opq
Ministerie van Verkeer en Waterstaat
Rijkswaterstaat
Firewallpolicy VICnet/SPITS 16 Februari 2005
Eindverantwoordelijkheid Naam Datum Paraaf
Goedgekeurd Security Manager SPITS E.A. van Buuren
Geaccepteerd Manager SPITS
Ministerie van Verkeer en Waterstaat
opq Rijkswaterstaat
Firewallpolicy VICnet/SPITS 16 Februari 2005
........................................................................................
Colofon Uitgegeven door: SPITS
Informatie: Telefoon: Fax:
servicedesk SPITS 0800-0230339
Uitgevoerd door:
Security manager SPITS
Opmaak:
Datum:
16-02-05
Status:
definitief
Versienummer:
1.1
3
Firewallpolicy VICnet/SPITS
Inhoudsopgave ........................................................................................
1.
Inleiding
5
2.
Doel
5
3.
Scope
5
4.
Policy
6
4.1
Verplicht
4.1.1 4.1.2 4.1.3 4.1.4 4.1.5 4.1.6 4.1.7 4.1.8 4.1.9 4.1.10 4.1.11 4.1.12
Authenticatie Routering en rule-base Beheer Back-up Beschikbaarheid VPN Documentatie Fysieke beveiliging Logging en incidenten Upgrade Afvoeren hardware Aanmelden firewall
6 6 6 6 7 7 7 7 7 7 8 8 8
4.2
Gewenst
8
4.3
Optie
8
5.
Richtlijnen
6.
Revisie historie
4
Firewallpolicy VICnet/SPITS
9 11
1. Inleiding Firewalls zijn een essentieel onderdeel voor de beveiliging van het VICnet/SPITS netwerk. Het hoofddoel van een firewall is toegangscontrole. Een firewall is geen losstaand component, maar moet gezien worden als een strategisch middel om informatie te beveiligen. Een firewall fungeert als portier tussen de vertrouwelijke informatiebronnen van VICnet/SPITS en de ‘onbetrouwbaar’ beschouwde gekoppelde netwerken.
2. Doel Deze policy beschrijft de verplichte, gewenste en optionele maatregelen die genomen moeten worden bij het inrichten en beheren van firewalls binnen VICnet. Het specifieke doel van deze policy is het hebben van richtlijnen voor het inrichten en beheren van een firewallconfiguratie teneinde een zo optimaal mogelijke beveiliging voor het netwerk en haar informatie te bewerkstelligen. Nevendoel is ook om de RWSorganisatie (systeemontwikkeling) duidelijkheid te verschaffen over wat wel en niet mag/kan.
3. Scope De scope van deze policy behelst alle personen en systemen die binnen het VICnet gemachtigd zijn om gebruik te maken van de functionaliteit van de firewalls. Het betreft onder andere de firewalls die gebruikt worden voor koppelingen tussen VICnet met VCNL, TORO/VICTOR en VenWnet. Deze policy is onderdeel van de Security policies VICnet/SPITS en is altijd verbonden met het gelijknamige policyoverzicht document en daarin opgenomen algemene beginselen.
5
Firewallpolicy VICnet/SPITS
4. Policy 4.1 Verplicht 4.1.1 Authenticatie Personen binnen het VICnet die gebruikmaken van de functionaliteit van de firewall, dienen geauthenticeerd te zijn op het VICnet netwerk. In dit geval gaat het niet om de beheerders (zie hiervoor ‘Beheer’), maar om de gebruikers. 4.1.2 Routering en rule-base Indien beschikbaar, dient er gebruik te worden gemaakt van een Application Firewall. Dit vanwege de geavanceerdere mogelijkheden van dit type firewall. Er kan echter om technische redenen zijn gekozen voor een Statefull Packet Filter Firewall (indien er voor het gebruikte protocol geen Application Firewall is of het teveel performance kost). De structuur van VICnet dient niet zichtbaar te zijn voor het externe Netwerk. Om dit te bewerkstelligen, is het gebruik van Network Address Translation verplicht. De firewall dient zodanig geconfigureerd te zijn dat alle verkeer tegengehouden wordt met uitzondering van de protocollen die men toe wil staan (zie tabel in bijlage). Gebruikte protocollen binnen VICnet/SPITS dienen geconformeerd te worden aan richtlijnen voor protocollen en de daarbij behorende poortnummers. Deze richtlijnen zijn gedefinieerd in RFC 1700 (Assigned Numbers – http://www.faqs.org/rfcs/rfc1700.html). Alle verbindingen die van en naar het VICnet gelegd worden, dienen volgens de standaard change procedure gerealiseerd te worden. Daarnaast dienen deze goedgekeurd te worden door de informatiebeveiligingsfunctionaris/security officer.
4.1.3 Beheer Er zullen, volgens het informatie beveiligingsbeleid van de organisatie, een of meerdere personen verantwoordelijk gesteld worden voor het beheer van de firewall. De beheerders dienen gekwalificeerd te zijn om de betreffende firewall te beheren en zullen regelmatig (update) trainingen volgen ten behoeve van de firewalls en netwerkbeveiliging in het algemeen. In een autorisatietabel dient te worden vastgelegd welke netwerkaccounts toegang zullen verkrijgen om de firewall te beheren. Het aantal user accounts op de firewall dient zo laag mogelijk te zijn. Alleen de firewallbeheerders zullen een gebruikersnaam verkrijgen. Voor het aanpassen van de firewallconfiguratie is authenticatie op basis van ACS vereist. De wachtwoorden voor het beheerderaccount dienen
6
Firewallpolicy VICnet/SPITS
vastgelegd te worden zoals beschreven in de Wachtwoordpolicy VICnet/SPITS. Elke vorm van beheer dient via een versleutelde verbinding plaats te vinden.
4.1.4 Back-up De vitale bestanden (configuratie- en systeembestanden) dienen dagelijks en bij wijziging op centrale server gezet te worden. Back-up bestanden dienen bewaard te worden op basis van de standaard backup procedure gehanteerd binnen VICnet/SPITS. Het is niet noodzakelijk om deze bestanden versleuteld op te slaan en te transporteren.
4.1.5 Beschikbaarheid Er dient een procedure te zijn die er zorg voor draagt dat wanneer een firewall niet meer functioneert er binnen 4 uur een (nood)oplossing is.
4.1.6 VPN Elke verbinding die over het Internet tussen twee firewalls gelegd wordt, moet gebruikmaken van een versleutelde verbinding. Elke VPN verbinding dient volgens een vaststaande procedure goedgekeurd te worden door de informatiebeveiligingsfunctionionaris/security officer.
4.1.7 Documentatie Het is van belang dat de firewall configuratie, en elke aanpassing daarop, op een duidelijke en overzichtelijke manier gedocumenteerd wordt. Hierop dient een overzicht van de rule-base en een netwerktekening te staan. Daarnaast is het van belang dat elk changerequest en de bijbehorende wijziging in de rule-base ook vastgelegd wordt.
4.1.8 Fysieke beveiliging De firewall dient in een afgesloten patchkast of ruimte te verblijven. De ruimte of kast dient met een slot afgesloten te zijn en de sleutel moet in beheer zijn van een van de beheerders.
4.1.9 Logging en incidenten De firewall dient zo geconfigureerd te worden dat alle data naar een logserver worden weggeschreven. De rapporten die deze genereert, dienen op wekelijkse basis gecontroleerd te worden op afwijkingen op het standaard verkeerspatroon. De firewall dient zo geconfigureerd te worden dat een veiligheidsalarm direct gecommuniceerd wordt naar de beheerder(s). Bij een veiligheidsalarm dient men te denken aan herhaaldelijk ongeautoriseerde aanlogprocedures, Denial of Service attacks, poortscans etc.).
7
Firewallpolicy VICnet/SPITS
4.1.10 Upgrade De beheerder dient elke update/release/patch te testen en te beoordelen of een upgrade noodzakelijk is. De beheerder dient zich, wanneer mogelijk, aan te melden bij een mailinglist van de fabrikant teneinde bovengenoemde updates zo spoedig mogelijk te beoordelen. Patches en upgrades dienen te voldoen aan de richtlijnen zoals opgesteld in de Patchmanagement Policy.
4.1.11 Afvoeren hardware Bij het buiten gebruik stellen van een firewall dient de configuratie gewist te worden alsmede alle wachtwoorden en back-up configuraties van de firewall.
4.1.12 Aanmelden firewall Bij aanmelden op de firewall dient een welkomsttekst te worden weergeven die er als volgt uitziet: “ONGEAUTORISEERDE TOEGANG TOT DIT NETWERKCOMPONENT IS VERBODEN. Alle activiteiten op dit component worden gelogd en inbreuk op de policy voor dit component kan resulteren in maatregelen zoals beschreven in de Firewallpolicy van het VICnet/SPITS.”
4.2 Gewenst Niet van toepassing.
4.3 Optie Niet van toepassing.
8
Firewallpolicy VICnet/SPITS
5. Richtlijnen Voor service van en naar het VICnet: NB: • • • •
Services binnen het VICnet zijn beschreven in de IP/LANdienst Aansluitpolicy. Elk protocol en/of service die niet op de lijst staat, is NIET toegestaan. Aantal openstaande poorten dient tot een minimum te worden beperkt. Gebruik van dynamische poorten is niet toegestaan.
Service
Beschrijving
Protocolnaam Poort
Protocol
Toegestaan
FTP
File Transfer
ftp-data
Buiten->binnen
Binnen-> buiten
20
tcp
Nee
Ja, alleen
Protocol
ftp
21
tcp
SSH
Secure SHell
Mail
Mail protocollen smtp
ssh
22
tcp
25
tcp
nr
Toegestaan
Doelgroep1 Beheerders
Opmerking Alleen van VICnet naar Internet. Er is geen FTP service toegestaan die van Internet benaderbaar is.
Ja
Alternatief voor telnet en rlogin.
Ja, alleen naar
Ja, alleen een
Systeem
Alle SMTP verkeer zal via 1 (mail)server door de firewall naar buiten
een of meerdere
mailhost.
(mailserver)
herleid worden. Andersom zal alle SMTP verkeer van buiten naar binnen
mailhost (s).
herleid worden naar 1 mailserver, die vervolgens de mail intern distribueert.
Telnet
Shell
telnet
23
Tcp
Nee
Ja
Beheerders,
Alleen toegestaan indien er niet met SSH gewerkt kan worden.
systemen TACACS
Authenticatie
tacacs
49
tcp
Nee
Ja
Beheerders
Binnen VICnet toegestaan. Buiten firewall niet toegestaan.
domain
53
udp
Nee
Ja
Beheerders,
Name resolving vindt alleen plaats binnen VICnet.
protocol DNS
Name Service
systemen, gebruikers HTTP
http,
bootpc
68
udp
http
80
tcp
Nee
Webbrowsing
Ja
Beheerders,
Inkomend webverkeer is naar geselecteerde servers toegestaan.
systemen,
Configuratie van netwerkcomponenten is niet toegestaan.
gebruikers 1
Onder doelgroep wordt een onderverdeling gemaakt tussen gebruikers en beheerders en systemen. Het kan in de praktijk zo zijn dat beheerders meer rechten hebben dan standaard-gebruikers en dat slechts
een systeem een connectie door de firewall behoeft.
9
Firewallpolicy VICnet/SPITS
NFS
Network File
https
443
tcp
Nee
Ja
Inkomend webverkeer is naar geselecteerde servers toegestaan.
NFS
2049
udp
Ja
Ja
Alleen toegestaan van en naar specifieke servers.
ntp
123
udp
Nee
Ja
System Time
Network Time
Service
Protocol Expertdesk
SMB
SAMBA
Simone Monica
Monitoring ?
4444
Ja
SMB
Ja
Tijdelijk ook toegestaan van buiten naar binnen. Alleen toegestaan van en naar specifieke servers.
Ja
Ja
procesd
48879
tcp
Ja
Ja
bb
1984
tcp
Ja
Ja
lockserver
56063
tcp
Ja
Ja
top-fep
5111
tcp
Ja
Ja
top-bp
5100
tcp
Ja
Ja
bcg-top
5160
tcp
Ja
Ja
bcg-fep
6700
tcp
Ja
Ja
bcg-fep
5120
tcp
Ja
Ja
bp-memopc
5555
tcp
Ja
Ja
more
10002
tcp
Ja
Ja
simone
10051
tcp
Ja
Ja
monica-1
10041
tcp
Ja
Ja
monica-2
10042
tcp
Ja
Ja
ks
10200
udp
Ja
Ja
downloading
10300
tcp
Ja
Ja
downloading
10300
udp
Ja
Ja
diagnostiek
10400
tcp
Ja
Ja
diagnostiek
10400
udp
Ja
Ja
research
10160
tcp
Ja
Ja
10
Firewallpolicy VICnet/SPITS
6. Revisie historie Versie 1.0 1.1
11
Datum 10-12-2004 16-02-2005
Firewallpolicy VICnet/SPITS
Auteur E. van Buuren
Toelichting
