Het fundament: wat een beveiliger van het netwerk moet doen
(door Steve Fallin en Scott Pinzon © 2008
WatchGuard, vertaling; H. Heijkoop)
Ongeautoriseerd gebruik of kopiëren van deze teksten, behoudens voor
educatieve doeleinden, is niet toegestaan.
Toen we nog klein waren, konden we de volgende plot in talloze tekenfilms op tv zien: iemand (een sergeant in het Vreemdelingenlegioen, de sheriff, een Royal Canadian Mountie) spreekt een groep mannen (honden, cowboys, bijen) toe en zegt: "Dit is een levensgevaarlijke opdracht, en we hebben een vrijwilliger nodig. Wie zijn land wil dienen, doet een stap vooruit!" Daarna zet iedereen een grote stap achteruit, behalve één sufferd die niet oplet, zodat onze held overblijft als de onbedoelde "vrijwilliger".
Lijkt dat een beetje op de manier waarop u de netwerkbeheerder of LAN-manager van uw bedrijf bent geworden? Als dat zo is, bent u misschien wel de meest geschikte man ter plekke – maar u hebt misschien ook het gevoel dat u niet precies weet wat er allemaal komt kijken bij het beschermen van dat netwerk tegen aanvallers. In dit artikel proberen we om de belangrijkste elementen van netwerkbeveiliging bij elkaar te plaatsen, met richtlijnen voor wat een goede beveiligingsmanager aan elk onderwerp moet doen. Uiteraard is dit heel eenvoudig gehouden; over elk van de onderstaande punten zijn complete boeken geschreven. Maar het is onze bedoeling om u een beetje grip op de materie te geven. Welkom bij beveiliging.
Wat u moet doen en wat u moet zijn
Misschien wel het belangrijkste concept dat achter echte beveiliging steekt, is het Principe van Minimale Toegang. Dat komt neer op: hou iedereen overal vandaan op uw netwerk behalve wanneer ze een verdomd goede reden hebben om ergens toegang toe te krijgen.
Zo ongeveer elk programma dat u in uw netwerk installeert, bevat standaard al toegangsrechten die veel toestaan. Fabrikanten stellen dat zo in om te voorkomen dat u ze belt met de beschuldiging dat hun programma defect is. Maar als u begint met alles toe te staan en vervolgens de teugels steeds strakker gaat aanhalen, zult u nooit zeker weten of u alle beveiligingsgaten wel hebt gedicht. Weet u waarom? Omdat mensen die teveel toegangsrechten hebben, daar nooit over klagen.
U moet de moed hebben om iets stuk te maken. Natuurlijk is het veel gemakkelijker om iedereen tot alles toegang te geven, omdat dat een verrukkelijke stilte van uw medewerkers oplevert. Maar goede beveiliging maakt lawaai. Bij beveiliging betekent stilte in negen van de tien gevallen gevaar. Stilte betekent dat er iets verborgen wordt gehouden. Sluit alles af en beperk de toegang totdat uw collega's woedende geluiden gaan maken. Leer van deze kreten te genieten, want dit zijn uw veiligheidssensoren. Als u de rechten stap voor stap uitbreidt en poorten opent tot op het moment dat het lawaai ophoudt, zit u waarschijnlijk precies goed met uw instellingen.
Als u de kapitein op dit schip gaat worden, denk dan aan dit gezegde: echte schepen maken deining. De klachten leveren lang niet zoveel problemen op als een echte inbraak. Het is uw doel om deining te veroorzaken, niet om op de golven mee te deinen.
De elementen van gelaagde beveiliging
Goed. Nu even diep ademhalen. Als dit voor u een nieuw gebied is, kan de omvang van dit alles nogal deprimerend werken. Maar maak uw borst maar nat, want het is allemaal te doen. Dit zijn de essentiële lagen van uw netwerkbeveiliging.
1. Beleid
De grootste onbekende bij computerbeveiliging is de gebruiker. Een beleid voor het gebruik van zakelijke computers plaveit de weg voor het opleiden en inhouden van de gebruiker. Het opzetten van een goed ondernemingsbeleid ligt voor de hand als beginpunt, maar de meeste ondernemingen beginnen nooit op dat punt. Maar vroeger of later komen ze hier toch terecht. Als bijvoorbeeld een interne medewerker van het bedrijf de website van het bedrijf hackt en daar van alles opzet, wordt het lastig om hem te vervolgen als er geen beleid is waarin zo'n handeling is verboden. U hebt er geen problemen mee dat medewerkers hun eigen persoonlijke e-commerce site op de webserver van het bedrijf draaien? Toch wel? Het beleid is de eerste plek waar u ze onder controle kunt krijgen. Schrijf er een.
2. Router
Het eerste bedrijfsitem waar het internetverkeer tegenaan loopt, is uw router. De verkoper of de fabrikant die uw router(s) heeft geleverd, moet ook met suggesties komen welke configuratie-instellingen uw router "beveiligen". Zoek ze op. Voer ze uit. Hint: laat geen enkele gebruikersnaam, accountnaam of wachtwoord op de standaard instelling staan.
3. Logboekanalyse
Heel veel dingen binnen uw netwerk genereren logboeken: routers, firewalls, netwerkserver, webservers, bestandservers, enzovoort. Leer wat elk veld in een logboek betekent en wat de inhoud voorstelt. Scan deze logboeken dagelijks totdat u herkent hoe normaal verkeer er op uw netwerk uitziet. Zet daarna vraagtekens bij alles wat afwijkend is. Toegegeven, dat kan een aardige hap uit uw werkdag kosten. Als u dat echter niet toegewijd en consistent kunt uitvoeren, moet u in elk geval bedenken dat elk onderzoek van een logboek beter is dan geen onderzoek. Probeer er minimaal dertig minuten voor uit te trekken, maar doe het zo goed mogelijk.
4. Firebox
Zie de regels in het begin van dit verhaal. De standaardinstelling van uw Firebox moet enorme groepen poorten blokkeren - vrijwel alle. Sta alleen verkeer toe dat voor het doel van de onderneming van belang is. Soms moet u poorten tijdelijk openen (bijvoorbeeld als de directeur een videoconferentie over het web wil houden met de bijkantoren.) Doe die poorten achteraf weer dicht. Een goede manier om hieraan te voldoen, is door een standaarddatum te prikken waarop u de configuratie en de rechten van uw firebox regelmatig controleert, en waarbij u de vraag stelt: moet ik die service nog steeds doorlaten? In geval van twijfel sluit u af.
5. Servers
Beveilig uw servers zowel op het niveau van het besturingssysteem als op het applicatieniveau. Op het niveau van het besturingssysteem beperkt u de gebruikersrechten zoveel mogelijk. Toepassingen zoals WatchGuard ServerLock slaan aanvallen van interne medewerkers af door het voor iedereen behalve degenen die daar toestemming voor hebben, onmogelijk te maken om beveiligde mappen of records in de registry te wijzigen; overweeg de installatie van deze toepassing. Schakel op uw Domain Name Server de mogelijkheid uit dat anderen zone transfers kunnen uitvoeren.
Op toepassingsniveau zijn wachtwoorden uw primaire hulpmiddel voor het beveiligen van intern ontwikkelde gedeelde software. Stel een beleid voor het gebruik van sterke wachtwoorden op en dwing dit af: veel tekens, met cijfers, letters en interpunctie; hoofdlettergevoelig; geen standaardwachtwoorden; geen woorden uit het woordenboek. Zorg ervoor dat u de plek beveiligt waar de wachtwoorden worden opgeslagen. Loop op willekeurige weekeinden door het gebouw op zoek naar opgeschreven wachtwoorden. Let op post-its op monitors en onder toetsenborden. Voer een Ernstig Gesprek met overtreders.
6. Antivirus
Het voornaamste punt van antivirussoftware, behalve dat u deze in elk geval nodig hebt, is dat u deze niet zomaar kunt installeren en er niet meer naar omkijken. Werk de av-software net zo vaak bij als de fabrikant dat doet. De meeste moderne antivirusprogramma's zijn in staat om op vaste tijdstippen op de website van de fabrikant naar updates te zoeken, sommige zelfs 'wanneer het nodig is'. Stel dit zo in dat deze controle, gecentraliseerd, elke 30 minuten of elk uur plaatsvindt en voer een handmatige update uit als u hoort dat er een zware bedreiging op komst is.
7. Inbraakdetectiesystemen
Als u zo'n systeem op uw netwerk gebruikt, denk dan aan het volgende: een waarschuwing van een IDS is als het geluid van brekend glas. De waarschuwing komt pas op het moment dat de aanval is begonnen. Als u de IDS-logboeken niet voortdurend in de gaten houdt, kunt u de software net zo goed weggooien. Als u alert blijft, bent u misschien in staat om "de staldeur sluiten nadat de koeien zijn ontsnapt" te veranderen in "de staldeur sluiten terwijl de veedief nog binnen is." Volg de regel die professor Dwaaloog Dolleman van Zwijnstein zijn studenten toeblafte: "WEES WAAKZAAM!
Natuurlijk valt er nog veel meer uit te leggen. Maar de bovenstaande stappen brengen uw verantwoordelijkheden in kaart, van voordat het internetverkeer uw netwerk bereikt tot daarna. Dit is het basisniveau; dit zijn de processen. Gebruik dit als fundament, en bouw uw kennis vanaf dit punt verder op. U kunt het.
En bedankt dat u vrijwilliger bent.
