Beveiligingsrichtlijnen SURFnet en veilig internetgebruik
Auteur(s):
JASC/IDBE
Versie:
Final 1.1. 20090417-001
Datum:
17 april 2009
Radboudkwartier 273 3511 CK Utrecht
Postbus 19035 3501 DA Utrecht
030 - 2 305 305
[email protected] www.surfnet.nl
ING Bank NL54INGB0005936709 KvK Utrecht 30090777 BTW NL 0089.60.173.B01
Inhoudsopgave 1 Inleiding ........................................................................................................................................... 2 2 Richtlijnen en aanbevelingen voor de instelling .......................................................................... 3 2.1 Communicatie .......................................................................................................................... 3 2.2 Lokale beheersvoorzieningen .................................................................................................. 5 2.3 Herleidbaar gebruik .................................................................................................................. 9 Bijlage................................................................................................................................................... 10
Deze publicatie is gelicenseerd onder een Creative Commons Naamsvermelding 3.0 Unported licentie Meer informatie over deze licentie vindt u op http://creativecommons.org/licenses/by/3.0/deed.nl
1
Inleiding
Met de aansluiting op het netwerk van SURFnet beschikt uw instelling over een permanente verbinding van grote capaciteit en hoge beschikbaarheid met het internet. Dit maakt uw instellingsnetwerk een aantrekkelijke plaats voor hackers en andere ongewenste bezoekers die het niet zo nauw nemen met de geldende regels op het internet. Gelukkig zijn er goede voorzorgsmaatregelen te nemen die de overlast van dergelijk ongewenst gebruik (misbruik) zo veel mogelijk beperken. In deze richtlijnen gaan we nader in op wat uw instelling, samen met SURFnet, preventief kan doen om een zo veilig mogelijke verbinding met het internet te onderhouden. Daarbij wordt onderscheid gemaakt tussen richtlijnen (verplichte maatregelen) en aanbevelingen (geadviseerde maatregelen). De richtlijnen vloeien voort uit de Gebruiksovereenkomst die de instelling en SURFnet met elkaar hebben afgesloten, en dan met name de specifieke bepalingen in artikel 10. 1 De richtlijnen zijn ten behoeve van de leesbaarheid in dit document weergegeven in aparte kaders. Eén van de bepalingen in de Gebruiksovereenkomst is dat de instelling een specifieke rol belegt bij een van haar medewerkers: de Site Security Contact (SSC). Dit moet in ieder geval een persoon zijn binnen de instelling die op operationeel niveau betrokken is bij de beveiliging van de netwerkvoorzieningen. Bij grotere instellingen verdient het overigens de voorkeur deze rol te beleggen bij een team van mensen, een lokaal incident response team (CSIRT). Indien in dit document gerefereerd wordt aan de SSC wordt indien van toepassing mede bedoeld het lokale CSIRT. Zie ook de aanbeveling hiervoor in §2.3. Verkeer van en naar een aangesloten instelling wordt, vanuit het perspectief van het wereldwijde internet, gezien als verkeer van en naar SURFnet. SURFnet is vanuit de op het internet geldende norm van zelfregulering ten opzichte van de overige ISP’s op het internet verplicht om er voor te zorgen dat ongewenst verkeer tot een minimum beperkt blijft. Een belangrijke operationele rol in dit verband wordt vervuld door SURFcert, het Computer Security Incident Response Team van SURFnet. Vanuit die rol spreekt SURFcert de aangesloten instellingen aan op hun verantwoordelijkheid om ongewenst verkeer van en naar de instelling zoveel mogelijk onder controle te houden. Indien zich een beveiligingsincident 2 voordoet waarbij een bij SURFnet aangesloten instelling betrokken is (dit kan zowel als bron zijn alsook als doelwit, en zelfs als tussenliggende partij) zal SURFcert optreden door de afhandeling van het incident te coördineren, de aard van het incident te analyseren en in overleg met de betrokken instelling het incident op te lossen. De richtlijnen zoals die hier worden gepresenteerd vormen een belangrijk handvat bij het dagelijks op orde houden van het verkeer van en naar de aangesloten instellingen, zowel voor SURFcert als voor iedere aangesloten instelling. 1
Zie bijlage I voor de relevante artikelen uit de SURFnet Gebruiksovereenkomst.
2
Een incident is iedere inbreuk op de geldende regels op het gebied van beveiliging en kan in dit verband variëren van “simpele” spam tot en met een gecompliceerde en nauwkeurig uitgevoerde inbraak in een supercomputer.
2
Richtlijnen en aanbevelingen voor de instelling
SURFnet spant zich in om de aangesloten instellingen een hoogwaardige toegang te bieden tot het internet die voldoet aan de moderne eisen voor wat betreft beveiliging, incidentafhandeling en bewaking. Om dit te realiseren zijn enkele richtlijnen opgesteld die in dit document worden gespecificeerd. Deze concentreren zich op drie aspecten: • • •
communicatie intern beheer gereguleerde toegang
De bijbehorende richtlijnen worden hieronder gedefinieerd en toegelicht. Richtlijnen zijn regels waar de instelling zich via de Gebruiksovereenkomst aan heeft gecommitteerd. Daarnaast worden ook aanbevelingen gegeven die ondersteunend zijn aan de richtlijnen en die een instelling kunnen helpen de richtlijnen op een doelmatige manier te implementeren.
2.1
Communicatie
Om incidenten op het gebied van beveiliging voorspoedig te kunnen afhandelen is het noodzakelijk dat er goed contact is tussen SURFcert en de instelling. Vooral als de instelling, meestal onbedoeld, de bron is van kwaadaardig verkeer (denk bijvoorbeeld aan gehackte werkstations) is het essentieel dat SURFcert snel contact kan leggen met de SSC van de instelling. Vervolgens zal gezamenlijk de bron van de ellende opgespoord en uitgeschakeld worden. Indien SURFcert onverhoopt geen contact krijgt met de SSC binnen de instelling of er geen actie wordt ondernomen door de instelling op lopende beveiligingsincidenten zal SURFcert in ernstige gevallen over gaan tot een tijdelijke gehele of gedeeltelijke blokkade van het verkeer tussen de instelling en SURFnet 3 .
Communicatie over beveiligingincidenten 1.
Elke instelling beschikt over een aanspreekpunt voor SURFcert in het geval zich er beveiligingsproblemen voordoen. Dit aanspreekpunt wordt door SURFcert de Site Security Contact (SSC) genoemd.
2.
De SSC, zoals bedoeld in richtlijn (1), zorgt ervoor dat de instelling minimaal binnen kantooruren bereikbaar is voor SURFcert in verband met beveiligingsincidenten die betrekking hebben op de instelling.
3.
De SSC, zoals bedoeld in richtlijn (1), is degene die bij de instelling verantwoordelijk is voor de beveiliging van de SURFnet-aansluiting en het lokale netwerk. De SSC beschikt over de middelen om de configuratie op het lokale netwerk zonodig bij te (laten) stellen of, indien noodzakelijk, afzonderlijke computers uit te (laten) schakelen of buiten het netwerk te (laten) plaatsen.
3
Zie ook artikel 10 lid 7, lid 8 en lid 9 van de SURFnet Gebruiksovereenkomst (bijlage I).
3
4.
Meldingen vanuit SURFcert aan de instelling worden door de SSC op lokale relevantie beoordeeld. Deze beoordeling en de eventueel te nemen stappen worden gemeld aan SURFcert. Er volgt dus altijd binnen een redelijke termijn een inhoudelijke reactie van de instelling op een incidentmelding vanuit SURFcert. Met redelijk wordt hierbij bedoeld twee werkdagen.
Aanbevelingen Om de richtlijnen met betrekking tot de communicatie rondom incidenten verder te stroomlijnen geven wij de onderstaande suggesties. •
•
2.2
Mailadressen De instelling hoort per mail goed bereikbaar te zijn. SURFcert beveelt als adres 4
[email protected] aan, zoals voorgeschreven in RFC2124 . Meestal is dit een lokale distributielijst waarop bijvoorbeeld alle operationele beveiligingsfunctionarissen staan. Aanbevolen wordt ook om een alias
[email protected] en
[email protected] naar dit adres aan te maken, daar deze adressen door probleemaanmelders in de praktijk veelvuldig worden gebruikt. CSIRT (Computer Security Incident Response Team) Het maken van een noodprocedure voor buiten kantooruren is aan te raden. Juist omdat beveiliging een 'round the clock issue' is raadt SURFcert de instellingen aan een lokaal team (CSIRT) in te richten. Dit is, in aanvulling op een SSC, geen persoon, maar een functie die bij voorkeur 7x24 uur bereikbaar is. De afgelopen jaren is het duidelijk geworden dat het benoemen van één enkele persoon als SSC niet afdoende is om accuraat te kunnen handelen wanneer incidenten optreden. Niet alleen nemen beveiligingsincidenten in aantal nog steeds toe, ook is de diversiteit van problemen gegroeid, waardoor het steeds minder aannemelijk is dat de kennis en ervaring om deze problemen in alle gevallen efficiënt het hoofd te bieden bij één enkele persoon kunnen worden belegd. Het oprichten van een CSIRT kan bovendien een impuls geven aan de samenwerking met (de teams van) andere instellingen en met SURFcert.
Lokale beheersvoorzieningen
Vanuit principieel oogpunt levert SURFnet volledige internettoegang zonder enige vorm van inhoudelijke filtering of blokkades 5 . SURFnet sluit instellingen aan op haar netwerk en de aangesloten instellingen zijn zelf verantwoordelijk voor wat er zich op het lokale netwerk afspeelt. Aangesloten instellingen bepalen immers zelf wat zij wel en niet op hun netwerk willen toestaan en eventuele beperkende technische maatregelen dienen dan ook in het lokale netwerk van de instelling geregeld te worden. Daarnaast is er het nodige dat de instelling op organisatorisch niveau dient te regelen, anticiperend op mogelijke problemen die zich ondanks technische voorzorgsmaatregelen toch kunnen voordoen.
4
5
RFC – Request For Comments, de verzameling documenten die internetstandaarden beschrijven. RFC’s worden simpelweg op volgorde van publicatie genummerd. Zie voor de gehele collectie http://www.rfc-editor.org/ Wel filtert SURFnet verkeer dat op technische gronden niet aan de vereiste criteria voldoet.
Intern Netwerkbeheer 5.
6. 7.
De instelling is zelf verantwoordelijk voor het interne netwerkbeheer en zal technische en organisatorische maatregelen nemen om kwaadaardig verkeer vanaf de instelling zo veel mogelijk te beperken. De instelling is verplicht om actief mee te werken met SURFcert om beveiligingsincidenten op te lossen. De instelling is zelf verantwoordelijk voor de ondersteuning van en informatievoorziening aan de eigen eindgebruikers.
Aanbevelingen •
•
•
Filters op de netwerkgrens De instelling kan op het koppelvlak met SURFnet technische maatregelen treffen om de hoeveelheid kwaadaardig ingaand en uitgaand verkeer te beperken. Zo is bijvoorbeeld verkeer dat de instelling verlaat, maar dat een kwaadaardig karakter heeft, in een aantal gevallen duidelijk te herkennen. Dit verkeer zou dan vervolgens door de router, waarmee de instelling aan SURFnet gekoppeld is, kunnen worden geblokkeerd. Ook verkeer dat om technische redenen niet in orde is (bijvoorbeeld uitgaand verkeer waarvan het bronadres niet past in de adresreeks van de instelling) kan door de instellingsrouter, die gekoppeld is aan het SURFnet netwerk, eenvoudig worden geblokkeerd. Monitoren van lokaal verkeer Er zijn een aantal mogelijkheden voor netwerkbeheerders van een instelling om het lokale verkeer in de gaten te houden. SURFcert adviseert ten aanzien hiervan dat de instelling een logging-functionaliteit inricht, waarmee toegang tot het netwerk en systemen van de instelling, komend van buitenaf, voor een bepaalde periode wordt vastgelegd. Dit vergemakkelijkt in hoge mate het zoeken naar bronnen van misbruik in het geval dat systemen van de instelling van buitenaf zijn of worden aangevallen. Definiëren van lokaal beleid Het verdient aanbeveling om vanuit de aard en missie van de instelling zelf een beleid vast te stellen waar de technische inrichting van netwerken en systemen (SP security policy) en het gedrag van de gebruikers (AUP - acceptable use policy) in zijn vastgelegd. Een heldere SP en AUP dragen bij aan een eenduidige beveiliging en voorkomt onduidelijkheden bij beheerders en gebruikers.
Het opzetten en eventueel wijzigen van de wijze waarop de interne netwerken worden beheerd is uiteraard een lokale zaak. Niettemin biedt SURFcert op dit vlak graag ondersteuning in de vorm van kennis, expertise en tools. Er zijn enkele goede instrumenten (vaak in de vorm van software) die het lokale beheer, in het bijzonder op het aspect van beveiliging, faciliteren. Een overzicht van de diensten die SURFnet op dit vlak aanbiedt is vindbaar via de SURFnet website of de SURFnet Menukaart.
2.3
Herleidbaar gebruik
De aangesloten instelling is gerechtigd de aansluiting op het SURFnet-netwerk te gebruiken ten behoeve van personen die, werkzaam of studerend binnen de aangesloten instelling gerechtigd zijn van bij de aangesloten instelling aanwezige infrastructurele voorzieningen gebruik te maken. Het recht tot gebruik van het SURFnet-netwerk is beperkt tot identificeerbare personen. Het is niet toegestaan om anoniem toegang te bieden tot de (internet)voorzieningen die via SURFnet op het lokale netwerk beschikbaar komen. Het is dus noodzakelijk dat enkel gerechtigde gebruikers binnen de instelling gebruik kunnen maken van de SURFnetvoorzieningen, nadat zij op een deugdelijke manier hun identiteit hebben kenbaar gemaakt aan bijvoorbeeld het systeem of het netwerk waarvan zij gebruik maken (authenticatie).
Herleidbaar gebruik 8.
Het recht tot gebruik van het SURFnet-netwerk is beperkt tot door de aangesloten instelling identificeerbare personen.
SURFcert hoeft niet over deze gegevens te beschikken, maar een instelling moet, bij gebleken misbruik, zelf in staat zijn om de koppeling met terugwerkende kracht te kunnen maken om zo oneigenlijk gebruik van het netwerk tegen te gaan en de betreffende gebruiker te kunnen ondersteunen bij het opschonen van zijn systeem.
Aanbevelingen •
Sluitende administratie lokale adressen Er zijn verschillende technieken om lokale componenten zoals desktops, laptops, e.d. van een actief netwerkadres te voorzien. Dit kan statisch of dynamisch, en de wijze waarop een component zich kenbaar maakt aan het netwerk (authenticatie) kan op vele manieren worden geïmplementeerd. Het is zeer aan te raden dat de instelling ervoor zorgt dat het gebruik van een specifiek IP-adres uit haar adresreeks, gegeven een bepaald tijdstip, in alle gevallen zonder aanvullende informatie (zoals poortnummer of protocol) terug te leiden is tot de betreffende gebruiker. Als vuistregel voor de tijd waarin teruggezocht kan worden kan een periode van vier weken worden gehanteerd.
Bijlage Relevante artikelen uit de SURFnet Gebruiksovereenkomst De artikelen hieronder komen uit de algemene SURFnet Gebruiksovereenkomst die op dit moment door SURFnet wordt gehanteerd. Het kan zijn dat uw instelling een ouder contract heeft getekend of een contract dat is toegespitst op het type aansluiting (bijvoorbeeld het OSP-model) 6 waardoor de artikelnummers niet overeenkomen en de inhoud minieme verschillen vertoont.
Artikel 4. GEBRUIK 1.
2.
3.
De aangesloten instelling is gerechtigd de aansluiting op het SURFnet-netwerk te gebruiken ten behoeve van personen die, werkzaam of studerend binnen de aangesloten instelling, op algemene of specifieke titel gerechtigd zijn van bij de aangesloten instelling aanwezige infrastructurele voorzieningen gebruik te maken. Het recht tot gebruik van het SURFnetnetwerk is beperkt tot identificeerbare personen. Gebruik door derden is alleen toegestaan na schriftelijke toestemming van SURFnet. Aan deze toestemming kunnen voorwaarden verbonden zijn. Onder derden worden in dit verband verstaan personen die niet in dienst zijn van of werkzaam zijn bij de aangesloten instelling, alsmede personen en instellingen die niet gerechtigd zijn namens of voor de aangesloten instelling op te treden. Voor zover de in dit artikel bedoelde personen tot de doelgroep van SURFnet behoren, dient de instelling die zij vertegenwoordigen een afzonderlijke gebruiksovereenkomst met SURFnet aan te gaan, dan wel dient de aangesloten instelling de overeenkomst mede ten behoeve van deze derden uit te breiden. Een uitbreiding als hiervoor bedoeld zal tot hogere jaartarieven leiden. De aangesloten instelling is niet gerechtigd zonder voorafgaande schriftelijke toestemming van SURFnet voor derden een indirecte aansluiting te verzorgen. Aan deze toestemming kunnen voorwaarden verbonden zijn.
Artikel 10. RECHTEN EN VERPLICHTINGEN 1.
De aangesloten instelling verplicht zich zodanige maatregelen te treffen, dat oneigenlijk gebruik, waaronder wordt verstaan gebruik door derden of gebruik anders dan ten behoeve van hoger onderwijs en/of onderzoek, vermeden wordt en de aangesloten instelling verplicht zich om eventuele richtlijnen van SURFnet ten aanzien van beveiliging op te volgen tenzij een en ander in redelijkheid niet van de aangesloten instelling gevergd kan worden.
4.
SURFnet zal zich inspannen het SURFnet-netwerk, de fysieke aansluiting op het SURFnetnetwerk, zowel als de ter beschikking staande gebruikersdiensten, te laten functioneren in overeenstemming met de operationele en functionele doeleinden zoals de partijen bij het aangaan van deze overeenkomst voor ogen staan.
6.
De aangesloten instelling zal zich inspannen geen verstoringen in het SURFnet-netwerk te veroorzaken, en er, voor zover dat binnen de mogelijkheden van de aangesloten instelling ligt, aan bijdragen dat het SURFnet-netwerk blijvend zo goed mogelijk functioneert. De aangesloten instelling draagt zorg voor het dagelijks beheer van de ten behoeve van de aansluiting door SURFnet of door de aangesloten instelling ingezette faciliteiten. Onder het dagelijks beheer van door SURFnet ingezette faciliteiten wordt verstaan de probleemsignalering, medewerking aan de probleemoplossing, alsmede de informatieverstrekking aan de gebruikers van de aangesloten instelling.
6
Zie http://www.surfnet.nl/nl/organisatie/instellingen/Pages/osp.aspx
Onder het dagelijks beheer van door de aangesloten instelling ingezette faciliteiten wordt verstaan het zodanig handelen dat een functionele interactie met het SURFnet-netwerk en daaraan gekoppelde netwerken gewaarborgd is; indien hiertoe door SURFnet beheersrichtlij- nen en/of parameterinstellingen zijn aangegeven, zijn deze bindend. 7.
Ingeval de aangesloten instelling niet conform de overeengekomen gebruiksvoorwaarden en aansprakelijkheidsregelingen gebruik maakt van het SURFnet-netwerk en overige aangeslo- ten instellingen of SURFnet schade ondervinden door deze aan de aangesloten instelling of diens gebruikers verwijtbare situatie, zullen de aangesloten instelling en SURFnet zich geza- menlijk inspannen om de schade veroorzakende situatie ongedaan te maken. SURFnet heeft daarbij het recht in acute gevallen de aansluiting tijdelijk buiten gebruik te stellen.
8.
Ingeval de aangesloten instelling in gebreke blijft de in lid 7 genoemde inspanning adequaat te verrichten en de schade veroorzakende situatie om die reden niet binnen een redelijke termijn ongedaan gemaakt kan worden, heeft SURFnet het recht de aansluiting geheel of ge- deeltelijk op te heffen. Zulks zal SURFnet niet doen dan na overleg met de aangesloten in- stelling en schriftelijke kennisgeving door SURFnet aan de aangesloten instelling.
9
a. De aangesloten instelling is zelf verantwoordelijk voor de inhoud en de vorm van alle com- municatie en informatie welke met gebruikmaking van het SURFnet-netwerk uitgaat van haar of van haar gebruikers. De aangesloten instelling is ervoor verantwoordelijk dat bij de be- doelde communicatie en informatie steeds de (gedrags)regels voor zorgvuldige on-line com- municatie (waaronder nettiquette) in acht genomen worden, dat daardoor geen Nederlandse of buitenlandse wettelijke verplichtingen, regels van openbare orde of goede zeden of rech- ten van derden geschonden worden en dat daardoor niet jegens derden onrechtmatig wordt gehandeld en/of schade aan derden wordt toegebracht. De aangesloten instelling vrijwaart SURFnet voor alle schade en kosten die voor SURFnet uit schending van deze verplichtingen mochten voortvloeien.
9
b. Indien SURFnet een goede reden heeft om aan te nemen dat door bepaalde informatie of communicatie van de aangesloten instelling en/of een van haar gebruikers via het SURFnet- netwerk inbreuk wordt gemaakt of dreigt te worden gemaakt op regels of verplichtingen als bedoeld in artikel 10 lid 9a, zal SURFnet dat aan de aangesloten instelling meedelen en is de aangesloten instelling verplicht in overleg met SURFnet al het mogelijke te doen om de be- doelde inbreuk zo snel mogelijk te beëindigen en voor de toekomst te voorkomen.
9
c.
SURFnet is gerechtigd de toegang van de aangesloten instelling en/of haar gebruikers tot het SURFnet-netwerk geheel of gedeeltelijk te beëindigen of op te schorten, of voor de continue- ring daarvan nadere voorwaarden te stellen, indien: · de aangesloten instelling en/of een haar gebruikers naar het oordeel van SURFnet van het SURFnet-netwerk gebruik maakt of dreigt te maken op een wijze die in strijd of mogelijk in strijd is met artikel 10 lid 9a en de aangesloten instelling na een mededeling als bedoeld in artikel 10 lid 9b geen passende maatregelen heeft genomen om het bedoelde gebruik te staken of voorkomen; · dat voor SURFnet nodig is om aan een wettelijke verplichting of een rechterlijke beslissing te voldoen; · beschikbaarheid van het SURFnetnetwerk door de wijze waarop de aangesloten instelling en/of haar gebruikers gebruik maakt van het SURFnetnetwerk voor andere gebruikers zou kunnen worden verhinderd of beperkt.
10.
Afsluiting (geheel of gedeeltelijk) geeft de aangesloten instelling geen recht enige betaling op te schorten.
