SPITS

opq

Ministerie van Verkeer en Waterstaat

Rijkswaterstaat

IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 februari 2005

Eindverantwoordelijkheid Naam Datum Paraaf

Goedgekeurd Security Manager SPITS E.A. van Buuren

Geaccepteerd Manager SPITS

opq

Ministerie van Verkeer en Waterstaat

Rijkswaterstaat

IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 Februari 2005

........................................................................................

Colofon Uitgegeven door: SPITS

Informatie: Telefoon: Fax:

servicedesk SPITS 0800-0230339

Uitgevoerd door:

Security manager SPITS

Opmaak:

Datum:

15-02-05

Status:

definitief

Versienummer:

1.1

3

IP/LAN dienst Aansluitpolicy VICnet/SPITS

Inhoudsopgave ........................................................................................

1.

Inleiding

5

2.

Doel

5

3.

Scope

5

4.

Policy

6

4.1

Verplicht

4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.1.6. 4.1.7. 4.1.8. 4.1.9. 4.1.10. 4.1.11. 4.1.12. 4.1.13.

4.2

Gewenst

4.2.1.

4.3

Betrouwbaarheid Toestemming Datacommunicatie Software Toegangsbeheer Externe koppelingen Hardening van systemen Toegangverlening Hardware Gebruikersgroepen Overige eisen Maatregelen A&K analyse Onderhoud

Optie

6 6 6 6 6 7 7 7 7 8 8 8 8 8

9 9

9

5.

BIJLAGE A

10

6.

Revisie historie

12

4


1. Inleiding Systemen die aangesloten zijn op het VICnet kunnen invloed hebben op het betrouwbaar functioneren van het VICnet en/of andere aangesloten DVM systemen. Om de kans op aantasten van de betrouwbaarheid tot een minimum te beperken, worden aan het aansluiten van systemen een aantal basiseisen gesteld. Dienstonderdelen zijn zelf mede verantwoordelijk voor het waarborgen dat aangesloten systemen aan deze eisen voldoen.

2. Doel Deze policy beschrijft de verplichte, gewenste en optionele maatregelen die genomen moeten worden bij het aansluiten van systemen binnen het VICnet/SPITS netwerk. Specifiek beschrijft deze policy aan welke (minimale) voorwaarden een systeem dient te voldoen alvorens dit aangesloten kan worden op VICnet.

3. Scope De scope van deze policy is VICnet en alle componenten en personen die daarvan deel uitmaken. De scope van deze policy behelst alle systemen die op het VICnet, of netwerken die direct, zonder enige toereikende beveiliging, met het VICnet zijn verbonden, ongeacht of deze in beheer zijn bij SPITS, een lokale beheerorganisatie of derden. Noot: Deze policy geldt dus ook voor alle systemen die aangesloten zijn op de lokale netwerken in de verkeerscentrales (VCLAN) of systemen die onderdeel uitmaken van de netwerkinfrastructuur. Deze policy is onderdeel van de Security policies VICnet/SPITS en is altijd verbonden met het gelijknamige policyoverzicht document en daarin opgenomen algemene beginselen.

5


4. Policy De eisen in deze policy zijn onafhankelijk van het feit of de systemen door SPITS, een RD, SD of derde partij beheerd (gaan) worden. Ook zijn ze onafhankelijk van de periode waarvoor de systemen aangesloten worden.

4.1 Verplicht 4.1.1. Betrouwbaarheid Elk aangesloten systeem (of applicatie) mag nooit -onder geen enkele omstandigheid- de betrouwbaarheid van andere systemen en/of applicaties die zijn aangesloten op het VICnet, of de betrouwbaarheid van het VICnet zelf, verstoren.

4.1.2. Toestemming Een systeem dat met het VICnet verbonden is, mag op geen enkele wijze met een ander netwerk gekoppeld worden zonder voorafgaande schriftelijke toestemming van de manager SPITS.1

4.1.3. Datacommunicatie Van elk systeem dat gebruik gaat maken van bronnen op het VICnet dienen de volgende zaken bekend te zijn en vastgelegd te worden: a. bandbreedte gebruik, gemiddelde en piek b. welke protocollen/services gebruikt worden en of deze zich houden aan de richtlijnen voor protocollen en hun poortnummers zoals opgesteld in RFC 1700 (Assigned Numbers - http://www.faqs.org/rfcs/rfc1700.html) c. met welke systemen/applicaties er gecommuniceerd wordt d. welke IP-poortnummers worden gebruikt Alle datacommunicatie van binnen en naar het VICnet dient te voldoen aan de richtlijnen zoals opgesteld in de Firewall Policy van VICnet/SPITS.

4.1.4. Software De hier genoemde eisen gelden voor alle software dus zowel voor het besturingssysteem alsook voor alle applicatiesoftware. a. Software dient goed gedocumenteerd te zijn. (Er moet een installatiehandleiding en een gebruikershandleiding meegeleverd zijn.) b. Software heeft een testtraject ondergaan, waarbij getoetst is tegen de genoemde eisen die zijn vastgelegd in de Policy voor testen in operationele omgeving. 1

Dit geldt dus bijvoorbeeld ook voor het kantoornetwerk VenWnet/NNV, inbelverbindingen

van leveranciers ten behoeve van onderhoudsystemen.

6


c. Software mag na oplevering niet gebruikt worden als ontwikkel/testomgeving. Dus er mogen GEEN ONTWIKKELTOOLS/COMPILERS/SOURCECODE e.d. op het systeem aanwezig zijn. d. Geleverde software moet voldoen aan de richtlijnen van de Patchmanagement Policy VICnet/SPITS. e. Applicatiesoftware bevat alleen de beschreven functionaliteit en bevat geen extra features, achterdeuren, toegang- en loggingfuncties anders dan beschreven. f. Het gebruik van scripts binnen applicaties en op systemen zal nader bepaald worden. g. Besturingssysteemsoftware dient getest te worden of deze gevoelig is voor bekende zwakheden, zoals stack buffer overflows, format string errors en SQL injection exploits. Ook dient getest te worden op lekken in C/C++ en Javagebaseerde applicaties.

4.1.5. Toegangsbeheer Elk systeem/applicatie of gebruiker die op het VICnet aangesloten wordt, dient aan de volgende voorwaarden te voldoen: a. Authenticatie/autorisatie is belegd, het moet mogelijk zijn om dit via een authenticatieserver te regelen. b. Alle logins zijn persoonsgebonden (en daardoor herleidbaar). c. Het gebruik van Administrator en System logins is verboden. d. Het systeem MOET kunnen functioneren in een DMZ (DeMilitarized Zone) als het bedoeld is om informatie aan gebruikers/systemen ter beschikking te stellen (oftewel het systeem moet achter eventuele firewall kunnen functioneren).

4.1.6. Externe koppelingen Systemen binnen VICnet mogen, zonder toestemming van de security manager van SPITS, niet verbonden zijn met andere netwerken zoals kantoornetwerken (bijvoorbeeld VenWnet), modemverbindingen met leveranciers, thuisgebruikers e.d. Voor deze koppelingen mag bovendien alleen maar gebruik gemaakt worden van de hiervoor goedgekeurde diensten (zie o.a. remote toegang policy en draadloze communicatie policy).

4.1.7. Hardening van systemen Besturingssysteemsoftware is gehardened/gestripped en bevat alleen noodzakelijke services/functies/drivers. Deze zijn ook gedocumenteerd.

4.1.8. Toegangverlening a. Toegang verlenen tot systemen alleen op basis van herleidbare unieke identificatie. b. Toegang volgens het principe: niets mag, alleen datgene wat per gebruiker noodzakelijk is (zero-tolerance). c. Voor het verkrijgen van een userid/wachtwoord dient te worden voldaan aan de geldende Wachtwoordpolicy

7


VICnet/SPITS. Alle systemen en applicaties dienen deze te ondersteunen. d. Er dient een autorisatiemodel opgesteld te zijn waarin vastgelegd is welke autorisaties benodigd zijn om een bepaalde functionaliteit te kunnen/mogen uitvoeren.

4.1.9. Hardware Voor de hardware wordt, indien beschikbaar, gebruik gemaakt van de standaard architecturen zoals beschreven in het USP,UWP en UBP.

4.1.10. Gebruikersgroepen Er dient minimaal onderscheid gemaakt te worden in de volgende gebruikers(groepen): 1. systeembeheerders 2. applicatiebeheerders 3. gebruikers

4.1.11. Overige eisen Los van eventuele SLA afspraken dienen er altijd standaardafspraken te zijn waarin o.a. vastgelegd is dat: a. gebruikers op de juiste wijze (waar het systeem voor bedoeld is) met informatie en de systemen binnen VICnet omgaan; b. gebruikers systemen alleen daarvoor gebruiken waarvoor deze bedoeld zijn.

4.1.12. Maatregelen Indien een van bovenstaande normen overtreden wordt dan gelden de volgende maatregelen die bij gebruikers bekend moeten zijn: 1. OF 1x waarschuwing bij 2e x afsluiten 2. OF direct afsluiten indien werking VICnet of andere systemen in gevaar komt (escalatiepad) Voor elke organisatie die aangesloten wordt op VICnet (in welke vorm dan ook), is een persoon 24*7 beschikbaar als aanspreekpunt en gemachtigde in geval van security incidenten en als zodanig onderdeel van het nog te formuleren escalatiepad. (noot: mogelijk kunnen we hiervoor aansluiten bij de VenWnet procuratielijst)

4.1.13. A&K analyse Alvorens een systeem aangesloten wordt op het VICnet dient gekeken te worden wat de mogelijke security gevolgen hiervan kunnen zijn. Soms kan volstaan worden met een eenvoudige impactanalyse, maar bij grote systemen/changes kan een risico (A&K) analyse noodzakelijk zijn.

8


4.2 Gewenst 4.2.1. Onderhoud Onderhoud aan systemen door derden dient gemeld te worden aan de SPITS servicedesk. Dit is alleen van toepassing op systemen die niet door SPITS beheerd worden.

4.3 Optie Niet van toepassing.

9


5. BIJLAGE A Lijst met bekende services op VICnet Alle services en protocollen die niet genoemd worden, zijn niet toegestaan. Deze tabel beschrijft de service welke binnen het VICnet gehanteerd worden. Services van en naar het VICnet worden beschreven in de Firewall Policy. Service FTP

Beschrijving File Transfer Protocol

Protocolnaam Poort nr ftp-data 20 ftp 21

SSH

Secure SHell

ssh

22

Telnet

Shell

telnet

23

Mail

Mail protocollen

smtp

25

pop3

110

tacacs

49

protocol Toegestaan opmerking Ja tcp Alleen van VICnet naar Internet. Er is tcp geen FTP service toegestaan die van Internet benaderbaar is. tcp Ja Alternatief voor telnet en rlogin. tcp Nee Slecht op securityvlak. Ja Alle SMTP verkeer zal tcp via 1 (mail)host door de firewall naar buitengaan. Andersom zal alle SMTP verkeer van buiten naar binnen herleid worden naar 1 mailserver. Welke vervolgens alle mailverkeer intern routeert. tcp Nee Er is geen POP3email toegestaan. tcp Ja

domain bootps bootpc

53 67 68

udp udp udp

Ja Nee

tftp

69

udp

Ja

http

80

tcp

Ja

https

443

tcp

Ja

su-mit-tg sunrpc NFS

89 111 2049

udp udp udp

Ja Ja

ntp

123

udp

Ja

INGRES-net ingreslock SLINGRES ORACLE SQLNET MYSQL POSTGRSQL netbios-ns netbios-dgm netbios-ssn microsoft-ds snmp snmptrap login shell

134 1524 4010 1525 1521 3306 5432 137 138 139 445 161 162 513 514

tcp tcp tcp tcp tcp tcp tcp udp udp tcp tcp udp udp tcp tcp

Ja

TACACS DNS DHCP

TFTP

HTTP

??? RPC gebaseerde services Time Service Database

Authenticatie protocol Name Service Client IP configuratie dienst Trivial FTP

http, Webbrowsing

Portmapper Network file system Network Time Protocol Ingres

Oracle

File Sharing

MySQL PostgreSQL Netbios over TCP/IP

Network SNMP Management Login/Rlogin Remote Shell en Commando executie

10

Alleen als dienst binnen VICnet. Onveilige FTP. Alleen toegestaan als tijdelijk middel voor het updaten van netwerk componenten. Inkomend webverkeer is naar geselecteerde servers toegestaan. Inkomend webverkeer is naar geselecteerde servers toegestaan.

Ja Ja Ja Nee

Ja Nee Nee


Alternatief is SSH. Alternatief is SSH.

Syslog

Logging service

syslog

514

udp

Ja

RIP Ping

Routing protocol

router ping ping

udp ICMP ICMP

Ja Ja Ja

Webmin

Remote Webmanagement Remote Desktop Protocol van Microsoft Citrix ICA Common Object Request Broker Architecture

webmin

520 ECHO ECHOREPLY 1000

tcp

Ja

RDP

3389

tcp

Ja

ICA corba

1494 tcp Dynamisch tcp

Ja Ja

procesd bb lockserver top-fep top-bp bcg-top bcg-fep bcg-fep bp-memopc more simone monica-1 monica-2 ks downloading downloading diagnostiek diagnostiek research research research research research

48879 1984 56063 5111 5100 5160 6700 5120 5555 10002 10051 10041 10042 10200 10300 10300 10400 10400 10160 10100 10110 10120 10130 9102/9203

Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja

RDP

ICA Corba

Simone Monica

Monitoring

Bacula

11

tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp udp tcp udp tcp udp tcp tcp tcp tcp tcp


Alleen toegestaan voor geautoriseerde hosts.

Toegang beperkt tot localhost.

6. Revisie historie Versie 1.0 1.1

12

Datum 10-12-2004 15-02-2005

Auteur E. van Buuren


Toelichting

SPITS

Recommend Documents