T Kerberos versie 5. Wanneer een X-client toegang heeft verkregen tot de X-server, is deze onder andere in staat de scherminhoud af te lezen en alle toetsaanslagen die de gebruiker maakt op te vragen. Dit laatste ook wanneer de gebruiker een password intikt. De X I 1 datastroom is niet versleuteld, waardoor network sniffing een bedreiging vormt. Maatregelen Het X I 1 protocol vormt een zo grote bedreiging voor de (netwerk)veiligheid, dat X I 1 verkeer op het interne netwerk moet worden afgeschermd voor externe netwerken. Enige mate van veiligheid wordt verkregen als de gehele X-sessie, inclusief de M I T - M A G I C C O O K I E S over een versleutelde TCP-sessie loopt. De 'Secure Shell' biedt deze optie. Indien geen versleutelde TCP-sessie mogelijk is, moet cryptografische authenticatie plaatsvinden. 12

Computervandalen gebruiken bij voorkeur slapende user accounts, omdat het gebruik hiervan niet opvalt bij de rechtmatige eigenaar van het account.


42

>. Overzicht van bedreigingen in de TCP/IP protocolfamilie

en generieke

maatregeh

6.4.11 HTTP Het HyperText Transfer Protocol (HTTP) wordt gebruikt bij het WWW. Het is gebaseerd op T C P (poort 80) en kent geen authenticatie. Bedreigingen Behalve de gebruikelijke bedreigingen die gerelateerd zijn aan TCP, levert HTTP geen aanvullende bedreigingen op. Wel biedt het W W W in combinatie met krachtige WEB-browsers een gemakkelijke wijze om virussen en trojan horses binnen te halen. Alle applicaties die gebruik maken van H T M L zijn gevoelig voor invloeden ten gevolge van de inhoud van de ontvangen data, zoals PostScript en Java-scripts. Maatregelen Gebruik beveiligde viewers (zoals secure PostScript en secure Java) om enigszins bescherming te bieden tegen trojan horses. Het is echter in de praktijk zeer moeilijk automatisch onderscheid te maken tussen een bedoelde actie en een trojan horse... Moderne application layer firewalls (zie paragraaf 7.3.2) hebben de mogelijkheid java-scripts en applets uit de HTTP datastroom te verwijderen, zodat ze niet bij de browser aankomen. Wanneer de gebruiker echter een Java-script via een andere weg binnenhaalt, kan de firewall geen bescherming bieden.

6.4.12 NNTP Het Network News Transfer Protocol (NNTP) wordt gebruikt voor de uitwisseling van zogenaamde news articles op het UseNet. Het protocol gebruikt T C P poort 119. Bedreigingen Behalve de gebruikelijke bedreigingen die gerelateerd zijn aan TCP, levert het N N T P geen aanvullende bedreigingen op. Tussen twee N N T P servers worden rechten verleend op basis van hostnaam authenticatie. Deze vorm van authenticatie is gevoelig voor hostnaam spoofing. Maatregelen Geen.

6.4.13 RPC Remote Procedure Calls (RPCs) vormen de basis van enkele bekende applicatieprotocollen, zoals NIS en NFS. B i j een R P C vraagt de clientsoftware bemiddeling aan bij een zogenaamde portmapper op het serversysteem. Deze levert op verzoek de U D P of T C P poort waarover de aangevraagde service (het werkelijke applicatieprotocol) loopt. Afhankelijk van het applicatieprotocol is de authenticatie als volgt geregeld: • Er wordt geen authenticatie gebruikt. • Er wordt Unix gebaseerde authenticatie gebruikt op basis van een combinatie van hostidentiteit (IP source adres of hostnaam) en user-id/group-id (Unix UID/GID). • Er wordt gebruik gemaakt van cryptografische authenticatie op basis van DES. Dit wordt ook wel Secure RPC genoemd.



(OSI: application

43

layer)

Bedreigingen Alle R P C authenticatiemethoden zijn door middel van geautomatiseerde tools gekraakt (inclusief Secure RPC). Secure R P C maakt gebruik van NIS voor de distributie van de DES sleutels. NIS is bijzonder gemakkelijk te misleiden. Daarnaast is de DES sleutel niet lang genoeg. De portmapper vormt een probleem op zich. Ten eerste zijn de geregistreerde R P C services op afstand, zonder enige vorm van authenticatie, uit te lezen met behulp van het rpcinfo(8) commando. Dit vormt een belangrijke bron van informatie voor de computervandaal ten aanzien van de services waarop een aanval kan worden ingezet. Ten tweede zijn de bij de portmapper geregistreerde R P C services op afstand te de-registreren, eveneens met rpcinfo. Dit is een denial-of-service aanval op het systeem omdat de betreffende R P C service hierdoor effectief uit de lucht is gehaald. Ten slotte is de portmapper te gebruiken als proxy systeem. Dat wil zeggen dat de portmapper 'op verzoek' een andere portmapper om een dienst kan vragen. Deze tweede portmapper denkt een verzoek te krijgen van een eventueel vertrouwd systeem, zonder in de gaten te hebben dat het werkelijke verzoek van buiten het interne netwerk komt. Met name de Unix hostauthenticatie methode faalt op dat moment. Een laatste probleem met betrekking tot R P C gebaseerde protocollen is dat de poortnummers voor de R P C applicatieservers niet van te voren vast liggen, maar dynamisch door de portmapper worden gealloceerd. Dit maakt het onmogelijk R P C gebaseerde protocollen te filteren met behulp van een IP packet filter (zie paragraaf 7.3.1). Maatregelen R P C gebaseerde protocollen mogen niet worden gebruikt over onbeveiligde netwerken. Hostsystemen waarop RCP gebaseerde services draaien moeten afgeschermd worden van direct IP verkeer uit een extern netwerk. Hierbij is het afschermen van de portmapper alleen (UDP en T C P poorten 111) niet voldoende. Ook de (dynamische) poortnummers van de werkelijke R P C gebaseerde protocollen moeten worden afgeschermd.

6.4.14 NIS Het Network Information Service (NIS) is een R P C gebaseerde U D P service. Het wordt gebruikt voor de distributie van enkele belangrijke Unix systeemconfiguratie files, waaronder de password rile ( / e t c / p a s s w d ) en de public en private key database voor Secure RPC. B i j NIS is er sprake van een zogenaamde master-server waarop de configuratie files worden bijgehouden en die het lokale netwerk bedient. Slave-servers bedienen de netwerken waarvan de master-server niet direct toegankelijk is en zorgen voor backup in geval de NIS master-server tijdelijk niet beschikbaar is. De NIS clients krijgen informatie via het netwerk van een NIS master- of slave-server aangeleverd. Een NIS client vindt zijn NIS master- of slave-server middels een broadcast tijdens de bootfase en kan tijdens het in bedrijf zijn van server wisselen indien zijn oorspronkelijke server geen antwoord meer geeft. Bedreigingen NIS is gebaseerd op RPCs (zie 6.4.13). Een NIS client is eenvoudig te misleiden, waardoor deze van willekeurige configuratie files is te voorzien (bijvoorbeeld de password file of de DES sleutels voor Secure RPC!). Een NIS server is gaarne bereid op verzoek alle onder NIS beheerde files naar een willekeurige host te sturen. Dit is een ideale bron van informatie voor de computervandaal. Maatregelen NIS mag niet gebruikt worden over onbeveiligde netwerken. Hostsystemen waarop NIS actief is (clients en servers) mogen niet vanaf een extern netwerk via IP benaderbaar zijn.


44


en generieke

maatregelen

6.4.15 NFS 13

Het Network File System (NFS) is een R P C gebaseerd protocol dat over U D P loopt. Ondanks dat N F S een R P C gebaseerd protocol is, gebruikt het in de praktijk altijd poort 2049. Dit laatste is overigens niet in de NFS standaard vastgelegd. Bedreigingen NFS is gebaseerd op RPCs (zie 6.4.13). Een NFS server verleent toegang op basis van Unix authenticatie (IP source adres in combinatie met een UID/GID combinatie). De authenticatie wordt uitgevoerd op het moment dat een client een zogenaamd 'mount request' uitvoerd. Deze vorm van authenticatie is absoluut ontoereikend voor de privileges die door een NFS server aan een client worden verleend. Na authenticatie krijgt de client van de NFS server een zogenaamde rootfile handle toegewezen waarmee toegang tot het filesysteem op de NFS server verkregen kan worden. Deze file handles zijn statisch en veranderen pas nadat het filesysteem op de NFS server opnieuw is aangemaakt — een proces dat normaal niet plaatsvindt. In de praktijk zal een N F S client implementatie bij ieder mount request opnieuw authenticatie aanvragen bij de NFS server. Wanneer echter de root file handle bij een computervandaal bekend is, kan deze hiermee te alien tijde het N F S file systeem opnieuw mounten, zonder door de authenticatiefase te gaan. Toegang tot het file systeem wordt zelfs verkregen wanneer de NFS server deze rechten voor de betreffende client heeft ingetrokken. NFS is door middel van geautomatiseerde tools volledig te compromitteren, onder andere omdat sommige implementaties van NFS een te voorspelbaar algorithme voor het bepalen van de root file handles gebruiken, waardoor deze geraden kunnen worden.

Maatregelen NFS mag niet gebruikt worden over onbeveiligde netwerken. Hostsystemen die gebruik maken van N F S mogen vanaf een extern netwerk niet benaderbaar zijn. Dit kan bereikt worden door poorten 111 (de portmapper)en 2049 (NFS) af te schermen. Overweeg het gebruik van het Andrew File System (AFS) wanneer network file services absoluut noodzakelijk zijn. AFS maakt gebruik van Kerberos authenticatie en biedt een veiiig alternatief voor NFS. A F S is echter niet beschikbaar op ieder platform. 14

6.4.16 Leverancier specifieke protocollen Leverancier specifieke protocollen zijn vaak niet gedocumenteerd waardoor de bedreiging op de netwerkbeveiling niet is in te schatten. In het algemeen lijden deze protocollen aan dezelfde problemen als hierboven omschreven: een slechte of op verkeerde informatie gebaseerde authenticatie, onversleuteld oversturen van authenticatiegegevens en onversleuteld oversturen van condifentiele data over het netwerk. De leverancier moet voldoende informatie omtrent het protocol beschikbaar kunnen stellen, om de bedreigingen ten aanzien van de veiligheid te kunnen inschatten. Beter, maar soms moeilijker uit te voeren is om zelf met een network sniffer het protocol van de leverancier te analyseren op versleuteling van data en passwords.

B

N F S versie 3 draait tegenwoordig ook over TCP.

als'™untd(8)

^todriSr**

g e b a S e e r d e

P


r o t o c o l l e n

n o

8

t e

benaderen zijn, inclusief de voor NFS gebruikte hulpprotocollen


45


6.4.17 Overigen Naast de bovengenoemde protocollen zijn er nog vele anderen. Vaak zijn deze als service op een hostsysteem aanwezig, zonder dat ze in gebruik z i j n . Dit omvat ook door individuele gebruikers gestarte services. 15

16

Maatregelen Schakel alle niet gebruikte netwerk services op hostsystemen uit. Dit geldt met name voor systemen die via IP vanaf een extern netwerk te benaderen zijn. Met behulp van het commando netstat(8) is een lijst op te vragen op welke U D P en T C P poorten de host op dat moment netwerkverbindingen accepteert.

"Denk bijvoorbeeld aan de ingebouwde inetd services echo, chargen, dicard, enzovoorts. Met behulp van deze services kan een denial-of-service aanval worden uitgevoerd op twee hostsystemen, door ze met elkaar te laten communiceren. Berucht is hier FSP, een connectionless variant van FTP. l6




en generieke

maatregelen

Hoofdstuk 7

Netwerkbeveiliging door middel van een firewall Een firewall is de meest effectieve wijze om een gecontroleerde koppeling te bewerkstelligen met een extern netwerk. Dit hoofdstuk geeft een overzicht van de verschillende technieken die in een firewall gebruikt worden en enkele basis architecturen volgens welke een firewall kan worden opgebouwd.

7.1

Definitie firewall

Een firewall is een verzameling van netwerkcomponenten die samen een gecontroleerde en beveiligde koppeling implementeert tussen een eigen, te beveiligen intern netwerk en een of meerdere externe netwerken. Op de firewall wordt door middel van technische hulpmiddelen het informatiebeveiligingsplan van een intern netwerk afgedwongen. De mate waarin de firewall een intern netwerk beveiligt, hangt sterk af van de gebruikte technieken en de architectuur van de firewall. Een eenvoudige firewall kan bestaan uit een enkel IP packet filter (ofwel screening router). Een uitgebreidere firewall kan zijn opgebouwd uit meerdere screening routers in combinatie met een of meerdere computersystemen waarop speciale software draait.

7.2 7.2.1

Beveiligingsmogelijkheden van een firewall Doel van een firewall

Het primaire doel van een firewall is het leveren van een veilige en gecontroleerde koppeling tussen het eigen interne netwerk en een of meerdere externe netwerken. Hierbij staat voorop dat bedreigingen van buitenaf op het interne beveiligingsdomein zo goed mogelijk worden afgeschermd. In feite wordt met behulp van de firewall het 'choke point' kenmerk gei'mplementeerd. Op de firewall worden de technische aspecten uit het informatiebeveiligingsplan afgedwongen. Tegelijkertijd wordt door middel van de systeemlogs het gebruik van de firewall gecontroleerd en kan worden vastgesteld of dit gebruik nog binnen de in het informatiebeveiligingsplan gestelde normen valt.

47

48

7.2.2

. Netwerkbeveiliging

door middel van een firewall

Waartegen biedt eenfirewallgeen bescherming

Hoewel een firewall een hoge mate van beveiliging tegen bedreigingen van een extern netwerk kan bieden, zijn er bedreigingen waartegen een firewall geen bescherming levert. In de eerste plaats kan de firewall geen bescherming bieden tegen netwerkverbindingen die buiten de firewall om lopen. Met andere woorden, de firewall moet het enige 'choke point' zijn. Een interne gebruiker mag dus niet in staat zijn zelf, bijvoorbeeld met behulp van een modem, een IP-verbinding op te zetten met een service provider om op die manier buiten de firewall om te werken. Ten tweede biedt een firewall geen of slechts matige bescherming tegen bedreigingen van binnenuit. Het is technisch mogelijk verboden protocollen door een firewall te tunnelen over toegestane verbindingen. Hiervoor is wel hulp van binnenuit noodzakelijk. Ook kan een werknemer via de firewall confidentiele data naar buiten sturen, maar dit kan ook gemakkelijk (en wellicht voor de werknemer onopvallender) via floppydisks en tapes gebeuren. Een firewall kan ook geen bescherming geven tegen virussen en trojan horses. Deze zouden via FTP, e-mail of het W W W naar binnen gehaald kunnen worden. Er zijn te veel soorten virussen en trojan horses — en te veel manieren om de data te coderen en comprimeren — om effectief de datastroom door de firewall te laten scannen en op die manier virussen buiten de deur te houden. Bovendien is nauwelijks aan te geven wanneer een stuk binnengehaald software, dat wellicht direct door een viewer wordt geexecuteerd, een gewenste applicatie voorstelt of een trojan horse is. Algemene regels hiervoor zijn niet in een firewall vast te leggen. In de praktijk blijken er ook nog andere wegen buiten de firewall om te zijn via welke virussen kunnen worden binnen gehaald, bijvoorbeeld via floppydisks. Bescherming tegen virussen en trojan horses kan beter verkregen worden door de beschikbaarheid van goede virus-scanningtools en de gebruikers bewust maken van de risico's die onbekende programmatuur en documenten met zich mee brengen. 1

Tenslotte kan een firewall in principe geen bescherming bieden tegen nieuwe en onbekende bedreigingen. Door de firewall te baseren op de 'default deny stance' is deze niet kwetsbaar voor een groot deel van deze bedreigingen. Er blijft echter een risico bestaan dat een nieuwe aanvalstechniek de bestaande firewall of het achterliggende netwerk bedreigt. Een firewall moet dus met regelmaat worden bijgewerkt om bescherming te bhjven bieden tegen nieuwe aanvalstechnieken en om ontdekte bugs in de (beveiligings)software te verwijderen.

7.2.3

Invloed van eenfirewallop het netwerk

Zoals bij de meeste vormen van beveiliging het geval is, resulteert de implementatie ervan enig ongemak in het gebruik. Dit is bij een firewall ook het geval. Het meest in het oog springende ongemak is dat verboden protocollen of werkwijzen niet langer mogelijk zijn doordat deze technisch op de firewall worden afgeschermd, volgens de richtlijnen van een informatiebeveiligingsplan. Sommige gebruikers ervaren dit als een ernstig ongemak. Z i j moeten echter het nut van deze maatregelen inzien, anders bestaat het risico dat zij andere wegen, om de firewall heen, creeren om de geblokkeerde functionaliteit te verkrijgen. 'Universal participation' is hier het keyword. Een ander effect van de firewall is dat deze niet altijd transparant is voor gebruikers of de client-software die gebruikt wordt om services op het externe netwerk te benaderen. In sommige gevallen moeten de werkprocedures voor de gebruikers worden aangepast om door de firewall heen te werken. In andere gevallen moetde client-software 'firewall-aware' gemaakt worden. De mate waarin een firewall transparant is, wordt transparancy genoemd. Tenslotte kan de performance van de netwerkkoppeling lijden onder de aanwezigheid van een firewall. In hoeverre dit effect merkbaar is hangt af van het type firewall en de bandbreedte van de netwerkkoppeling 1

Is een Microsoft Word macro een bonafide onderdeel van het document of voert die macro iets ongewenst uit op het systeem?


7.3. Firewall

49

technieken

tussen beide netwerken. Meestal is de bandbreedte van de koppeling dermate laag, dat zelfs een complexe firewall de lijn nog kan verzadigen met IP-pakketten. B i j bandbreedtes vanaf circa 2 Mbps kan het effect van een firewall merkbaar worden. Het is duidelijk dat de hoogste transparancy en performance bereikt wordt zonder firewall. De mate van beveiliging is dan echter minimaal. Helaas is het zo dat naarmate het beveiligingsniveau van de firewall stijgt, de transparancy en performance van de netwerkkoppeling dalen.

7.3

Firewall technieken

Een firewall filtert netwerkverkeer tussen het interne en een extern netwerk. Afhankelijk van de plaats in de OSI netwerkstack waar dit filteren plaats vindt, wordt gesproken van: • Network Layer Firewalls, en • Application Layer Firewalls. Bij de network layer firewall is er sprake van direct IP-verkeer tussen het interne en externe netwerk. De firewall filtert dan op basis van de inhoud van de IP-pakketten die tussen beide netwerken gerouteerd worden. De application layer firewall staat geen direct IP-verkeer toe tussen beide netwerken. In plaats hiervan draaien speciale hulp-applicaties, de zogenaamde proxyservers, die communicatie tussen het interne en externe netwerk toch mogelijk maken. Deze proxies draaien op de zogenaamde bastion host.

7.3.1 Network layerfirewalls(IP packet filters) Network layer firewalls maken gebruik van een techniek die bekend staat onder de naam IP packet filtering. Hiervoor bestaan speciale netwerkcomponenten, meestal routers, maar soms ook normale hostsystemen met speciale software, die in staat zijn het gerouteerde IP-verkeer al dan niet door te laten aan de hand van een set regels: de IP filterregels. Deze vormen tezamen de access list van het filter. Er zijn twee soorten packet filters: normale of statische en dynamische.

7.3.1.1

Statische IP packet filters

Een IP packet filter is meestal een router die in staat is selectief IP-pakketten door te laten. Een dergelijke router wordt ook wel een screening router genoemd. IP packet filters kunnen ook aanwezig zijn in de vorm van ingebouwde kernel software op (Unix) systemen. Een goed IP packet filter voldoet aan de onderstaande lijst van eisen. Deze lijst is gesorteerd naar afnemende mate van belangrijkheid en een IP packet filter moet in ieder geval de eerste vier eisen implementeren. 1. Het IP packet filter moet werken volgens de 'default deny stance'. Indien om welke reden dan ook de IP filterregels niet geladen kunnen worden, zal het packet filter alle verkeer moeten blokkeren. 2. Ieder IP-pakket kan selectief worden doorgelaten op grond van de volgende packet inhoud: IP source address, IP destination address, IP-options, protocol-type (ICMP, U D P of TCP), type I C M P bericht, U D P / T C P source poort, U D P / T C P destination poort en TCP-flags. 3. Het filter moet IP source adres spoof-detectie bezitten (zie paragraaf 6.2.2). Dat wil zeggen dat van ieder binnenkomend IP-pakket het IP source adresveld wordt gecontroleerd. Als blijkt dat dit een


50

7. Netwerkbeveiliging


adres betreft dat behoort tot een netwerk dat aan een van de andere netwerkinterfaces is gekoppeld is er sprake van IP source adres spoofing. IP source adres spoofing is bijna altijd een indicatie dat er actief wordt getracht het interne netwerk te compromitteren. Dit soort IP-pakketten moeten geweigerd en gelogd worden. 2

4. Ieder doorgelaten dan wel geweigerd IP-pakket moet naar keuze gelogd kunnen worden met voldoende informatie omtrent de reden waarom het pakket werd doorgelaten, dan wel geweigerd. B i j voorkeur moet deze log-informatie onmiddellijk beschikbaar zijn op een hostsysteem waar automatische loganalyse software draait. 5. Er kunnen afzonderlijke sets van IP filterregels worden gespecificeerd voor iedere aanwezige netwerkinterface. 6. Er kunnen afzonderlijke sets van IP filterregels worden gespecificeerd voor IP-pakketten die op een interface binnenkomen en voor pakketten die een interface verlaten. 7. Voor geweigerde IP-pakketten moet de mogelijkheid bestaan een T C M P destination administratively unreachable' bericht terug te sturen naar de afzender. Een T C M P destination unreachable' bericht is hiervoor minder geschikt omdat sommige TCP/IP implementaties verkeerde conclusies trekken uit het ontvangen van een dergelijk bericht. 3

Aan het gebruik van IP packet filters zijn de onderstaande voor- en nadelen verbonden. Voordelen van IP packet filters • IP packet filters zijn relatief goedkoop. Vaak is een filter module standaard aanwezig in de besturmgssoftware van routers. Dit geldt onder andere voor routers van het merk Cisco en Wellfleet. • IP packet filters bieden een hoge netwerk performance. Verzadiging van een 34 a 100 Mbps lijn is haalbaar. Naarmate de access list groeit, neemt de performance af. • Een IP packet filter is transparant voor de clientsoftware. De gebruikers kunnen zonder gewijzigde werkprocedures externe netwerkservices benaderen (voor zo ver dit door de firewall wordt toegestaan). • Een IP packet filter is fiexibel. Het doorlaten van een nieuw netwerkprotocol vereist slechts het opstellen en toevoegen van aanvullende IP filterregels in de access list. • Het tijdelijk uitvallen van het IP packet filter heeft, afgezien van een korte onderbreking, geen directe gevolgen voor bestaande TCP-sessies. Deze zullen in het algemeen niet worden afgebroken. Nadelen van IP packet filters • De syntax van de IP filterregels is lastig en verwarrend. Vaak is het opstellen van de filterregels nog wel te doen, maar het interpreteren van bestaande regels is zeer ingewikkeld. (Een reele access list beslaat gemakkelijk enkele tientallen tot honderden regels.) • Voor het opstellen van de juiste IP filterregels is diepgaande kennis nodig van de werking van de netwerkprotocollen. Denk- of interpretatie-fouten zijn snel gemaakt. • Van een set IP filterregels is zeer moeilijk aan te tonen dat ze het beoogde doel correct implementeren. F a ]

t t e n m e

e e

d a t

b i

e e n

be

'Z' / ' " adres J PaaW netwerk behoort, lcunnen niet binnenkomen op een netwerkinterface die met een ander netwerk gekoppeld is. Als dit wel zo is, dan is blijkbaar het IP source adres moedwillig gewijzigd; iemand probeert op een extern netwerk een interne host te spoofen. icmana prooeen op J

0

r

l

T C P / I P

b r e k C n

b i j h £ t

n t V a n g e n

V a

I C M P

d e s t i n a t i o n

m e Z ! 7 ^ T , T T ° " *" ' ""reachable" bericht alle verbindingen ket fil destination administratively unreachable' bericht is later aan ICMP toegevoegd bij de opkomst van de IP D


7.3. Firewall

technieken

51

• Er treden gemakkelijk onbedoelde en vaak niet gedetecteerde interacties op tussen de IP filterregels van de verschillende door te laten protocollen. Hierdoor wordt meer IP-verkeer toegestaan dan de bedoeling is. • Sommige protocollen zijn dynamisch van aard en zijn nauwelijks in zinvolle IP filterregels te vatten.

4

• IP packet filters kunnen bugs bevatten, waardoor de werking ervan niet overeenstemt met de ingestelde IP filterregels. Deze bugs zitten vaak in de vertaling van de, nog enigszins voor mensen leesbare, IP filterregels naar een intern machineformaat. • De feitelijke correcte werking van een ingesteld IP packet filter is nauwelijks te toetsen, omdat het aantal mogelijkheden hiervoor te groot is. Hierdoor blijven ook mogelijke bugs in de implementatie verborgen. • De logging-mogelijkheden van IP packet filters is vaak beperkt. Log-informatie kan soms niet in real-time naar een hostsysteem worden getransporteerd en er wordt te weinig informatie gelogd.

7.3.1.2

Dynamische IP packet filters

Een aantal van de nadelen van een statisch IP packet filter wordt opgelost door de zogenaamde dynamische, of context gevoelige IP packet filters. Deze hebben meer kennis van de sessie- en applicatielaag informatie van de IP-pakketten die worden gefilterd. Daardoor is het mogelijk protocollen met een meer dynamisch karakter toch goed te omschrijven in IP filterregels. Voorbeeld 1: UDP en TCP connecties Een dynamisch IP packet filter is in staat voor iedere toegestane UDP of T C P verbinding dynamisch een filterregel te activeren die de retourpakketten van die verbinding doorlaat. (Een statisch IP packet filter moet hiervoor constant de gehele range van ephemeral poorten, te weten 1024—65535, open hebben staan voor retour IP-verkeer.) Voorbeeld 2: het F T P protocol Het F T P protocol gebruikt een willekeurig gekozen TCP-poort voor het opbouwen van de dataverbinding (zie ook paragraaf 6.4.2). Bij een statisch IP packet filter moet bijna de gehele reeks TCP-poorten (102465535) voor binnenkomende IP-pakketten worden opengezet om FTP toe te staan. Een dynamische IP packet filter 'kijkt' mee met de FTP controleverbinding en bepaalt aan de hand van het PORT commando de feitelijke TCP-poort die voor de dataverbinding wordt gebruikt. Dynamisch zal dan een IP filterregel worden geactiveerd die slechts tijdelijk die ene TCP-poort openzet. Voorbeeld 3: RPC gebaseerde protocollen Ook de R P C gebaseerde protocollen (zie paragraaf 6.4.13) kunnen op deze wijze op correcte wijze gefilterd worden, omdat het dynamisch IP packet filter de werking van de portmapper begrijpt en kan meekijken met de inhoud van ieder RPC-pakket. Ten opzichte van een statisch IP packet filter gelden de volgende voor- en nadelen voor een dynamisch IP packet filter. Additionele voordelen van een dynamisch IP packet filter • De kans op onbedoelde interacties tussen IP filterregels is kleiner doordat de regels voor het retourverkeer dynamisch worden gei'mplementeerd (alle U D P en T C P verbindingen). 4

Dat wil zeggen dat het doorlaten van een dergelijk protocol neerkomt op het toestaan van bijna al het IP-verkeer.


52



• Protocollen met een dynamische poort-allocatie kunnen veilig(er) gefilterd worden (bijvoorbeeld FTP en R P C gebaseerde protocollen). • Dit soort IP niters is vaak in de vorm van software uitgevoerd die op een hostsysteem draait. De loggingmogelijkheden zijn beter dan die van screening routers. Additionele nadelen van een dynamisch IP packet filter • Vanwege de grotere complexiteit van de software geldt er een verhoogd risico op de aanwezigheid van bugs in de implementatie. • Een dynamisch IP packet filter is niet 'stateless'. Wanneer de host waarop de software draait boot, gaan alle dynamisch toegevoegde IP filter regels verloren. Lopende UDP- en TCP-sessies zullen in het algemeen niet voortgezet kunnen worden wanneer het filter weer operationeel is.

7.3.2

Application layerfirewalls(proxy systemen)

Bij de IP packet filter systemen is steeds sprake van direct IP-verkeer tussen het interne en externe netwerk. De proxy gebaseerde systemen werken volgens het principe dat er geen direct IP-verkeer mogelijk is tussen de gekoppelde netwerken. In plaats hiervan loopt een TCP-verbinding via een speciale applicatie die voor de verbinding door de firewall zorgt. Deze helper applicaties worden prvxyservers genoemd. Een proxyserver werkt globaal als volgt. Wanneer een interne client verbinding wil maken met een server op het externe netwerk, richt deze het verzoek aan de proxyserver in plaats van de externe server. De proxyserver zal dan een TCP-verbinding met de externe server opzetten. De proxyserver onderhoudt dus twee aparte TCP-sessies: een met de interne client en een met de externe server. Zolang de client of server de verbinding niet afbreekt, zal de proxy de datastroom tussen beide TCP-sessies doorgeven, waardoor de interne client data kan uitwisselen met de externe server. Hetzelfde principe wordt gebruikt om van buitenaf een interne server via een proxy te benaderen. Strong userauthenticatie is dan wel een absoluut vereiste. Omdat de proxy de data op applicatieniveau doorgeeft, is voor ieder applicatieprotocol (bijvoorbeeld Telnet, FTP, HTTP, enzovoorts) een afzonderlijk type proxyserver nodig. Voordelen van proxy gebaseerde systemen • Er is geen direct IP-verkeer mogelijk tussen het interne netwerk en een extern netwerk. Deze maatregel beperkt in grote mate de bedreigingen die uit het externe netwerk het interne netwerk in gevaar kunnen brengen. • Omdat er geen direct IP-verkeer met het externe netwerk plaats vindt, hoeft het interne netwerk niet perse voorzien te zijn van geregistreerde IP-nummers. Er kan gebruik worden gemaakt van IP-nummers uit de zogenaamde private IP space, zoals vastgelegd in RFC1597 [Rek94]. Wanneer toch onverhoopt intern IP-verkeer uit de private IP space op het externe netwerk terecht komt, zal dit niet verder gerouteerd kunnen worden. Dit is een extra veiligheid volgens het principe 'defense in depth'. • Een proxyserver heeft kennis van het door te laten applicatieprotocol waardoor deze ook hierop kan filteren. Bijvoorbeeld, een FTP get commando is toegestaan, maar een F T P put kan door de FTP-proxy worden tegengehouden. • Voordat een proxyserver een client met een service verbindt, kan initiele userauthenticatie plaatsvinden. Alleen geautoriseerde gebruikers mogen via de proxy door de firewall werken, of de proxy kan een bepaalde groep gebruikers gevaarlijke mogelijkheden van een applicatieprotocol verbieden.


7.3.

Firewall

53

technieken

• Proxyservers leveren, vanwege hun kennis van het applicatieprotocol, zeer goede en gedetailleerde log-informatie. Nadelen van proxy gebaseerde systemen • Proxyservers werken voornamelijk op TCP-sessies. UDP proxies bestaan wel, maar zijn eenvoudiger van opzet (initiele userauthenticatie is meestal niet mogelijk). • Een firewall op basis van proxies is minder flexibel dan een IP packet filter. Voor ieder door te laten applicatieprotocol moet een speciale proxyserver beschikbaar zijn. A l s deze er niet is, moet er software geschreven worden. • De performance van een proxyserver is lager dan wanneer op dezelfde hardware een IP packet filter gei'mplementeerd zou zijn. • Proxyservers zijn in het algemeen niet transparant voor gebruikers of clientsoftware. In sommige gevallen moet de clientsoftware worden aangepast om deze proxy-aware te maken. In andere gevallen kan de clientsoftware ongewijzigd blijven, maar moeten de gebruikers een afwijkende procedure toepassen om door de firewall te werken. Bijvoorbeeld, het opbouwen van een Telnet-sessie naar een externe server (gw.pinewood.nl) doorde firewall (gateway), waarbij de proxy userauthenticatie vereist, verloopt als volgt: 5

myhost% t e l n e t gateway T r y i n g 192.168.1.1... C o n n e c t e d t o 'gateway.md.minvenw.nl' Username: mary C h a l l e n g e 176553? ******* Welcome t o t h e T e l n e t Gateway S e r v i c e , p l e a s e use t h e 'connect' command t o t e l n e t t o e x t e r n a l systems. T e l n e t gateway> connect gw.pinewood.nl T r y i n g 194.171.50.9... C o n n e c t e d t o 'gw.pinewood.nl' gw.pinewood.nl l o g i n : _ • In het geval dat de host waarop de proxies draaien of de proxyserver zelf uitvalt, wordt de verbinding tussen de interne client en de externe server afgebroken. Proxyservers zijn dus niet 'stateless'. • Proxyservers zijn niet voorzien van IP source adres spoof-detectie. Een dergelijke voorziening vereist ingrijpen in de TCP/IP code in de kernel of is aanwezig in de vorm van een IP packet filter module.

7.3.3

Bastion hosts 6

Een bastion host is gedefinieerd als een host op het interne netwerk die direct gekoppeld is aan een extern netwerk. Deze host is dus direct blootgesteld aan alle bedreigingen vanaf het externe netwerk en moet derhalve een extreem goede hostbeveiliging bezitten. 5

Het programma netscape is reeds proxy-aware en hoeft alleen maar ingesteld te worden op de aanwezigheid van een proxy gebaseerde firewall. Met andere woorden: een host die via IP vanuit een extern netwerk te benaderen is. 6


54



De naam 'bastion host' wordt meestal toegekend aan het systeem waarop de proxyservers van een application layer firewall draaien. Strikt genomen zijn er echter andere vormen van bastion hosts. Publieke FTP- en WWW-servers zijn meestal ook vanaf het externe netwerk via IP te benaderen en vallen volgens de definitie ook in de categorie 'bastion host'. Een speciale klasse van bastion hosts zijn de zogenaamde victim of scape goat machines. Dit zijn speciale hosts die, omdat ze een onveilig protocol gebruiken dat niet door de firewall wordt toegelaten, direct aan het externe netwerk zijn gekoppeld. Interne gebruikers loggen dan aan op de victim machine om gebruik te maken van het onveilige protocol. De naam 'victim' en 'scape goat' geeft al aan dat de netwerkveiligheid niet in het geding is wanneer deze machines gecompromitteerd raken. In de literatuur wordt met de term 'bastion host' bijna altijd de machine bedoeld waarop de proxyservers draaien. In dit rapport zal deze conventie ook worden gehanteerd.

7.4

Basisfirewallarchitecturen

De wijze waarop de verschillende netwerkcomponenten in een firewallsysteem zijn gekoppeld, bepaalt de architectuur van de firewall. Alhoewel er een onbeperkt aantal verschillende architecturen mogelijk is worden enkele basis vormen nader verklaard: • de screened network architectuur, • de screened host architectuur, • de screened subnet architectuur en • de dual-homed bastion host architectuur. De keuze van een bepaalde architectuur hangt af van de eisen ten aanzien van de flexibiliteit, de transparancy (het gebruikersgemak), de gewenste performance en de initiele hard- en software kosten van de firewall. Voor een uitgebreide beschrijving van deze zaken zie paragraaf 2.3. Verder bepaalt de architectuur in grote mate de kwaliteit van de firewall zelf. Deze is gerelateerd aan de algemeen toepasbare beveiligingsstrategieen zoals die zijn beschreven in 2.4. Een totaaloverzicht van de voor- en nadelen van de verschillende basis firewall architecturen is te zien in figuur 7.1. Naast de initiele hard- en software kosten van de firewall moet rekening gehouden worden met installatie en configuratie kosten. Deze zijn voor de verschillende firewall architecturen niet wezenlijk verschillend.

7.4.1

Screened network

Figuur 7.2 geeft de architectuur van een screened network weer. B i j dit type firewall is direct IPverkeer tussen beide netwerken mogelijk en wordt een screening router ingezet (statisch of dynamisch) om bedreigingen vanuit het externe netwerk af te schermen. Deze architectuur implementeert dus een network layer firewall. Afwegingen De gehele beveiliging is gebaseerd op een screening router, al dan niet dynamisch van aard, met alle bijbehorende voor- en nadelen. Er is sprake van direct IP-verkeer tussen het externe netwerk en iedere interne host die communicatie mag voeren met het externe netwerk volgens de IP filterregels op de screening router. Dit opent de weg voor een klasse van bedreigingen (zie hoofdstuk 6) en maakt het onmogelijk gebruik te maken van een private IP space op het interne netwerk.


7.4. Basis firewall

55

architecturen

kwaliteit

n

g

V

O

r

m

4 3 2 1

direct IP-verkeer

4

e

3 2 2 1

private IP space

3

m

3 3 2 1

diversity of defense

2

* +

4 3 2 1

simplicity

1

1 1 1 1 2 2* 2 2 3 2* 2 2 3 3 2 2

failure mode

slecht

defense in depth

dual-homed B H

performance

screened subnet

transparancy

screened host

flexibiliteit

kosten screened network

N J J J

+

J N* N* N

naar screened network mogelijk

m i t s netwerkinterface twee IP adressen aankan

Figuur 7.1: Totaaloverzicht van de voor- en nadelen van verschillende basis firewall architecturen. De relatieve normering 1-4 loopt van goed tot slecht (1 is beter dan 2; 2 beter dan 3 en 3 beter dan 4).

De initiele hard- en software kosten van deze architectuur liggen, afhankelijk van het type router, in de orde van 5 k F l voor een statische screening router tot meer dan 50 k F l voor de dynamische variant. De flexibiliteit, de transparancy en de performance zijn uitstekend. De kwaliteit van de firewall is laag. Er is geen enkele vorm van 'defense in depth'. Compromittatie van de screening router leidt onmiddellijk tot het wegvallen van alle beveiligingsmaatregelen. De 'failure mode' is bijzonder slecht. Wanneer iets fout loopt, kan het gehele interne netwerk transparant gekoppeld worden aan het externe netwerk, zonder enige vorm van beveiliging. De architectuur lijkt simpel, maar de op de screening router in te stellen IP filterregels zijn complex en moeilijk te overzien.

Tenslotte bestaat de firewall uit een component, waardoor er geen sprake kan zijn van 'diversity of defense'.

7.4.2

Screened host

De screened host architectuur is weergegeven in figuur 7.3. Deze architectuur lijkt op de screened network architectuur, met toevoeging van een bastion host. De screened host architectuur implementeert echter een application layer firewall. De screening router is zodanig ingesteld dat er geen direct IP-verkeer tussen het interne en externe netwerk gerouteerd wordt. Alleen de bastion host is (in beperkte mate) vanaf het externe netwerk via IP te benaderen volgens de IP filterregels op de screening router. Alle communicatie tussen het interne en externe netwerk loopt via proxyservers op de bastion host. Eventuele publieke servers (FTP, W W W ) worden direct op het externe netwerk geplaatst, achter de screening router.


56



Extern netwerk

direct IP-verkeer naar interne hosts toegestaan

screening router

screenednetwork

Intern netwerk

Figuur 7.2: Screened network firewall architectuur.

Compromittatie van deze servers geeft een computervandaal dan geen toegang tot het interne netwerk.

7

Afwegingen

^XeclwVl varbedreigLgen

TT* "

a r c h i t e c t u u r

i s

e t W e r k e n

Pt

e r

s

P

'°° - ™

f a k e

™ « » ^Plication level firewall, waarbij

^

n e t W e r k

a f

^

e e n

^

Mite het operating systeem op de bastion host toestaat dat een netwerkinterface met twee IP netwerken verbonden kan zijn, IS IP nummering op basis van private IP space mogelijk voor het interne netwerk. De initiele hard- en software kosten van een screened host architectuur zijn hoger door de aanwezigheid van een bastion host (15 kFl) en de eventueel daarop draaiende firewall software (0-30 kFl) De^creening router kan van het statische type zijn (kosten: 5 kFl). Hiermee liggen de totale initiele h L - enZZ7e kosten op area 50 kFl. De flexibiliteit, transparancy en performance van de firewall is beperkter dan Z van een screened network architectuur doordat er gewerkt wordt op basis van proxyservers


7.4. Basis firewall

57

architecturen

Extern netwerk

Publieke FTP/WWW Servers

direct IP-verkeer naar bastion host toegestaan | screening router

screened

host

direct IP-verkeer naar interne hosts VERBODEN

Figuur 7.3: Screened host firewall architectuur.

Dit alles resulteert echter in een hogere kwaliteit van de firewall. Er is een grotere mate van 'defense in depth' maar de 'failure mode' is gelijk aan die van een screened network firewall. De 'simplicity' is beduidend toegenomen omdat de IP filterregels op de screening router slechts voor de bastion host geschreven hoeven worden. In uitzonderlijke gevallen is deze application level firewall uit te breiden met services op basis van een network layer firewall. Deze screened host/network mengvorm wordt verkregen door op de screening router voor geselecteerde protocollen (die niet in de vorm van een proxy doorgelaten kunnen worden), IP filterregels op te nemen die direct IP-verkeer toestaan met het externe netwerk. Deze mengvorm wordt echter afgeraden omdat het alle nadelen van de screened network architectuur met zich meedraagt.

7.4.3

Screened subnet

Het model van de screened host architectuur kan worden uitgebreid met nog een screening router zoals is weergegeven in figuur 7.4. Dit wordt een screened subnet architectuur genoemd. De bastion host bevindt zich op een afzonderlijk netwerk dat door middel van een exterior router is gekoppeld


58



direct IP-verkeer naar interne hosts VERBODEN

direct IP-verkeer naar bastion host toegestaan

perimeter

'

1

^ 1

1t

netwerk

Publieke FTP/WWW Servers

1

internal host

Intern netwerk

Figuur 7.4: Screened subnet firewall architectuur met perimeter netwerk.

met het externe netwerk en door middel van een interior router is gekoppeld met het interne netwerk. Het tussenliggende netwerk wordt het. perimeter netwerk of de De-Militarized Zone (DMZ) genoemd. Ook bij deze architectuur zorgen de screening routers ervoor dat er geen direct IP-verkeer mogelijk is tussen het interne en externe netwerk. De exterior router staat alleen IP-verkeer toe tussen het externe netwerk en de bastion host, eventueel voorzien van beperkingen. De interior router laat alleen IP-verkeer door tussen het interne netwerk en de bastion host. Alle communicatie verloopt via proxyservers op de bastion host.

Afwegingen In vergelijking met de screened host architectuur is er tevens sprake van een application level firewall, waarbij geen direct IP-verkeer tussen beide netwerken loopt. Dit schermt het interne netwerk af tegen een klasse van bedreigingen. IP nummering op basis van private IP space is mogelijk voor het interne netwerk. Ten opzicht van de screened host architectuur liggen de kosten hoger door de aanwezigheid van een extra (statische) screening router (5 kFl). Hiermee komen de totale initiele hard- en software kosten te liggen op circa 55 kFl. De flexibiliteit, transparancy en performance van dit type firewall is gelijk aan die van de screened host architectuur.


7.4. Basis firewall

59

architecturen

Wel is er sprake van een nog hogere mate van 'defense in depth' en een (iets) betere 'failure mode'. Beide screening routers moeten gecompromitteerd zijn voordat het interne netwerk zonder beveiliging gekoppeld kan worden met het externe netwerk. De interior router beschermt het interne netwerk tegen network sniffing vanaf de bastion host in het geval deze gecompromitteerd raakt. De screened subnet architectuur heeft een 'simplicity' die van dezelfde orde is als die van de screened host architectuur. Door voor beide screening routers niet hetzelfde type of merk te kiezen is 'diversity of defense' mogelijk. Ook de screened host/network mengvorm is nog mogelijk. Eventuele publieke netwerkservers (FTP, W W W ) kunnen op het perimeter netwerk geplaatst worden waardoor enige bescherming door de exterior router verkregen wordt, zonder dat compromittatie van deze servers een directe bedreiging vormt voor het interne netwerk. Ten koste van de mate van 'defense in depth' kan eventueel bespaard worden op de exterior router. Dit geldt zeker indien de bastion host zelf is voorzien van een IP packet filter module in de kernel. Let er wel op dat wanneer de bastion host enige hostauthenticatie uitvoert op basis van een IP source adres, IP spoof detectie aanwezig moet zijn. Wanneer deze alleen in de exterior router aanwezig is, mag deze uiteraard niet komen te vervallen. De interior router mag niet komen te vervallen. Deze vormt een belangrijke bescherming tegen network sniffing vanaf de bastion host wanneer deze gecompromitteerd is. 8

7.4.4

Dual-homed bastion host

De architectuur op basis van een dual-homed bastion host is weergegeven in figuur 7.5. Deze architectuur is verkregen door het perimeter netwerk uit de screened subnet architectuur in tweeen te splitsen en deze delen te koppelen door middel van een bastion host voorzien van twee netwerkinterfaces (een zogenaamde dual-homed host). Wanneer gegarandeerd kan worden dat de bastion host geen IP-verkeer routeert tussen de twee netwerkinterfaces, kan bij deze architectuur in geen enkel geval het interne netwerk met het externe gekoppeld worden op basis van IP. Eventuele publieke F T P en W W W servers worden geplaatst op het perimeter netwerk tussen de bastion host en de exterior router. Overwegingen In vergelijking met de screened subnet architectuur is er tevens sprake van een application level firewall, waarbij geen direct IP-verkeer tussen beide netwerken loopt. Dit schermt het interne netwerk af tegen een klasse van bedreigingen. IP nummering op basis van private IP space is mogelijk voor het interne netwerk. Ten opzichte van de screened subnet architectuur zijn de kosten, op een extra netwerkinterface na, van gelijke orde (circa 55 kFl). Ook de transparancy en performance zijn ongewijzigd. De flexibiliteit is echter afgenomen, omdat de dual-homed bastion host architectuur de screened host/network mengvorm niet toestaat. Deze beperking resulteert echter in een belangrijke verbetering van de kwaliteit van de firewall. De 'defense in depth' is toegenomen, omdat nu, naast de twee screening routers, ook de bastion host gecompromitteerd moet worden om tot het interne netwerk door te dringen. De 'failure mode' is bijzonder goed, omdat, welke componenten ook gecompromitteerd raken, er in geen enkel geval direct IP-verkeer mogelijk is tussen het interne en externe netwerk. 8

Het verwijderen van de interior router doet de architectuur terugvallen tot een screened host architectuur.


60



perimeter netwerk

Figuur 7.5: Dual-homed bastion host firewall architectuur met perimeter netwerk.

Wanneer de kernel van de bastion host is voorzien van een ingebouwd IP packet filter module, kan de 'defense in depth' nog verder worden opgevoerd door hierin redundante IP filterregels te defini'eren als aanvulling op de interior en exterior routers. Ten koste van de mate van 'defense in depth' kan eventueel bespaard worden op de exterior router. Dit geldt zeker indien de bastion host zelf is voorzien van een IP packet filter module in de kernel. De interior router mag echter niet komen te vervallen! Deze vormt een belangrijke bescherming tegen network sniffing vanaf de bastion host wanneer deze gecompromitteerd is.


Hoofdstuk 8

Beveiligingsmodel voor VenWnet bij koppeling met externe netwerken Het VenWnet bestaat uit een backbone en hierop aangesloten netwerken (zie hoofdstuk 3). Dit zijn netwerken die behoren tot dienstonderdelen van Verkeer en Waterstaat en overige netwerken, zoals bijvoorbeeld het RCCnet, een inbelnet en het Internet. B i j het kiezen van maatregelen ter bescherming van het interne netwerk van een dienstonderdeel tegen bedreigingen vanuit het VenWnet moet de volgende vraag in overweging genomen worden: "Wie kunnen er (potentieel) via de VenWnet koppeling op het interne netwerk doordringen en in hoeverre stellen we vertrouwen in deze personen." Vanuit het oogpunt van een dienstonderdeel (bijvoorbeeld de Meetkundige Dienst) zijn er verschillende partijen op het VenWnet te onderscheiden: 1. De netwerken van de overige VenW dienstonderdelen die een koppeling hebben met het VenWnet. 2. Aangesloten netwerken van organisaties die buiten de VenW organisatie vallen, bijvoorbeeld het RCCnet en leveranciers die inbellen ten behoeve van het beheer (outsourcing). 3. Het wereldwijde Internet. 4. De backbone van het VenWnet zelf (momenteel in beheer bij EDS). Het beveiligingsmodel dat voor het netwerk gekozen zal worden en hoe dit model in detail wordt ingevuld hangt in grote mate af van het vertrouwen dat in bovenstaande partijen gesteld wordt. Bij de keuze van de maatregelen zal tevens meespelen: • De functionaliteit van de firewall: ondersteunt de firewall alle door te laten client/server applicaties en de hieraan gerelateerde netwerkprotocollen. • De transparancy van de firewall: welke gevolgen heeft de firewall voor bestaande client/server applicaties en de werkprocedures van gebruikers die door de firewall moeten. • De kosten van de beveiliging. Drie verschillende beveiligingsmodellen worden nader bekeken, waarbij steeds wordt uitgegaan van een bepaald verondersteld vertrouwen in de betrokken partijen.

61

62

8. Beveiligingsmodel

voor VenWnet bij koppeling met externe

netwerken

Model 1: intern netwerk beveiligingsdomein Indien geen enkel vertrouwen wordt (of kan worden) gesteld in de VenWnet backbone en de hierop aangesloten netwerken, bijvoorbeeld omdat er een onbeveiligde koppeling is tussen de backbone en het Internet of omdat er geen vertrouwen is in het beheer van de backbone met betrekking tot eventueel nieuw aan te sluiten netwerken, moet worden gekozen voor een beveiliging die kwalitatief hoog genoeg is om bescherming te bieden tegen bedreigingen vanuit de minst vertrouwde partij op het VenWnet. Dit zal een application layer firewall moeten zijn van het type dual-homed bastion host (zie paragraaf 7.4.4). In dit geval bestaat het beveiligingsdomein uit het eigen interne netwerk en bepaalt het dienstonderdeel zelf welke eisen binnen dit domein gelden. Alhoewel deze oplossing de meest veilige is, is zij in de praktijk moeilijk in te voeren. De problemen die een dergelijke firewall oplevert ten aanzien van de functionaliteit en transparancy zijn meestal onoverkomelijk: • Proxy servers (zie paragraaf 7.3.2) zullen ontwikkeld moeten worden voor specifieke client/server applicaties waarvoor geen standaard proxies beschikbaar zijn. • Bestaande client/server applicaties zullen eventueel gemodificeerd moeten worden om door de niettransparante firewall te werken. • Gebruikers die netwerkservices van een ander dienstonderdeel willen aanspreken (bijvoorbeeld Telnet of FTP) zullen gewijzigde werkprocedures moeten hanteren om door de firewall heen te werken. 1

• Omdat de VenWnet backbone niet te vertrouwen is, behoren network sniffing (zie paragraaf 6.2.1) en T C P session hijacking (zie paragraaf 6.3.4) tot reeele bedreigingen. Ten aanzien van verkeer dat over de VenWnet backbone loopt zullen de in hoofdstuk 2 aangegeven algemene maatregelen (data-encryptie en cryptografische of one-time password authenticatie) gehanteerd moeten worden. Conclusie: Model 1 biedt de hoogste mate van beveiliging maar is vanwege de beperkte functionaliteit van de firewalls en het gebrek aan transparancy technisch niet te realiseren in combinatie met het huidige gebruik van het VenWnet. Model 2: VenWnet beveiligingsdomein Wanneer volledig vertrouwen kan worden gesteld in de VenWnet backbone en de hierop aangesloten netwerken, is een eenvoudiger beveiligingsmodel mogelijk. Hierbij zijn de VenW dienstonderdelen zonder firewall aangesloten op de VenWnet backbone. Netwerken die niet volledig te vertrouwen zijn, moeten door middel van firewalls op de backbone worden aangesloten. Het beveiligingsdomein bestaat nu uit het gehele VenWnet met alle hierop aangesloten netwerken van VenW dienstonderdelen. Het model veronderstelt dat er volledig vertrouwen is ten aanzien van de beheerorganisatie van de backbone (momenteel EDS), de overige netwerken van VenW dienstonderdelen en de centrale beveiliging ten aanzien van het aansluiten van netwerken van buiten de VenW organisatie. De huidige organisatie van Verkeer en Waterstaat gaat (nog) uit van een grote mate van autonomiteit van ieder dienstonderdeel met betrekking tot het beheer van de netwerken, waardoor van onderling vertrouwen geen sprake is. Ook is er geen centrale netwerkorganisatie die de toegang tot de VenWnet backbone regelt en zorg draagt voor het handhaven van het vertrouwen dat de aangesloten dienstonderdelen in het VenWnet hebben. Conclusie: Model 2 biedt de minste beveiliging tegen bedreigingen maar is tegelijkertijd het meest transparant voor VenW applicaties tussen de VenW dienstonderdelen. Vanwege een gebrek aan vertrouwen en het ontbreken van een centrale beheerorganisatie voor het gehele VenWnet is dit beveiligingsmodel politiek niet haalbaar. 'Bedenk dat client/server applicaties en gebruikers twee maal door een niet-transparante firewall moeten: eenmaal door de eigen firewall om op de VenWnet backbone te komen en eenmaal door de firewall van het dienstonderdeel waar de netwerkservice wordt aangeboden.


63

Model 3: perimeternetwerk beveiligingsdomein Een perimeternetwerk beveiligingsmodel betekent dat er verschillende (in elkaar opgesloten) beveiligingsdomeinen te onderscheiden zijn: 1. Het beveiligingsdomein dat het eigen interne netwerk van een dienstonderdeel bevat; 2. Het beveiligingsdomein dat de gehele VenWnet backbone en de netwerken van de hierop aangesloten VenW dienstonderdelen bevat; 3. Het beveiligingsdomein van alle op het VenWnet aangesloten netwerken, inclusief die van derde partijen (bijvoorbeeld het RCCnet en het Internet). Dit is weergegeven in figuur 8.1.

Internet

RCC-net

Inbel-net Beveiligingsdomein

Firewall

Firewall

VenWnet backbone

Firewall

Firewall

VenWnet

Firewall • MD

DWW

1 MD-intem

Figuur 8.1: Perimeternetwerk beveiligingsdomein: er zijn verschillende beveiligingsdomein gedefinieerd die als het ware in elkaar zijn opgesloten. Het VenWnet beveiligingsdomein bevat de VenWnet backbone en alle netwerken van de dienstonderdelen van Verkeer en Waterstaat (hier zijn de M D en de D W W als voorbeeld getoond). Dit domein wordt beveiligd tegen bedreigingen uit externe netwerken (bijvoorbeeld het RCCnet, het Inbel-net en het Internet) door een of meerdere firewalls. Binnen het VenWnet domein bevinden zich de beveiligingsdomein van ieder afzonderlijk dienstonderdeel die tevens beschermd worden door een firewall. Binnen het domein van de M D is te zien hoe een deel van het eigen netwerk optioneel extra is af te schermen door een MD-intern beveiligingsdomein te definieren en deze achter een extra firewall te plaatsen. In dit beveiligingsmodel zijn er twee verschillende type koppelpunten te onderscheiden: de koppeling tussen een netwerk van een dienstonderdeel met de VenWnet backbone en de koppeling tussen de backbone en een extern (niet VenW) netwerk. Het aansluiten van een interne netwerk met de VenWnet backbone geschiedt door middel van een network layer firewall (zie paragraaf 7.3.1) die vanwege de hoge transparancy een goede koppeling levert voor


64

I Beveiligingsmodel

voor VenWnet bij koppeling met externe netwerken

de verschillende client/server applicaties tussen de dienstonderdelen van VenW. Deze firewall is een compromie tussen de mate van beveiliging en de haalbare functionaliteit en beschikbare transparancy Er wordt enige mate van (maar geen volledig) vertrouwen gesteld in de VenWnet backbone en de overige VenW dienstonderdelen. Het aansluiten van de externe netwerken (bijvoorbeeld het RCCnet, het Internet, enzovoorts) met de VenWnet backbone geschiedt door middel van firewalls van hogere kwaliteit. Afhankelijk van de ingeschatte risico s kunnen dit eenvoudige network layer firewalls zijn tot hoog beveiligde application layer firewalls van het type dual-homed bastion host (zie paragraaf 7.4.4). Zij moeten echter een dermate hoge bescherming bieden dat het gestelde vertrouwen in de VenWnet backbone behouden blijft. Dit beveiligingsmodel biedt een grote mate van flexibiliteit in de configuratie. Ieder dienstonderdeel kan zelf bepalen welke mate van beveiliging gewenst is en kan kiezen voor een koppeling met het VenWnet op basis van een network layer firewall in de vorm van een screening router of een dynamisch packet filter Eventueel kan een deel van het interne netwerk extra beveiligd worden door dit achter een application layer network firewall te plaatsen. Hiermee ontstaat een extra intern beveiligingsdomein In extreme gevallen kan een enkel dienstonderdeel kiezen voor een application layer firewall volgens het interne netwerk' beveiligingsdomein, waarbij geen enkel vertrouwen in het VenWnet wordt gesteld. De verschillende koppelpunten met het VenWnet en koppelingsmogelijkheden worden nader besproken: 1. Koppeling van intern netwerk met de VenWnet backbone; 2. Koppeling van het VenWnet met het Internet; 3. Koppeling van het VenWnet met overige externe netwerken; 4. Virtual private networks.

8.1

Koppeling van intern netwerk met de VenWnet backbone

Bij de koppeling van het interne netwerk aan het VenWnet spelen de gewenste functionaliteit en de transparancy van de firewall een dominerende rol. Als gevolg hiervan moet worden gekozen voor een transparante network layer firewall. Afhankelijk van de beveiligingseisen en de door te laten netwerkprotocollen kan worden gekozen voor een (statisch) packet filter of een dynamisch packet filter. Netwerkverkeer dat door de firewall en over het VenWnet naar een ander VenW dienstonderdeel loopt zal afhankelijk van de ingeschatte bedreigingen, op verschillende manieren beschermd kunnen worden tegen network sniffing en T C P session hijacking: • Onversleuteld — dit is de minst veilige optie. Alle verkeer kan worden afgeluisterd waardoor de exclusiviteit van authenticatiegegevens en confidentiele data in gevaar is. Ook bestaat er het gevaar van T C P session hijacking. • Strong authentication — authenticatiegegevens worden beschermd tegen network sniffing door gebruik te maken van cryptografische authenticatie, one-time passwords of challenge-response systemen. De exclusiviteit van de confidentiele data wordt nog bedreigd en T C P session hijacking is mogelijk. J

6

• End-to-end point encryptie — de gehele datastroom tussen client en server is versleuteld waardoor de bedreiging van network sniffing en T C P session hijacking is afgeschermd. Dit is de meest veilige wijze van werken, maar vereist aangepaste client/server software. 2

2

re

te

hn, J°L 7 ! ° u P laatste ondersteunt ook remote copy van 8i

S e $ S i e S

i S

a a n g e

a s , e

s o f t w a r e


beschikbaar in de vorm van stel (Secure Telnet) en ssh (Secure Shell) Deze files. '

8.2. Koppeling

65

van het VenWnet met het Internet

Indien de beveiliging van de network layer firewall naar het VenWnet voor een deel van het interne netwerk te beperkt is, kan dit deel extra beschermd worden door de plaatsing van een interne application layer firewall. Alle achter deze firewall gesitueerde gebruikers en clientsoftware zullen dan wel door een minder transparante firewall moeten werken om externe services op het VenWnet of de daarachter gelegen netwerken te benaderen.

8.2

Koppeling van het VenWnet met het Internet

In het Internet kan geen enkele vorm van vertrouwen worden gesteld. De koppeling van het VenWnet met het Internet wordt daarom apart beschouwd. De bedreigingen die vanuit het Internet komen en de hieraan gerelateerde risico's voor de beschikbaarheid, exclusiviteit en integriteit van de eigen resources zijn dermate hoog, dat de kwaliteit van de beveiliging in alle gevallen voorrang moet krijgen op de functionaliteit en transparancy van de koppeling. Er moet worden gekozen voor een application layer firewall van het type dual-homed bastion host met een perimeter netwerk (zie paragraaf 7.4.4). De door te laten protocollen moeten zo veel mogelijk beperkt worden. Tabel 8.1 geeft een overzicht van de protocollen die op redelijk veilige wijze doorgelaten kunnen worden. Hierbij wordt onderscheid gemaakt tussen de outbound services, waarbij de client zich op het interne netwerk bevindt en contact zoekt met een server op het Internet, en de inbound services, waarbij een client op het Internet toegang zoekt met een interne service.

Tabel 8.1: Beknopt overzicht van protocollen die in het algemeen over een Internet firewall worden toegelaten. Gebruik van een protocol leidt in veel gevallen tot niet af te schermen bedreigingen: Richting

Protocol

Opmerkingen

outbound

Telnet FTP r-utilities Xll HTTP, gopher NNTP HTTP FTP Telnet r-utilities NTP NNTP DNS SMTP

auth, auth, auth, auth,

inbound

bidirectioneel

De onder Opmerkingen auth hijack confidata

hijack, confidata hijack, confidata hijack, confidata hijack, confidata

pub-servers pub-servers auth, hijack, confidata, strong auth, hijack, confidata, strong

confidata

gebruikte afkortingen betekenen:

De authenticatiegevens worden bedreigd door network sniffing. Gebruik strong authentication (cryptografisch, one-time password, challenge-response). De sessie is gevoelig voor T C P session hijacking tenzij van end-to-end point encryptie gebruik gemaakt wordt. De te versturen data wordt bedreigd door network sniffing. Confidentiele data moet worden versleuteld.


66


pub-servers strong

voor VenWnet bij koppeling met externe

netwerken

Publieke servers moeten op het perimeter netwerk worden geplaatst, buiten het VenWnet beveiligingsdomein en niet op het VenWnet zelf. Inkomende login sessies naar interne systemen mag alleen wanneer van strong user authentication gebruik wordt gemaakt. Het is beter alleen Secure Telnet (stel) en Secure Login (ssh) toe te staan in plaats van standaard Telnet en de r-utilities.

Network sniffing en T C P session hijacking vormen een reeele bedreiging op het Internet en zijn alleen te voorkomen indien van end-to-end point versleutelde client/server applicaties sprake is. Gebruik bij voorkeur stel en ssh als vervangers voor Telnet en de r-utilities of forceer in ieder geval one-time password dan wel challenge-response systemen voor de authenticatie. Overige protocollen waaronder: alle R P C gebaseerde protocollen, NIS, NFS, S N M P en TFTP leveren een te hoog risico op voor het interne netwerk.

8.3

Koppeling van het VenWnet met overige externe netwerken

De implementatie van een koppeling van een extern netwerk (anders dan het Internet) aan de VenWnet backbone zal afhangen van de gewenste functionaliteit en transparancy enerzijds en de gewenste mate van beveiliging anderzijds. Dit laatste is afhankelijk van de eventuele bedreigingen uit het aan te sluiten externe netwerk. De koppeling zal in ieder geval veiiig genoeg moeten zijn om het vertrouwen dat de VenW dienstonderdelen in het VenWnet hebben te behouden. Dit hangt weer af van de eisen die gesteld zijn aan het VenWnet beveiligingsdomein. Eventueel kunnen specifieke services die door VenW geboden worden op een perimeter netwerk geplaatst worden om zoveel mogelijk toegang vanaf het externe netwerk buiten het VenWnet beveiligingsdomein te houden.

8.4

Virtual private networks

Wanneer twee dienstonderdelen elkaar volledig vertrouwen, maar geen vertrouwen stellen in de VenWnet backbone, kan een koppeling gemaakt worden op basis van een Virtual Private Network (VPN). Beide netwerken gebruiken de VenWnet backbone als transportmedium, waarbij al het verkeer tussen de twee netwerken volledig versleuteld over het VenWnet wordt getransporteerd. Dit is aangegeven in figuur 8.2. Een V P N wordt gerealiseerd door speciale hardware (de crypto modules in figuur 8.2). Iedere crypto module gedraagt zich, netwerk technische gezien, als een router zodat beide netwerken volledig transparant met elkaar verbonden zijn. Het bijzondere is dat alle communicatie over het onbeveiligde netwerk (hier dus de VenWnet backbone) versleuteld is. Onbevoegden kunnen dus geen gebruik maken van data-sniffing en session hijacking technieken om een aanval op te zetten. Denial-of-service aanvallen, waarbij het transport over het VenWnet wordt gestoord, blijven echter mogelijk. Op deze wijze kan bijvoorbeeld NFS-verkeer tussen twee netwerken worden gerealiseerd zelfs wanneer het VenWnet zelf als onveilig wordt beschouwd (ten aanzien van dit type verkeer).


8.4. Virtual private

!

67

networks

!

Firewall

) Beveiligingsdomein

Firewall

versleuteld verkeer Firearaii

i Firewall

Fimwal

Crypto

Crypto

MD-intern

DWW-intern Virtual Private Nehvork

Figuur 8.2: Een virtual private netwerk maakt volledige koppeling mogelijk tussen twee netwerken waarbij het transport plaats vindt over een volledig onvertrouwd netwerk. Speciale hardware (aangegeven als crypto) implemented! het V P N .




voor Yen Wnet bij koppeling met externe

netwerken

Hoofdstuk 9

Kwetsbaarheidsanalyse VenWnet De kwetsbaarheidsanalyse stelt vast in welke mate het VenWnet nog gevoelig is voor bedreigingen na de implementatie van het beveiligingsmodel. Omdat het in hoofdstuk 8 voorgestelde model ruime mate van flexibiliteit biedt wordt geen kwetsbaarheidsanalyse van het gehele model opgezet, maar wordt de kwetsbaarheid voor de verschillende onderdelen uit het model bepaald. Deze bestaat uit: 1

1. Een kwetsbaarheidsanalyse van applicatie-protocollen. Hierin wordt aangegeven welke bedreigingen zijn gerelateerd aan het gebruik van een applicatieprotocol, onafhankelijk van het type firewall dat voor de bescherming is ingezet. Het afschermen tegen dit type kwetsbaarheden kan slechts door het gebruik van het protocol te verbieden. Dit laatste kan wel door een firewall worden opgelegd. 2. Een kwetsbaarheidsanalyse van network layer firewall architecturen. Hier is steeds gekeken naar de effectiviteit van een type firewall architectuur met betrekking tot de inherent in TCP/IP aanwezige bedreigingen (zoals opgesomd in paragrafen 6.1, 6.2 en 6.3). Daarnaast wordt een overzicht gegeven in hoeverre het type firewall in staat is bepaalde applicatie-protocollen op zinvolle wijze te filteren en welke bedreigingen dan niet afgeschermd kunnen worden. Tenslotte wordt de kwetsbaarheid van de firewall zelf belicht. 3. Een kwetsbaarheidanalyse van application layer firewall architecturen. Deze analyse is gelijk aan die van de voorgaande analyse van de network layer firewall architecturen.

9.1

Kwetsbaarheidsanalyse van applicatie-protocollen

B i j het gebruik van bepaalde applicatie-protocollen ontstaan bedreigingen die inherent zijn aan het protocol en slechts kunnen worden afgeschermd door het gebruik van dat protocol te verbieden. Het inzetten van een firewall zal deze bedreigingen niet kunnen wegnemen. De onderstaande kwetsbaarheden blijven dan ook aanwezig ten gevolge van het gebruik van applicatieprotocollen. Protocol Telnet

Ref §6.4.1

Bedreiging

Advies

TCP session hijacking data sniffing falende authenticatie

Gebruik stel in plaats van telnet. Gebruik stel in plaats van telnet. Gebruik one-time passwords of gebruik stel.

'Bedenk hierbij dat 100% beveiliging tegen bedreigingen uit externe netwerken alleen mogelijk is door de netwerkkoppeling te onderbreken. Waar het om gaat is te onderkennen welke bedreigingen eventueel een blijvend risico opleveren.

69

70

Protocol

9. Kwetsbaarheidsanalyse

Ref

Ven Wnet

Bedreiging

Advies

FTP

§6.4.2

TCP session hijacking data sniffing

TFTP

§6.4.3

SMTP

§6.4.4

falende authenticatie integriteit bootende host data sniffing

Blijvende bedreiging. Te versturen confidentiele files moeten vooraf met de hand worden versleuteld. Sta alleen anonymous FTP toe en verbied 'echte' logins in verband met het afluisteren van authenticatiegegevens of gebruik one-time passwords. Blijvende bedreiging. Blijvende bedreiging. Confidentiele berichten moeten door afzender met de hand vooraf versleuteld worden, bijvoorbeeld met PGP. Afzender en ontvanger moeten zelf voor authenticatie zorgen, bijvoorbeeld met PGP. Maak geen gebruik van sendmail voor de S M T P server, maar gebruik een zogenaamde S M T P wrapper.

falende authenticatie bugs in sendmail

DNS

§6.4.5

uitlekken van configuratie

R-utils

§6.4.6

T C P session hijacking data sniffing falende authenticatie

Gebruik split-DNS indien de (naam)structuur van het interne domein niet bekend mag worden op het externe netwerk. Gebruik ssh in plaats van rlogin en rep. Gebruik ssh in plaats van rlogin en rep of gebruik one-time passwords. Baseer geen toegang op basis van makkelijk te valsificeren gegevens zoals de remote hostnaam of een IP adres.

NTP

§6.4.7

denial-of-service

Maak alleen gebruik van geauthenticeerde N T P peers en synchroniseer aan minimaal drie N T P peers.

SNMP

§6.4.8

integriteit beheerde systeem

Maak alleen in uiterste gevallen gebruik van S N M P en gebruik cryptografische authenticatie. Maak alleen in uiterste gevallen gebruik van S N M P en zorg voor volledige versleuteling van de datastroom. Blijvende bedreiging. Blijvende bedreiging. Uebruik cryptografische authenticatie voor X l l . Standaard hostauthenticatie of M I T - M A G I C C O O K I E authenticatie is niet voldoende. Blijvende bedreiging. H T l P clients (de zogenaamde WEB-browsers) zijn gevoelig voor trojan-horse aanvallen. Schakel het gebruik van IAYA op de clients uit. Plaats op de firewall een proxy server die zaken als IAVA en ActiveX uit de datastroom filtert, waardoor deze niet meer bij de clients aankomen.

uitlekken van configuratie

Finger Xll

§6.4.9 §6.4.10

HTTP

§6.4.11

data sniffing trojan-horses

NNTP

§6.4.12

niet noemenswaardig

uitlekken van configuratie T C P session hijacking falende authenticatie


9.2. Kwetsbaarheidanalyse

Protocol RPC

Ref §6.4.13

van network layer firewall architecturen

Bedreiging

Advies

falende authenticatie uitlekken van configuratie

Blijvende bedreiging. Door middel van de portmapper. Blijvende bedreiging. Door middel van de portmapper. Blijvende bedreiging. Door middel van de portmapper en ontbreken van authenticatie. Blijvende bedreiging. Zie RPC. Blijvende bedreiging. Zie RPC. Blijvende bedreiging. Blijvende bedreiging.

spoof aanvallen denial-of-service NIS

§6.4.14

NFS

§6.4.15

R P C gebaseerde service NIS spoofing R P C gebaseerde service falende authenticatie data sniffing

71

Daarnaast geldt voor alle inbound services (waarvan de netwerkserver op een interne host draait) dat eventuele bugs in de netwerkservers een constante bedreiging blijven vormen. Er moet gestreeft worden naar een minimaal aantal 'exposed' systemen en netwerkservices om de kwetsbaarheid zo laag mogelijk te houden. Plaats publiekelijk toegankelijke services op aparte hostsystemen. Plaats deze systemen zo mogelijk buiten de perimeter van het beveiligingsdomein, zodat eventuele compromittatie ervan een lager risico voor de netwerkbeveiliging inhoudt. Conclusie: Datatransport over een onbeveiligd netwerk is altijd gevoelig voor denial-of-service aanvallen. Overige bedreigingen op het netwerk worden effectief afgeschermd door end-to-end point encryptie toe te passen. Wanneer dit niet het geval is, blijven er altijd bedreigingen, ongeacht het gebruikte protocol, waarvan data-sniffing en het falen van authenticatie de belangrijkste zijn. De impact van deze bedreigingen is echter niet protocol gebonden, maar hangt af van de betrouwbaarheidseisen van de netwerkapplicaties die van deze protocollen gebruik maken. In het algemeen worden de protocollen SMTP, DNS, NTP, HTTP, FTP en N N T P als veiiig beschouwd. Protocollen die beter niet over een onbeveiligd netwerk getransporteerd zouden moeten worden zijn TFTP, Finger, X l l , S N M P en alle R P C gebaseerde protocollen (waaronder NIS en NFS). De protocollen Telnet en de r-utilities zouden beter vervangen kunnen worden door stel en ssh respectievelijk.

9.2

Kwetsbaarheidanalyse van network layerfirewallarchitecturen

De screened network architectuur bestaat uit een network layer firewall en wordt gei'mplementeerd door een enkele screening router (zie paragraaf 7.4.1). Deze screening router kan een statisch packet filter of een dynamisch packet filter zijn. Van de onderstaande network layer firewall basis architecturen is een kwetsbaarheidsanalyse gemaakt:

1. De screened network architectuur op basis van een statisch packet filter;

2. De screened network architectuur op basis van een dynamisch packet filter. (Zie ook paragraaf 7.4.1 voor een uitleg van de screened network architectuur en paragraaf 7.3.1 voor een overzicht van packet filters.)


72

9.2.1


VenWnet

Screened network architectuur op basis van een statisch packet filter

TCP/IP bedreigingen Een analyse voor alle in hoofdstuk 6 beschreven bedreigingen is gemaakt voor de screened network architectuur op basis van een statisch packet filter. Er is vanuit gegaan dat dit filter bescherming biedt tegen IP spoofing, I C M P redirect en IP source routing aanvallen.

j Bedreiging

Ref

Risico

Kwetsbaarheid

datalink sniffing op interne netwerk

§6.1.1

middel

A R P spoof

§6.1.2

laag

datalink jamming op interne netwerk

§6.1.3

laag

network sniffing (IP)

§6.2.1

middel

IP spoofing

§6.2.2

geen

IP source routing

§6.2.3

geen

Sniffing kan alleen plaats vinden van een gecompromitteerde interne host. A R P spoofing kan alleen plaats vinden van een gecompromitteerde interne host. Mits er geen toegang is tot de fysieke bekabeling. Door rerouting van intern IP verkeer naar buiten. Mits de screening router is voorzien van IP spoofdetectie. In andere gevallen: hoog. Mits de screening router dit verkeer selectief kan weren. In andere gevallen: middel.

IP flooding IP forwarding

§6.2.4 §6.2.5

middel geen

IP fragmentatie

§6.2.6

geen

I C M P aanvallen

§6.2.7

geen

routing protocollen

§6.2.8

geen

UDP/TCP poort flooding UDP/TCP reserved ports

§6.3.1 §6.3.2

middel hoog

T C P ISN prediction

§6.3.3

laag

T C P session hijacking

§6.3.4

middel


Geldt voor alle interne exposed hosts. De screening router moet juist IP forwarding doen. Mits de screening router van voldoende moderne kernel is voorzien die niet kwetsbaar is voor deze vorm van aanval. In andere gevallen: hoog voor alle exposed hosts die beschermd worden door de T C P ' S Y N / A C K ' flag. Mits de gevaarlijke I C M P berichten op de screening router worden tegen gehouden. In andere gevallen: laag voor alle exposed hosts. Mits de screening router de interne routing protocollen afschermt voor het exteme netwerk. In andere gevallen: middel. Geldt voor alle interne exposed hosts. Geldt voor alle interne exposed hosts die gebruik maken van het begrip 'reserved port' voor hostauthenticatie. Geldt voor alle interne exposed hosts. Het is echter een hulpmiddel bij IP spoofing aanvallen. Geldt voor alle T C P verbindingen die tussen het interne en externe netwerk lopen. Er is een laag risico voor T C P verbindingen die tussen twee interne hosts lopen (door heroutering van IP verkeer kan dit naar buiten geleid worden).


van network layer firewall architecturen

73

Applicatieprotocollen De analyse van de effectiviteit van de firewall met betrekking tot het doorlaten van diverse applicatieprotocollen, is hieronder weergegeven. De algemene opmerkingen ten aanzien van het gebruik van bepaalde applicatieprotocollen uit paragraaf 9.1 blijven echter van kracht. Protocol

Ref

Telnet FTP

§6.4.1 §6.4.2

TFTP

§6.4.3

SMTP DNS

§6.4.4 §6.4.5

R-utils NTP

§6.4.6 §6.4.7

SNMP

§6.4.8

Finger Xll HTTP NNTP RPC

§6.4.9 §6.4.10 §6.4.11 §6.4.12 §6.4.13

NIS

§6.4.14

NFS

§6.4.15

Kwestbaarheid Goed te filteren. FTP heeft een te dynamisch karakter en kan niet met een statisch packet filter doorgelaten worden zonder alle interne FTP clients bijna volledig bloot te stellen aan het externe netwerk. Voor retour verkeer moeten alle ephemeral U D P poorten (> 1023) open staan voor de TFTP clients. Goed te filteren. Goed te filteren, echter U D P verkeer waarvan alle ephemeral U D P poorten voor het retour verkeer naar de DNS clients open moeten staan. Goed te filteren. Voor retour verkeer moeten alle ephemeral U D P poorten (> 1023) open staan, echter alleen voor de interne NTP server. Voor retour verkeer moeten alle ephemeral U D P poorten (> 1023) open staan voor de clients. Goed te filteren. Goed te filteren. Goed te filteren. Goed te filteren. Te dynamisch van karakter. Niet veiiig te filteren met een statisch packet filter. Gebaseerd op RPCs en daardoor te dynamisch van karakter. Niet veiiig te filteren met een statisch packet filter. Gebaseerd op RPCs en daardoor te dynamisch van karakter. Niet veiiig te filteren met een statisch packet filter.

Bedreigingen op de beveiliging zelf Niet af te schermen ernstige bedreigingen op de beveiliging zelf zijn: • Misconfiguratie van de screening router waardoor onbedoeld meer IP-verkeer mogelijk is naar interne hostsystemen. • Compromittatie van enkel de screening router leidt tot exposure van het gehele interne netwerk. • Bugs in de screening router waardoor onbedoeld meer IP-verkeer mogelijk is naar interne hostsystemen. Conclusie: Een statisch packet filter als firewall is minder goed in staat dynamische protocollen, zoals F T P en de diverse RPC gebaseerde protocollen, te filteren. Ook U D P gebaseerde protocollen zijn minder goed te filteren. Het filteren van dit soort protocollen leidt ertoe dat het packet filter zo geconfigureerd moet worden dat grote delen van het achterliggende netwerk bereikbaar zijn vanaf het externe netwerk. Daarnaast voldoet een statisch packet filter minder goed aan de algemeen toepasbare beveiligingsstrategieen (zie paragraaf 2.4): 'Least Privilege' (een te groot deel van het achterliggende netwerk is te benaderen voor IP-verkeer van buitenaf), 'Defense in Depth' (daar is geen sprake van), 'Simplicity' (filterregels zijn ingewikkeld en moeilijk te verifieren), 'Fail-Safe Mode' (compromittatie van het filter leidt tot het wegvallen van de gehele


74


VenWnet

beveiliging) en 'Diversity of Defense' (daar is ook geen sprake van). Hierdoor wordt de kwaliteit van de beveiliging zelf als zeer matig beoordeeld. Het advies is om een statisch packet filter niet zonder meer te gebruiken als firewall. Wel kan deze ingezet worden als component in een meer uitgebreide firewall-architectuur, of als onderdeel van een uitgebreider beveiligingsmodel, waarbij het packet filter een intern netwerk afschermt van een reeds gedeeltelijk beveiligd extern netwerk.

Screened network architectuur op basis van een dynamisch packet filter

9.2.2

TCP/IP bedreigingen De kwetsbaarheidsanalyse van een dynamisch packet filter ten aanzien van de TCP/IP bedreigingen is gelijk aan die van een statisch packet filter zoals beschreven in paragraaf 9.2.1. Applicatieprotocollen De analyse van de effectiviteit van de firewall met betrekking tot het doorlaten van diverse applicatieprotocollen, is hieronder weergegeven. Deze in in hoofdzaak gelijk aan de analyse van een statisch packet filter, met uitzondering van de volgende verbeteringen: Protocol FTP

Ref

TFTP DNS NTP SNMP RPC

6.4.2 6.4.3 6.4.5 6.4.7 6.4.8 6.4.13

NIS NFS

6.4.14 6.4.15

Kwetsbaarheid Goed te filteren. Goed te filteren. Goed te filteren. Goed te filteren. Goed te filteren. Goed te filteren, mits het dynamisch karakter van RPC en de portmapper wordt ondersteund door het packet filter. Goed te filteren, mits RPC wordt ondersteund door het packet filter Goed te filteren, mits R P C wordt ondersteund door het packet filter

Bedreigingen op de beveiliging zelf Niet af te schermen ernstige bedreigingen op de beveiliging zelf zijn: • Compromittatie van enkel de screening router leidt tot exposure van het gehele interne netwerk. • Bugs in de screening router waardoor onbedoeld meer IP-verkeer mogelijk is naar interne hostsystemen. Conclusie: Een dynamisch packet filter neemt een deel van de beperkingen van een statisch packet filter weg. Met name door de dynamische component van het packet filter is het filteren van dynamische protocollen, als FTP en R P C gebaseerde protocollen, goed te doen zonder dat grote delen van het achterliggende interne netwerk worden blootgesteld. Een dynamisch packet filter scoort beter op het punt van 'Simplicity' (omdat ingebouwde intelligentie van het packet filter het opstellen van filterregels sterk vereenvoudigt) en 'Least Privilege' (omdat zeer selectief alleen dat IP-verkeer wordt doorgelaten dat noodzakelijk is voor het door te laten protocol). Zwak blijven de algemeen toepasbare beveiligingsstrategieen: 'Defense in Depth', 'Fail-Safe Mode' en 'Diversity of Defense'. Hiervoor gelden dezelfde beperkingen als voor een statisch packet filter. Een dynamisch packet filter is goed te gebruiken als firewall maar de slechte 'Fail-Safe Mode' leidt tot een zeer hoog risico voor het interne netwerk indien de beveiliging faalt of gecompromitteerd wordt. Voor de koppeling met hoog-risicovolle netwerken (zoals het Internet) wordt een application layer firewall aangeraden.



9.3

van application layer firewall

architecturen

75

Kwetsbaarheidanalyse van application layer firewall architecturen

Door de fundamentele eigenschap van een application layer firewall dat er geen rechtstreeks IP-verkeer plaats vindt tussen de netwerken, valt een deel van de bij de netwerk layer firewall aanwezige kwetsbaarheden weg. Hieruit volgt dat interne hosts niet meer worden bedreigd door denial-of-service aanvallen van buiten af. Belangrijker is echter dat minder aandacht hoeft te worden besteed aan de (netwerk)beveiliging van iedere interne host; ze zijn immers niet direct te benaderen vanaf het externe netwerk. Tenslotte treedt de firewall op als intermediar en genereert het IP-verkeer naar de interne hosts. Dit verkeer wordt door een vertrouwd systeem opgewekt en is dus vrij van door de aanvaller aangebrachte modificaties zoals omschreven in hoofdstuk 6. Van de onderstaande application layer firewall basis architecturen is een kwetsbaarheidsanalyse gemaakt: 1. De screened host architectuur (zie paragraaf 7.4.2); 2. De screened subnet architectuur (zie paragraaf 7.4.3); 3. De dual-homed bastion host architectuur (zie paragraaf 7.4.4).

9.3.1

Screened host architectuur

TCP/IP bedreigingen Een analyse voor alle in hoofdstuk 6 beschreven bedreigingen is gemaakt voor de screened host architectuur. Ref

Risico

Kwetsbaarheid

datalink sniffing

§6.1.1

middel

A R P spoof

§6.1.2

laag

datalink jamming

§6.1.3

laag

Sniffing kan alleen plaats vinden van een gecompromitteerde interne host (inclusief de bastion host). A R P spoofing lan alleen plaats vinden van een gecompromitteerde interne host (inclusief de bastion host). Mits er geen toegang is tot de fysieke bekabeling.

network sniffing (IP) IP spoofing IP source routing IP flooding IP forwarding

§6.2.1 §6.2.2 §6.2.3 §6.2.4 §6.2.5

geen geen geen laag hoog

IP fragmentatie I C M P aanvallen

§6.2.6 §6.2.7

geen geen

routing protocollen U D P / T C P poort flooding U D P / T C P reserved ports

§6.2.8 §6.3.1 §6.3.2

geen laag geen

Bedreiging

Alleen de bastion host is hiervoor gevoelig. Misconfiguratie of compromittatie van de exteriour router kan ertoe leiden dat IP forwarding wordt aangezet tussen het interne en externe netwerk. Alleen de bastion host zelf is gevoelig voor dit soort aanvallen en alleen als de exteriour router dit soort verkeer niet filtert. Geldt alleen voor de bastion host. Geldt alleen voor de bastion host. Als deze goed is geconfigureerd maakt deze geen gebruik van het begrip 'reserved ports'.


76


Bedreiging T C P ISN prediction T C P session hijacking

Ref

Risico

Kwetsbaarheid

§6.3.3 §6.3.4

laag middel

Geldt alleen voor de bastion host. Geldt voor alle T C P verbindingen die tussen het interne en externe netwerk lopen. Er is geen risico (N) voor T C P verbindingen die tussen twee interne hosts lopen.

VenWnet

Applicatieprotocollen De analyse van de effectiviteit van de firewall met betrekking tot het doorlaten van diverse applicatieprotocollen, is hieronder weergegeven. De algemene opmerkingen ten aanzien van het gebruik van bepaalde applicatieprotocollen uit paragraaf 9.1 blijven echter van kracht. Protocol Telnet

Ref

FTP TFTP SMTP DNS

§6.4.1 §6.4.2 §6.4.3 §6.4.4 §6.4.5

R-utils NTP SNMP Finger Xll HTTP NNTP RPC NIS NFS

§6.4.6 §6.4.7 §6.4.8 §6.4.9 §6.4.10 §6.4.11 §6.4.12 §6.4.13 §6.4.14 §6.4.15

Kwestbaarheid Goed door te laten, standaard proxy beschikbaar Goed door te laten, standaard proxy beschikbaar Goed door te laten mits een U D P proxy aanwezig is. Goed door te laten, standaard proxy beschikbaar. Geen standaard proxy beschikbaar. Meestal wordt de bastion host als DNS server ingericht waardoor er geen noodzaak is om D N S verkeer door de firewall te hoeven leiden. Goed door te laten, standaard proxies beschikbaar. Goed door te laten mits een U D P proxy aanwezig is. Goed door te laten mits een U D P proxy aanwezig is Geen standaard proxy beschikbaar. Goed door te laten, standaard proxy beschikbaar Goed door te laten, standaard proxy beschikbaar. Goed door te laten, standaard proxy beschikbaar Geen standaard proxies beschikbaar. Gebaseerd op RPCs. Geen standaard proxies beschikbaar. Gebaseerd op RPCs. Geen standaard proxies beschikbaar.

Bedreigingen op de beveiliging zelf Niet af te schermen ernstige bedreigingen op de beveiliging zelf zijn: • Compromittatie van enkel de screening router leidt tot exposure van het gehele interne netwerk. • Bugs in de screening router waardoor onbedoeld meer IP-verkeer mogelijk is naar interne hostsystemen. • De mogelijkheid dit type firewall te laten degraderen tot een screened network architectuur door direct IP-verkeer naar interne systemen toe te staan. Conclusie: Een firewall van het type screened host is goed in staat alle T C P gebaseerde protocollen (inclusief het dynamische FTP) te ondersteunen. Het gebruik van U D P gebaseerde protocollen is problematisch, tenzij hiervoor een geschikte U D P proxy aanwezig is. Ook dan worden U D P gebaseerde protocollen goed ondersteund. De beveiliging van dit type (namelijk: application layer) firewall is fundamenteel beter dan van de network layer firewalls in verband met de totale afscherming voor IP verkeer tussen het interne en externe netwerk. Een zwak punt van de screened host architectuur is de screening router. De architectuur scoort hierdoor slecht op de algemeen toepasbare beveiligingsstrategieen: 'Defense in Depth' en 'Fail-Safe Mode' en 'Diversity of Defense'. Hiervoor gelden dezelfde beperkingen als voor een statisch packet filter



9.3.2

van application layer firewall

architecturen

77

Screened subnet architectuur

TCP/IP bedreigingen De kwetsbaarheidsanalyse van een screened subnet architectuur ten aanzien van de TCP/IP bedreigingen is gelijk aan die van een screened host architectuur zoals beschreven in paragraaf 9.3.1, echter met uitzondering van onderstaande verbeteringen: Ref

Risico

datalink sniffing

§6.1.1

laag

A R P spoof

§6.1.2

laag

IP forwarding

§6.2.5

middel

Bedreiging

Kwetsbaarheid Sniffing kan alleen plaats vinden van een gecompromitteerde interne host (niet vanaf de bastion host). A R P spoofing lan alleen plaats vinden van een gecompromitteerde interne host (niet vanaf de bastion host). Misconfiguratie of compromittatie van de interior en exterior routers tegelijkertijd kan ertoe leiden dat IP forwarding wordt aangezet tussen het interne en externe netwerk.

Applicatieprotocollen De analyse van de effectiviteit van de firewall met betrekking tot het doorlaten van diverse applicatieprotocollen, is gelijk aan de analyse voor een screened host architectuur. Bedreigingen op de beveiliging zelf Niet af te schermen ernstige bedreigingen op de beveiliging zelf zijn: • De mogelijkheid dit type firewall te laten degraderen tot een screened network architectuur door direct IP-verkeer naar interne systemen toe te staan. Conclusie: De conclusie voor de screened subnet firewall-architectuur is gelijk aan die van een screened host architectuur, met uitzondering van verbetering van enkele zwakke punten. Door de aanwezigheid van een tweede screened router scoort de screened subnet architectuur beter op het punt 'Defense in Depth' en mogelijk op het punt 'Diversity of Defense' (indien twee verschillende type screened routers worden ingezet). Zwak punt blijft toch de 'Fail-Safe Mode'; bij compromittatie van beide screened routers valt de gehele beveiliging weg.

9.3.3

Dual-homed bastion host architectuur

TCP/IP bedreigingen De kwetsbaarheidsanalyse van een dual-homed bastion host architectuur ten aanzien van de TCP/IP bedreigingen is gelijk aan die van een screened subnet architectuur zoals beschreven in paragraaf 9.3.2, echter met uitzondering van onderstaande verbeteringen: Bedreiging IP forwarding

Ref

Risico

§6.2.5

geen

Kwetsbaarheid Mits de bastion host speciaal beveiligd is, waardoor deze niet tot IP forwarding gedwongen kan worden (bijvoorbeeld door de IP forwarding code uit de kernel te verwijderen).

Applicatieprotocollen De analyse van de effectiviteit van de firewall met betrekking tot het doorlaten van diverse applicatieprotocollen, is gelijk aan de analyse voor de screened host en screened subnet architecturen.


78


VenWnet

Bedreigingen op de beveiliging zelf Er zijn geen ernstige niet af te schermen bedreigingen op dit type firewall. Conclusie: De dual-homed bastion host architectuur levert de hoogste mate van beveiliging voor het achterliggende interne netwerk. De firewall voldoet aan de voordelen van een application level firewall en direct IP-verkeer is, bij een goed gekozen bastion host, in geen enkel geval mogelijk. De firewall scoort goed op alle punten uit de algemeen toepasbare beveiligingsstrategieen: 'Least Privilege' (precies dat wat nodig is voor de werking van een protocol, wordt doorgelaten), 'Defense in Depth' (er zijn drie lagen van beveiliging: de exteriour router, de bastion host en de interiour router), 'Fail-Safe Mode' (compromittatie leidt zelden tot het wegvallen van de beveiliging), 'Simplicity' (de configuratie van de firewall en de dataflow er doorheen kan voor ieder door te laten protocol afzonderlijk worden vastgesteld, hetgeen leidt tot een overzichtelijk geheel) en 'Diversity of Defense' (mits er verschillende type componenten worden ingezet). De dual-homed bastion host wordt ingezet waar de hoogste prioriteit wordt gesteld aan de mate van beveiliging, waarbij de flexibiliteit en transparancy van de firewall van ondergeschikt belang zijn. Met name een Internet koppeling wordt bij voorkeur opgebouwd volgens de dual-homed bastion host architectuur.


Hoofdstuk 10

Conclusies Algemene conclusies Voor de beveiliging van het VenWnet is gekozen voor beveiliging door middel van beveiligingsdomeinen. Dit houdt in dat het VenWnet is opgedeeld in afzonderlijk te beveiliging delen (de beveiligingsdomeinen). Beveiliging tegen externe (niet-VenW) netwerken wordt verkregen door hoog beveiligde firewalls die deze netwerken aan de VenWnet backbone koppelen. Hierdoor wordt een bepaald niveau van beveiliging verkregen op de backbone, waardoor deze als betrekkelijk veiiig beschouwd kan worden. Alle afzonderlijke dienstonderdelen, die ook op de backbone zijn aangesloten, worden nog eens extra beveiligd door een firewall waarbij de nadruk echter op transparancy ligt. Dit beveiligingsmodel optimaliseert de beveiliging met behoud van een zo transparant mogelijke koppeling tussen de dienstonderdelen onderling. Het plaatsen van de juiste firewalls op de juiste koppelpunten garandeert geen 100% afscherming tegen bedreigingen. De interne beveiliging van hostsystemen dient in orde te zijn en de gebruikte telematicadiensten dienen van een behoorlijk authenticatie-mechanisme te zijn voorzien. Beveiliging van een telematicadienst wordt dus gevormd door de beveiliging die in de dienst is ingebouwd en de beveiliging van het netwerk waarover deze dienst loopt. Naar mate de telematicadienst zelf meer is voorzien van beveiligingsmechanismen, zijn de beveiligingseisen die aan het netwerk worden gesteld minder stringent. De meest effectieve maatregel die een telematicadienst zelf kan nemen is de gehele datastroom end-to-end point te versleutelen. Nieuw door VenW te ontwikkelen telematicadiensten zouden dan ook gebruik moeten maken van deze maatregel. Naast de netwerk-beveiliging door middel van een firewall moet er voorzichtig met het gebruik van bepaalde protocollen worden omgesprongen, omdat deze te gemakkelijk zijn te compromitteren. Voor de koppeling tussen het VenWnet en het Internet gelden de meest suikte normen ten aanzien van de door te laten protocollen. Hier zijn slechts toegestaan: • Uitgaande Telnet, FTP, r-login, X l l , HTTP, gopher en N N T P ; • Ingaande NTP, anonymous-FTP, HTTP, Secure Telnet en Secure Shell; • Bidirectionele protocollen: D N S en S M T P (e-mail). Overige protocollen, zoals NIS, NFS, R P C gebaseerde protocollen, S N M P en TFTP, maar ook standaard ingaande Telnet en r-login zijn te gemakkelijk te compromitteren. Een eventueel aanwezige firewall zal hier niets tegen kunnen ondernemen. Tussen de dienstonderdelen onderling zijn deze 'gevaarlijke' protocollen eventueel wel toe te staan, mits door middel van organisatorische maatregelen aanvallen op deze protocollen wordt voorkomen.

79

80

10.

Conclusies

Technische conclusies De belangrijkste netwerk gerelateerde bedreigingen zijn: network sniffing, denial-of-service aanvallen, en het falen of omzeilen van de in de netwerkprotocollen ingebouwde authenticatie-mechanismen. Network sniffing vormt een bedreiging die slechts is op te heffen door het gehele netwerk waarover de communicatie verloopt, fysiek af te schermen of de gehele sessie te versleutelen. De risico's van network sniffing zijn het verlies van de exclusiviteit van de data en het eventueel in verkeerde handen vallen van onversleutelde authenticatiegegevens (passwords). De TCP/IP standaard protocollen Telnet, rlogin, X l l , POP en FTP maken alien gebruik van onversleutelde passwords in de authenticatiefase van het protocol, waardoor het gebruik van deze protocollen over onbeveiligde netwerken sterk wordt afgeraden. De applicaties stel en ssh (functionele vervangers voor Telnet, rlogin en X I 1 ) versleutelen de gehele sessie en zijn dus wel veiiig in te zetten. Denial-of-service aanvallen op systemen zijn in principe zeer moeilijk tegen te houden bij koppeling met een extern netwerk. Bescherming tegen dit soort aanvallen wordt verkregen door ervoor te zorgen dat geen enkel intern systeem via IP te benaderen is vanaf het externe netwerk. Falende authenticatie treedt op onder verschillende omstandigheden: geen of te zwakke authenticatie in de applicatie, data-sniffing van onversleutelde passwords, gemakkelijk te spoofen authenticatie (bijvoorbeeld hostnaam of IP adres gebaseerde authenticatie) en verlies van de integriteit van een initieel geauthenticeerde T C P sessie door middel van T C P session hijacking. De beste beveiliging in het algemeen wordt verkregen door zo veel mogelijk interne systemen af te schermen van IP-verkeer vanaf het externe netwerk. Systemen die niet via IP te benaderen zijn, kunnen ook niet via het netwerk gecompromitteerd worden. In de meest extreme vorm is IP verkeer naar alle interne systemen verboden en vindt communicatie plaats met behulp van een bemiddelende host (de bastion host) waarop helper-applicaties (de zogenaamde proxy-servers) draaien. Deze vorm van beveiliging is toegepast in de application-level firewall architecturen. Het enige systeem dat dan middels IP te benaderen is, is de bastion host van de firewall. Network layer firewalls staan altijd IP-verkeer toe naar een geselecteerde groep (maar soms alle!) interne systemen. Hierdoor is de mate van beveiliging door middel van dit type firewalls altijd minder dan van een application level firewall. Network layer firewalls zijn meestal wel flexibeler en meer transparant dan application level firewalls. IP-verkeer van een telematicadienst dat over een onbeschermd deel van een netwerk loopt, of dat vanaf een extern netwerk is te benaderen, wordt volledig beschermd tegen data-sniffing en T C P session hijacking door de gehele sessie tussen client en server volledig te versleutelen. De applicaties Secure Telnet (stel) en de Secure Shell (ssh) werken op deze basis. Tenslotte dient opgemerkt te worden dat voor iedere vorm van netwerkbeveiliging steeds het principe "alles wat niet expliciet is toegestaan, is verboden" moet worden toegepast.


Appendix A

Lijst van afkortingen Lijst van gebruikte afkortingen: ACK-flag AFS ARP BGP BH bps DHBH DMZ DNS FTP GID HTTP ICMP IP ISN LAN NFS NIS NNTP NTP OSPF RIP routed RPC SMTP SNMP SR ssh stel SYN-flag TCP TCP/IP TFTP

ACKnowledgement flag Andrew File System Address Resolution Protocol Border Gateway Protocol Bastion Host Bits Per Second (Mbps=mega bps, kbps=kilo bps) Dual-Homed Bastion Host De-Militarized Zone Domain Name Service File Transfer Protocol Group ID (Unix) HyperText Transfer Protocol Internet Control and Message Protocol Internet Protocol Initial Sequence Number Local Area Network Network File System Network Information Service Network News Transfer Protocol Network Time Protocol Open Shortest Path First Routing Information Protocol routing daemon (Unix) Remote Procedure Call Simple Message Transfer Protocol Simple Network Management Protocol Screening Router Secure Shell Secure Telnet SYNchronize flag Transmission Control Protocol De TCP/IP protocol Suite, een verzameling netwerk protocollen die van IP gebruik maken. Trivial File Transfer Protocol

81

82

A. Lijst van afkortingen

UDP UID VPN WAN WWW YP

User Datagram Protocol User ID (Unix) Virtual Private Network Wide Area Network World Wide Web Yellow Pages, zie NIS


Bibliografie [Hoo96] Peter Hoogendoorn. Baseline Beveiliging V&W-Net. BSO/Nieuwegein bv, januari 1996. [Min94] Ministerie van Binnenlandse Zaken. Voorschift Informatiebeveiligings ber 1994.

Rijksdienst 1994, Septem-

[Min95] Ministerie van Binnenlandse Zaken. Handboek Informatiebeveiliging 1995.

Rijksdienst 1995, februari

[Mor85] R.T. Morris. A weakness in the 4.2bsd unix tcp/ip software. , (117), 1985. [Rek94] Y. Rekhter. RFC1597: Address Allocation for Private Internets. The Internet, March 1994. [Spa88] Euene H . Spafford. The internet worm program: A n analysis. , (CSD-TR-823), November 1988. [ZRT95] P. Ziemba, D . Reed, and P. Traina. RFC!858: The Internet, October 1995.

83

Security Considerations for IP Fragment

Filtering.

84


Meetkundige Dienst (MD) Rijkswaterstaat De Meetkundige Dienst is verantwoordelijk voor ondersteuning en advisering van primair Rijkswaterstaat en het Ministerie van Verkeer en Waterstaat, op geodetisch gebied en op het gebied van informatietechnologie. De M D heeft drie produktsectorep: 1. Topografische Geo-informatie (TG) -

Geo-informatie in de vorm van kaarten en/of bestanden Landmeetkundige ondersteuning. Verzorging en begeleiding van uitbesteding van topografische produkten.

2. Geo-Advisering (GA) -

Advisering en onderzoek op het gebied van geo-informatie technologie (o.a. remote sensing, GIS, plaatsbepaling). Produkten en diensten op het gebied van thematische geografische informatie en mariene geodesie.

-

Instandhouding van het N.A.P Informatietechnologie en -beleid (IB) Advisering over informatiebeleid en informatieplanning. Ontwikkeling van informatiesystemen en advisering daarover. Advisering over informatica-infrastructuur. Vervaardigen van grafische produkten.

Kanaalweg 3b, 2628 EB Delft Postbus 5023, 2600 G A Delft Telefoon 015-2691111 Telefax 015-2618962

Beveiliging van VenWnet bij externe koppelingen

Recommend Documents