Introductie

Met de aansluiting op het netwerk van SURF beschikt jullie instelling over een permanente verbinding van grote capaciteit en hoge beschikbaarheid met het internet. Dit maakt jullie instellingsnetwerk een aantrekkelijke plaats voor hackers en andere ongewenste bezoekers die het niet zo nauw nemen met de geldende regels op het internet. Gelukkig zijn er goede voorzorgsmaatregelen te nemen die de overlast van dergelijk ongewenst gebruik (misbruik) zo veel mogelijk beperken.

In deze richtlijnen gaan we nader in op wat jouw instelling, samen met SURF, preventief kan doen om een zo veilig mogelijke verbinding met het internet te onderhouden. Daarbij wordt onderscheid gemaakt tussen richtlijnen (verplichte maatregelen) en aanbevelingen (geadviseerde maatregelen). De richtlijnen vloeien voort uit de Dienstverleningsovereenkomst (DVO) die de instelling en SURF met elkaar hebben afgesloten, en dan met name de specifieke bepalingen in artikel IX.

Een van de bepalingen in de DVO is dat de instelling reageert op incidentmeldingen. Deze melding wordt gedaan bij de door jouw instelling opgegeven Site Entry Point (SEP) of het Site Security Contact (SSC). Dit moet in ieder geval een contact zijn binnen de instelling die op operationeel niveau betrokken is bij de beveiliging van de netwerkvoorzieningen. Bij grotere instellingen verdient het overigens de voorkeur deze rol te beleggen bij een team van mensen, een lokaal incident response team (CSIRT). Indien in dit document gerefereerd wordt aan de SSC wordt indien van toepassing mede bedoeld het lokale CSIRT.

Verkeer van en naar een aangesloten instelling wordt, vanuit het perspectief van het wereldwijde internet, gezien als verkeer van en naar SURF. SURF is vanuit de op het internet geldende norm van zelfregulering ten opzichte van de overige internetproviders op het internet verplicht om ervoor te zorgen dat ongewenst verkeer tot een minimum beperkt blijft. Een belangrijke operationele rol in dit verband wordt vervuld door SURFcert, het Computer Security Incident Response Team van SURF. Vanuit die rol spreekt SURFcert de aangesloten instellingen aan op hun verantwoordelijkheid om ongewenst verkeer van en naar de instelling zoveel mogelijk onder controle te houden.

Indien zich een beveiligingsincident voordoet waarbij een bij SURF aangesloten instelling betrokken is (dit kan zowel als bron zijn alsook als doelwit, en zelfs als tussenliggende partij) zal SURFcert optreden door de afhandeling van het incident te coördineren, de aard van het incident te analyseren en in overleg met de betrokken instelling het incident op te lossen.

De richtlijnen zoals die hier worden gepresenteerd vormen een belangrijk handvat bij het dagelijks op orde houden van het verkeer van en naar de aangesloten instellingen, zowel voor SURFcert als voor iedere aangesloten instelling.

Richtlijnen en aanbevelingen voor de instelling

Inleiding

SURF spant zich in om de aangesloten instellingen een hoogwaardige toegang te bieden tot het internet die voldoet aan de moderne eisen voor wat betreft beveiliging, incident-afhandeling en bewaking. Om dit te realiseren zijn enkele richtlijnen opgesteld die in dit document worden gespecificeerd. Deze concentreren zich op drie aspecten:

  • communicatie bij beveiligingsincidenten
  • intern beheer
  • gereguleerde toegang

De bijbehorende richtlijnen worden hieronder gedefinieerd en toegelicht. Richtlijnen zijn regels waar de instelling zich via de Dienstverleningsovereenkomst aan heeft gecommitteerd.

Daarnaast worden ook aanbevelingen gegeven die ondersteunend zijn aan de richtlijnen en die een instelling kunnen helpen de richtlijnen op een doelmatige manier te implementeren.

Communicatie bij beveiligingsincidenten

Om incidenten op het gebied van beveiliging voorspoedig te kunnen afhandelen is het noodzakelijk dat er goed contact is tussen SURFcert en de instelling. Vooral als de instelling, meestal onbedoeld, de bron is van kwaadaardig verkeer (denk bijvoorbeeld aan gehackte werkstations) is het essentieel dat SURFcert snel contact kan leggen met de SSC van de instelling. Vervolgens zal gezamenlijk de bron van de ellende opgespoord en uitgeschakeld worden.

Indien SURFcert onverhoopt geen contact krijgt met de SSC binnen de instelling of er geen actie wordt ondernomen door de instelling op lopende beveiligingsincidenten zal SURFcert in ernstige gevallen over gaan tot een tijdelijke gehele of gedeeltelijke blokkade van het verkeer tussen de instelling en SURF.

Richtlijnen

  1. Elke instelling beschikt over een aanspreekpunt voor SURFcert in het geval zich er beveiligingsproblemen voordoen. Dit aanspreekpunt wordt door SURFcert de Site Security Contact (SSC) genoemd.
  2. De SSC, zoals bedoeld in richtlijn (1), zorgt ervoor dat de instelling minimaal binnen kantooruren bereikbaar is voor SURFcert in verband met beveiligingsincidenten die betrekking hebben op de instelling.
  3. De SSC, zoals bedoeld in richtlijn (1), is degene die bij de instelling verantwoordelijk is voor de beveiliging van de SURF-aansluiting en het lokale netwerk. De SSC beschikt over de middelen om de configuratie op het lokale netwerk zo nodig bij te (laten) stellen of, indien noodzakelijk, afzonderlijke computers uit te (laten) schakelen of buiten het netwerk te (laten) plaatsen.
  4. Meldingen vanuit SURFcert aan de instelling worden door de SSC op lokale relevantie beoordeeld. Deze beoordeling en de eventueel te nemen stappen worden gemeld aan SURFcert. Er volgt dus altijd binnen een redelijke termijn een inhoudelijke reactie van de instelling op een incidentmelding vanuit SURFcert. Met redelijk wordt hierbij bedoeld twee werkdagen.

Aanbevelingen

Om de richtlijnen met betrekking tot de communicatie rondom incidenten verder te stroomlijnen geven wij de onderstaande suggesties.

  • Contactgegevens up to date
    Via Mijn SURF houd je contactgegevens van je instelling up to date. Zorg dat hier actuele contactinformatie staat voor in elk geval de Site Security Contact en mogelijk het Security Entry Point, zodat je instelling goed bereikbaar is zodra zich een incident voordoet.
  • CSIRT (Computer Security Incident Response Team)
    Het maken van een noodprocedure voor buiten kantooruren is aan te raden. Juist omdat beveiliging een 'round the clock issue' is raadt SURFcert de instellingen aan een lokaal team (CSIRT) in te richten. Dit is, in aanvulling op een SSC, geen persoon, maar een functie die bij voorkeur 7x24 uur bereikbaar is. 
    De afgelopen jaren is het duidelijk geworden dat het benoemen van één enkele persoon als SSC niet afdoende is om accuraat te kunnen handelen wanneer incidenten optreden. Niet alleen nemen beveiligingsincidenten in aantal nog steeds toe, ook is de diversiteit van problemen gegroeid, waardoor het steeds minder aannemelijk is dat de kennis en ervaring om deze problemen in alle gevallen efficiënt het hoofd te bieden bij één enkele persoon kunnen worden belegd.
    Het oprichten van een CSIRT kan bovendien een impuls geven aan de samenwerking met (de teams van) andere instellingen en met SURFcert.
  • Sluit aan bij de beveiligingscommunity
    Binnen de SURF-cooperatie is er een operationele beveiligingscommunity: SCIRT. De leden hiervan wisselen onderling in vertrouwen tips, ideeen en dreigingen uit en zo helpen instellingen elkaar om hun beveiligingsniveau te verbeteren. Ook SURFcert deelt hier vertrouwelijke informatie. Daarnaast is er SCIPR, de community voor beleidsmatige informatiebeveiligingsprofessionals.

Een DDoS-aanval: wie doet wat ?

Een Distributed Denial of Service (DDoS) aanval is een zeer lastig te bestrijden aanval. De aanval wordt meestal vanuit een botnet van vele duizenden pc's opgezet van over de hele wereld. Al deze systemen sturen verkeer naar 1 doel systeem. Door een grote hoeveelheid verkeer naar dat ene systeem te sturen, raakt het overbelast en de diensten die op dat systeem draaien werken niet meer. Ook is er een kans dat de internetverbinding van de instelling helemaal volloopt met dit verkeer. Dat kan zelfs met grote verbindingen gebeuren.

Als binnen het instellingsnetwerk een systeem wordt aangevallen is het de taak van het ICT-beheer van jouw instelling om dit te signaleren en te analyseren. SURFcert kan helpen om te mitigeren. Je kan hiervoor 24/7 contact opnemen met SURFcert via het alarmnummer 030 2305 112 (24x7 bereikbaar) .

SURFcert kan helpen bij het karakteriseren van het DDoS verkeer en waar nodig en mogelijk verkeer filteren. Hiermee heeft de internetverbinding weer capaciteit om ook ander verkeer te transporteren.

SURFcert kan ook proactief een DDoS detecteren en mitigeren, en maakt hiervan melding bij de instelling. Meer informatie over de DDoS-bescherming die aanwezig is in het SURF-netwerk, zie: DDoS-bescherming

Intern beheer

Inleiding

In principe levert SURF volledige internettoegang zonder enige vorm van inhoudelijke filtering of blokkades. Wel filtert SURF verkeer dat op technische gronden niet aan de vereiste criteria voldoet. Ook kunnen er proactief DDoSsen gemitigeerd worden, omdat deze ook een risico vormen voor andere instellingen in je omgeving.

SURF sluit instellingen aan op haar netwerk en de aangesloten instellingen zijn zelf verantwoordelijk voor wat er zich op het lokale netwerk afspeelt. Aangesloten instellingen bepalen immers zelf wat zij wel en niet op hun netwerk willen toestaan en eventuele beperkende technische maatregelen dienen dan ook in het lokale netwerk van de instelling geregeld te worden. Daarnaast is er het nodige dat de instelling op organisatorisch niveau dient te regelen, anticiperend op mogelijke problemen die zich ondanks technische voorzorgsmaatregelen toch kunnen voordoen.

Richtlijnen

  1. De instelling is zelf verantwoordelijk voor het interne netwerkbeheer en zal technische en organisatorische maatregelen nemen om kwaadaardig verkeer vanaf de instelling zo veel mogelijk te beperken.
  2. De instelling is verplicht om actief mee te werken met SURFcert om beveiligings-incidenten op te lossen. En om het netwerk zo in te richten dat bijvoorbeeld besmette computers ook bij een melding achteraf nog opgespoord kunnen worden.
  3. De instelling is zelf verantwoordelijk voor de ondersteuning van en informatievoorziening aan de eigen eindgebruikers.

Aanbevelingen 

  • Filters op de netwerkgrens
    De instelling kan op het koppelvlak met SURF technische maatregelen treffen om de hoeveelheid kwaadaardig ingaand en uitgaand verkeer te beperken. Zo is bijvoorbeeld verkeer dat de instelling verlaat, maar dat een kwaadaardig karakter heeft, in een aantal gevallen duidelijk te herkennen. Dit verkeer zou dan vervolgens door de router, waarmee de instelling aan SURF gekoppeld is, kunnen worden geblokkeerd. Ook verkeer dat om technische redenen niet in orde is (bijvoorbeeld uitgaand verkeer waarvan het bronadres niet past in de adresreeks van de instelling) kan door de instellingsrouter, die gekoppeld is aan het SURF netwerk, eenvoudig worden geblokkeerd.
  • Monitoren van lokaal verkeer
    Er zijn een aantal mogelijkheden voor netwerkbeheerders van een instelling om het lokale verkeer in de gaten te houden. SURFcert adviseert ten aanzien hiervan dat de instelling een logging-functionaliteit inricht, waarmee toegang tot het netwerk en systemen van de instelling, komend van buitenaf, voor een bepaalde periode wordt vastgelegd. Dit vergemakkelijkt in hoge mate het zoeken naar bronnen van misbruik in het geval dat systemen van de instelling van buitenaf zijn of worden aangevallen.
  • Definiëren van lokaal beleid
    Het verdient aanbeveling om vanuit de aard en missie van de instelling zelf een beleid vast te stellen waar de technische inrichting van netwerken en systemen (SP - security policy) en het gedrag van de gebruikers (AUP - acceptable use policy) in zijn vastgelegd. Een heldere SP en AUP dragen bij aan een eenduidige beveiliging en voorkomt onduidelijkheden bij beheerders en gebruikers.

Het opzetten en eventueel wijzigen van de wijze waarop de interne netwerken worden beheerd is uiteraard een lokale zaak. Niettemin biedt SURFcert op dit vlak graag ondersteuning in de vorm van kennis, expertise en tools. Er zijn enkele goede instrumenten (vaak in de vorm van software) die het lokale beheer, in het bijzonder op het aspect van beveiliging, faciliteren. Een overzicht van de diensten die SURF op dit vlak aanbiedt is vindbaar via de SURF-website of het SURF Dienstenoverzicht.


SURFcert vs SURFsoc

SURFcert biedt alle op SURF aangesloten instellingen ondersteuning bij beveiligingsincidenten, 24 uur per dag, 7 dagen per week. Hieraan zijn geen extra kosten verbonden.

SURFsoc (SIEM) is een optionele dienst van SURF die de instelling kan afnemen om het eigen interne netwerk te monitoren. Met deze betaalde dienst kan er 24/7 monitoring op de eigen logbronnen gerealiseerd worden. SURFsoc zal een bevinding melden aan de instelling die zelf verantwoordelijk is voor opvolging.



Gereguleerde toegang

Inleiding

De aangesloten instelling is gerechtigd de aansluiting op het SURF-netwerk te gebruiken ten behoeve van personen die, werkzaam of studerend binnen de aangesloten instelling gerechtigd zijn van bij de aangesloten instelling aanwezige infrastructurele voorzieningen gebruik te maken. Het recht tot gebruik van het SURF-netwerk is beperkt tot identificeerbare personen.

Het is niet toegestaan om anoniem toegang te bieden tot de (internet)voorzieningen die via SURF op het lokale netwerk beschikbaar komen. Het is dus noodzakelijk dat enkel gerechtigde gebruikers binnen de instelling gebruik kunnen maken van de SURF-voorzieningen, nadat zij op een deugdelijke manier hun identiteit hebben kenbaar gemaakt aan bijvoorbeeld het systeem of het netwerk waarvan zij gebruik maken (authenticatie).

SURFcert hoeft niet over deze gegevens te beschikken, maar een instelling moet, bij gebleken misbruik, zelf in staat zijn om de koppeling met terugwerkende kracht te kunnen maken om zo oneigenlijk gebruik van het netwerk tegen te gaan en de betreffende gebruiker te kunnen ondersteunen bij het opschonen van zijn systeem.

Richtlijn

  1. Het recht tot gebruik van het SURF-netwerk is beperkt tot door de aangesloten instelling identificeerbare personen.

Aanbeveling

  • Sluitende administratie lokale adressen
    Er zijn verschillende technieken om lokale componenten zoals desktops, laptops, e.d. van een actief netwerkadres te voorzien. Dit kan statisch of dynamisch, en de wijze waarop een component zich kenbaar maakt aan het netwerk (authenticatie) kan op vele manieren worden geïmplementeerd. Het is zeer aan te raden dat de instelling ervoor zorgt dat het gebruik van een specifiek IP-adres uit haar adresreeks, gegeven een bepaald tijdstip, in alle gevallen zonder aanvullende informatie (zoals poortnummer of protocol) terug te leiden is tot de betreffende gebruiker. Ook op wifi moeten gebruikers opgespoord kunnen worden. Als vuistregel voor de tijd waarin teruggezocht kan worden kan een periode van vier weken worden gehanteerd.
  • Gecontroleerde toegang voor gasten
    Wil je gasten toegang geven tot je wifi-netwerk? Dan doe je dit niet met een openbaar netwerk. De dienst eduroam Visitor Access maakt het mogelijk om laagdrempelig toegang te geven terwijl altijd herleidbaar blijft wie aanspreekbaar is voor het device.


Relevante artikelen uit de SURF Network Dienstspecifieke voorwaarden.

V. Voorwaarden voor gebruik SURF-netwerk door derde partijen.

IX. Rechten en verplichtingen


  • No labels