opq
Ministerie van Verkeer en Waterstaat
Rijkswaterstaat
IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 februari 2005
Eindverantwoordelijkheid Naam Datum Paraaf
Goedgekeurd Security Manager SPITS E.A. van Buuren
Geaccepteerd Manager SPITS
opq
Ministerie van Verkeer en Waterstaat
Rijkswaterstaat
IP/LAN dienst Aansluitpolicy VICnet/SPITS 15 Februari 2005
........................................................................................
Colofon Uitgegeven door: SPITS
Informatie: Telefoon: Fax:
servicedesk SPITS 0800-0230339
Uitgevoerd door:
Security manager SPITS
Opmaak:
Datum:
15-02-05
Status:
definitief
Versienummer:
1.1
3
IP/LAN dienst Aansluitpolicy VICnet/SPITS
Inhoudsopgave ........................................................................................
1.
Inleiding
5
2.
Doel
5
3.
Scope
5
4.
Policy
6
4.1
Verplicht
4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.1.6. 4.1.7. 4.1.8. 4.1.9. 4.1.10. 4.1.11. 4.1.12. 4.1.13.
4.2
Gewenst
4.2.1.
4.3
Betrouwbaarheid Toestemming Datacommunicatie Software Toegangsbeheer Externe koppelingen Hardening van systemen Toegangverlening Hardware Gebruikersgroepen Overige eisen Maatregelen A&K analyse Onderhoud
Optie
6 6 6 6 6 7 7 7 7 8 8 8 8 8
9 9
9
5.
BIJLAGE A
10
6.
Revisie historie
12
4
IP/LAN dienst Aansluitpolicy VICnet/SPITS
1. Inleiding Systemen die aangesloten zijn op het VICnet kunnen invloed hebben op het betrouwbaar functioneren van het VICnet en/of andere aangesloten DVM systemen. Om de kans op aantasten van de betrouwbaarheid tot een minimum te beperken, worden aan het aansluiten van systemen een aantal basiseisen gesteld. Dienstonderdelen zijn zelf mede verantwoordelijk voor het waarborgen dat aangesloten systemen aan deze eisen voldoen.
2. Doel Deze policy beschrijft de verplichte, gewenste en optionele maatregelen die genomen moeten worden bij het aansluiten van systemen binnen het VICnet/SPITS netwerk. Specifiek beschrijft deze policy aan welke (minimale) voorwaarden een systeem dient te voldoen alvorens dit aangesloten kan worden op VICnet.
3. Scope De scope van deze policy is VICnet en alle componenten en personen die daarvan deel uitmaken. De scope van deze policy behelst alle systemen die op het VICnet, of netwerken die direct, zonder enige toereikende beveiliging, met het VICnet zijn verbonden, ongeacht of deze in beheer zijn bij SPITS, een lokale beheerorganisatie of derden. Noot: Deze policy geldt dus ook voor alle systemen die aangesloten zijn op de lokale netwerken in de verkeerscentrales (VCLAN) of systemen die onderdeel uitmaken van de netwerkinfrastructuur. Deze policy is onderdeel van de Security policies VICnet/SPITS en is altijd verbonden met het gelijknamige policyoverzicht document en daarin opgenomen algemene beginselen.
5
IP/LAN dienst Aansluitpolicy VICnet/SPITS
4. Policy De eisen in deze policy zijn onafhankelijk van het feit of de systemen door SPITS, een RD, SD of derde partij beheerd (gaan) worden. Ook zijn ze onafhankelijk van de periode waarvoor de systemen aangesloten worden.
4.1 Verplicht 4.1.1. Betrouwbaarheid Elk aangesloten systeem (of applicatie) mag nooit -onder geen enkele omstandigheid- de betrouwbaarheid van andere systemen en/of applicaties die zijn aangesloten op het VICnet, of de betrouwbaarheid van het VICnet zelf, verstoren.
4.1.2. Toestemming Een systeem dat met het VICnet verbonden is, mag op geen enkele wijze met een ander netwerk gekoppeld worden zonder voorafgaande schriftelijke toestemming van de manager SPITS.1
4.1.3. Datacommunicatie Van elk systeem dat gebruik gaat maken van bronnen op het VICnet dienen de volgende zaken bekend te zijn en vastgelegd te worden: a. bandbreedte gebruik, gemiddelde en piek b. welke protocollen/services gebruikt worden en of deze zich houden aan de richtlijnen voor protocollen en hun poortnummers zoals opgesteld in RFC 1700 (Assigned Numbers - http://www.faqs.org/rfcs/rfc1700.html) c. met welke systemen/applicaties er gecommuniceerd wordt d. welke IP-poortnummers worden gebruikt Alle datacommunicatie van binnen en naar het VICnet dient te voldoen aan de richtlijnen zoals opgesteld in de Firewall Policy van VICnet/SPITS.
4.1.4. Software De hier genoemde eisen gelden voor alle software dus zowel voor het besturingssysteem alsook voor alle applicatiesoftware. a. Software dient goed gedocumenteerd te zijn. (Er moet een installatiehandleiding en een gebruikershandleiding meegeleverd zijn.) b. Software heeft een testtraject ondergaan, waarbij getoetst is tegen de genoemde eisen die zijn vastgelegd in de Policy voor testen in operationele omgeving. 1
Dit geldt dus bijvoorbeeld ook voor het kantoornetwerk VenWnet/NNV, inbelverbindingen
van leveranciers ten behoeve van onderhoudsystemen.
6
IP/LAN dienst Aansluitpolicy VICnet/SPITS
c. Software mag na oplevering niet gebruikt worden als ontwikkel/testomgeving. Dus er mogen GEEN ONTWIKKELTOOLS/COMPILERS/SOURCECODE e.d. op het systeem aanwezig zijn. d. Geleverde software moet voldoen aan de richtlijnen van de Patchmanagement Policy VICnet/SPITS. e. Applicatiesoftware bevat alleen de beschreven functionaliteit en bevat geen extra features, achterdeuren, toegang- en loggingfuncties anders dan beschreven. f. Het gebruik van scripts binnen applicaties en op systemen zal nader bepaald worden. g. Besturingssysteemsoftware dient getest te worden of deze gevoelig is voor bekende zwakheden, zoals stack buffer overflows, format string errors en SQL injection exploits. Ook dient getest te worden op lekken in C/C++ en Javagebaseerde applicaties.
4.1.5. Toegangsbeheer Elk systeem/applicatie of gebruiker die op het VICnet aangesloten wordt, dient aan de volgende voorwaarden te voldoen: a. Authenticatie/autorisatie is belegd, het moet mogelijk zijn om dit via een authenticatieserver te regelen. b. Alle logins zijn persoonsgebonden (en daardoor herleidbaar). c. Het gebruik van Administrator en System logins is verboden. d. Het systeem MOET kunnen functioneren in een DMZ (DeMilitarized Zone) als het bedoeld is om informatie aan gebruikers/systemen ter beschikking te stellen (oftewel het systeem moet achter eventuele firewall kunnen functioneren).
4.1.6. Externe koppelingen Systemen binnen VICnet mogen, zonder toestemming van de security manager van SPITS, niet verbonden zijn met andere netwerken zoals kantoornetwerken (bijvoorbeeld VenWnet), modemverbindingen met leveranciers, thuisgebruikers e.d. Voor deze koppelingen mag bovendien alleen maar gebruik gemaakt worden van de hiervoor goedgekeurde diensten (zie o.a. remote toegang policy en draadloze communicatie policy).
4.1.7. Hardening van systemen Besturingssysteemsoftware is gehardened/gestripped en bevat alleen noodzakelijke services/functies/drivers. Deze zijn ook gedocumenteerd.
4.1.8. Toegangverlening a. Toegang verlenen tot systemen alleen op basis van herleidbare unieke identificatie. b. Toegang volgens het principe: niets mag, alleen datgene wat per gebruiker noodzakelijk is (zero-tolerance). c. Voor het verkrijgen van een userid/wachtwoord dient te worden voldaan aan de geldende Wachtwoordpolicy
7
IP/LAN dienst Aansluitpolicy VICnet/SPITS
VICnet/SPITS. Alle systemen en applicaties dienen deze te ondersteunen. d. Er dient een autorisatiemodel opgesteld te zijn waarin vastgelegd is welke autorisaties benodigd zijn om een bepaalde functionaliteit te kunnen/mogen uitvoeren.
4.1.9. Hardware Voor de hardware wordt, indien beschikbaar, gebruik gemaakt van de standaard architecturen zoals beschreven in het USP,UWP en UBP.
4.1.10. Gebruikersgroepen Er dient minimaal onderscheid gemaakt te worden in de volgende gebruikers(groepen): 1. systeembeheerders 2. applicatiebeheerders 3. gebruikers
4.1.11. Overige eisen Los van eventuele SLA afspraken dienen er altijd standaardafspraken te zijn waarin o.a. vastgelegd is dat: a. gebruikers op de juiste wijze (waar het systeem voor bedoeld is) met informatie en de systemen binnen VICnet omgaan; b. gebruikers systemen alleen daarvoor gebruiken waarvoor deze bedoeld zijn.
4.1.12. Maatregelen Indien een van bovenstaande normen overtreden wordt dan gelden de volgende maatregelen die bij gebruikers bekend moeten zijn: 1. OF 1x waarschuwing bij 2e x afsluiten 2. OF direct afsluiten indien werking VICnet of andere systemen in gevaar komt (escalatiepad) Voor elke organisatie die aangesloten wordt op VICnet (in welke vorm dan ook), is een persoon 24*7 beschikbaar als aanspreekpunt en gemachtigde in geval van security incidenten en als zodanig onderdeel van het nog te formuleren escalatiepad. (noot: mogelijk kunnen we hiervoor aansluiten bij de VenWnet procuratielijst)
4.1.13. A&K analyse Alvorens een systeem aangesloten wordt op het VICnet dient gekeken te worden wat de mogelijke security gevolgen hiervan kunnen zijn. Soms kan volstaan worden met een eenvoudige impactanalyse, maar bij grote systemen/changes kan een risico (A&K) analyse noodzakelijk zijn.
8
IP/LAN dienst Aansluitpolicy VICnet/SPITS
4.2 Gewenst 4.2.1. Onderhoud Onderhoud aan systemen door derden dient gemeld te worden aan de SPITS servicedesk. Dit is alleen van toepassing op systemen die niet door SPITS beheerd worden.
4.3 Optie Niet van toepassing.
9
IP/LAN dienst Aansluitpolicy VICnet/SPITS
5. BIJLAGE A Lijst met bekende services op VICnet Alle services en protocollen die niet genoemd worden, zijn niet toegestaan. Deze tabel beschrijft de service welke binnen het VICnet gehanteerd worden. Services van en naar het VICnet worden beschreven in de Firewall Policy. Service FTP
Beschrijving File Transfer Protocol
Protocolnaam Poort nr ftp-data 20 ftp 21
SSH
Secure SHell
ssh
22
Telnet
Shell
telnet
23
Mail
Mail protocollen
smtp
25
pop3
110
tacacs
49
protocol Toegestaan opmerking Ja tcp Alleen van VICnet naar Internet. Er is tcp geen FTP service toegestaan die van Internet benaderbaar is. tcp Ja Alternatief voor telnet en rlogin. tcp Nee Slecht op securityvlak. Ja Alle SMTP verkeer zal tcp via 1 (mail)host door de firewall naar buitengaan. Andersom zal alle SMTP verkeer van buiten naar binnen herleid worden naar 1 mailserver. Welke vervolgens alle mailverkeer intern routeert. tcp Nee Er is geen POP3email toegestaan. tcp Ja
domain bootps bootpc
53 67 68
udp udp udp
Ja Nee
tftp
69
udp
Ja
http
80
tcp
Ja
https
443
tcp
Ja
su-mit-tg sunrpc NFS
89 111 2049
udp udp udp
Ja Ja
ntp
123
udp
Ja
INGRES-net ingreslock SLINGRES ORACLE SQLNET MYSQL POSTGRSQL netbios-ns netbios-dgm netbios-ssn microsoft-ds snmp snmptrap login shell
134 1524 4010 1525 1521 3306 5432 137 138 139 445 161 162 513 514
tcp tcp tcp tcp tcp tcp tcp udp udp tcp tcp udp udp tcp tcp
Ja
TACACS DNS DHCP
TFTP
HTTP
??? RPC gebaseerde services Time Service Database
Authenticatie protocol Name Service Client IP configuratie dienst Trivial FTP
http, Webbrowsing
Portmapper Network file system Network Time Protocol Ingres
Oracle
File Sharing
MySQL PostgreSQL Netbios over TCP/IP
Network SNMP Management Login/Rlogin Remote Shell en Commando executie
10
Alleen als dienst binnen VICnet. Onveilige FTP. Alleen toegestaan als tijdelijk middel voor het updaten van netwerk componenten. Inkomend webverkeer is naar geselecteerde servers toegestaan. Inkomend webverkeer is naar geselecteerde servers toegestaan.
Ja Ja Ja Nee
Ja Nee Nee
IP/LAN dienst Aansluitpolicy VICnet/SPITS
Alternatief is SSH. Alternatief is SSH.
Syslog
Logging service
syslog
514
udp
Ja
RIP Ping
Routing protocol
router ping ping
udp ICMP ICMP
Ja Ja Ja
Webmin
Remote Webmanagement Remote Desktop Protocol van Microsoft Citrix ICA Common Object Request Broker Architecture
webmin
520 ECHO ECHOREPLY 1000
tcp
Ja
RDP
3389
tcp
Ja
ICA corba
1494 tcp Dynamisch tcp
Ja Ja
procesd bb lockserver top-fep top-bp bcg-top bcg-fep bcg-fep bp-memopc more simone monica-1 monica-2 ks downloading downloading diagnostiek diagnostiek research research research research research
48879 1984 56063 5111 5100 5160 6700 5120 5555 10002 10051 10041 10042 10200 10300 10300 10400 10400 10160 10100 10110 10120 10130 9102/9203
Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja Ja
RDP
ICA Corba
Simone Monica
Monitoring
Bacula
11
tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp udp tcp udp tcp udp tcp tcp tcp tcp tcp
IP/LAN dienst Aansluitpolicy VICnet/SPITS
Alleen toegestaan voor geautoriseerde hosts.
Toegang beperkt tot localhost.
6. Revisie historie Versie 1.0 1.1
12
Datum 10-12-2004 15-02-2005
Auteur E. van Buuren
IP/LAN dienst Aansluitpolicy VICnet/SPITS
Toelichting