Digitale identificatie noodzaak voor beveiliging netwerken
Het toepassen van een adequaat beveiligingsbeleid is bittere noodzaak, zeker gezien de recente succesvolle virusaanvallen (MasterBlaster/Sobig), ‘trojans’ en ‘spyware’. Ook is het veelvuldige misbruik van toegangscodes en verlies/diefstal van computers een bron van veel narigheid: volledige platlegging van bedrijfsprocessen en verlies van gegevens. Nog erger is het als deze gegevens op straat of bij de concurrent komen te liggen. Er kan onherstelbare schade worden aangericht. Het management is verantwoordelijk voor de continuïteit van de onderneming. Door de grote bedrijfsrisico’s is het noodzakelijk dat de beveiliging per direct wordt doorgevoerd. Er moet dus budget worden vrijgemaakt. Antivirussoftware alleen voldoet allang niet meer, extra maatregelen zijn noodzakelijk. De volgende vragen zijn in dit verband van belang: 1. Wie heeft wanneer en hoe toegang tot de ICT-bedrijfsmiddelen? 2. Hoe zijn de ICT-middelen beveiligd? Bewakers Een netwerkadministrateur kan eenvoudig het gehele bedrijfsnetwerk voor de buitenwereld afschermen door alle digitale toegangen, zoals de poorten van de internetfirewall en de diskdrives op de pc’s, af te sluiten. Tevens kan men ervoor zorgen dat niet alleen bij de ingang van het bedrijf, maar op alle afdelingen bewakers aanwezig zijn die alleen personen toelaten na een uitgebreide identificatie en een geldig bewijs van recht op toegang. Dit levert echter een onwerkbare situatie op. Als een organisatie wil profiteren van de mogelijkheden van internet dan moet zij noodgedwongen poorten in de firewall openen. De architectuur van het web vereist dat poorten openstaan om in staat te zijn data te transporteren. Feitelijk is de firewall dus uitgeschakeld. Ook geldt dat een firewall het toegelaten verkeer niet kan beoordelen, hij is niet in staat een persoon te herkennen op basis van een digitale identificatie. Een kwaadwillende indringer kan zich voordoen als een geautoriseerd persoon. Het is zeer waarschijnlijk dat de volgende poorten openstaan: • Poort 25 (e-mail); • Poort 21 (FTP services); • Poort 1494 (citrix client); • Poort 420,421 (remote admin. by a service company); • Poort 500 (UDP VPN traffic). Men zou kunnen beargumenteren dat door het open zetten van de poorten organisaties geen firewall hebben. Een eenvoudige ‘port scan’ kan de open poorten traceren en ‘finger printing’, een zeer bekende hacktechniek, zal informatie prijsgeven over hard- en softwareversies die achter de firewall draaien. Het is te hopen dat in dit geval alle patches actueel zijn en er geen log-ins en toegangscodes bij derden bekend zijn. De conclusie is dat organisaties grote risico’s nemen door het openzetten van poorten in de firewall(s). Sterke authenticatie hoort duidelijk ook op het boodschappenlijstje te staan. Moeilijk De meeste organisaties hebben geen daadkrachtige beveiligingsprocedures rondom open poorten in de firewalls. De organisaties die er wel dergelijke procedures op na houden vinden ze vaak moeilijk, tijdsintensief en kostbaar om te onderhouden. Een regelmatig gebruikte aanpak om potentieel bedreigende IP-adressen te identificeren, is het inzetten van een Intrusion Detection Systeem (IDS). De administrateur moet dan een ‘rule’ schrijven voor de firewall, die ervoor zorgt dat communicatie tussen dat specifieke IP-adres en het eigen netwerk in de toekomst wordt uitgesloten. Het IDS geeft de administrateur een signaal, maar alleen nadat een aanval heeft plaatsgevonden. Het gebruik van een IDS vereist veel expertise, en er is veel ervaring voor nodig om een juiste diagnose te stellen. Er komen namelijk nogal wat signalen door, de netwerken worden continu gescand of aangevallen. Sommige IDS-systemen zijn in staat om enige vorm van pakketidentificatie uit te voeren of bedreigend gedrag te identificeren, het merendeel van de systemen biedt deze functionaliteit echter niet. Hoe geavanceerd ook, alle IDS-systemen hebben een groot minpunt: ze kunnen de netwerkadministrateur alleen alarmeren. Na het alarm moet er wel actie worden ondernomen. We moeten ons echter goed realiseren dat de meeste aanvallen opgesloten zitten in het initiële pakket dat wordt verstuurd. De indringer is dus al binnen en het kwaad al geschied. Beschermen Een oplossing om organisaties daadwerkelijk te beschermen tegen aanvallen vanaf internet lijkt het recentelijk gelanceerde Intrusion Prevention Systeem (IPS). Het IPS wordt geacht ervoor te zorgen dat ongewenste datapakketten en niet-geautoriseerde gebruikers worden geanalyseerd en ‘gedropt’ voordat het bedrijfsnetwerk kan worden bereikt. Een IPS wordt geplaatst tussen bijvoorbeeld de Wan-router en de firewall. Alle datapakketten worden gecontroleerd vóór zij de firewall van een bedrijfsnetwerk bereiken. De veiligheid of onveiligheid van het pakket wordt vastgesteld, en vervolgens worden verdachte pakketten verwijderd, deze pakketten komen dus niet het bedrijfsnetwerk op. Het meest geavanceerde IPS biedt ook functionaliteit die het netwerk camoufleert voor port-scan- en stealth-scanactiviteiten van hackers. Het netwerk is hiermee slecht zichtbaar gemaakt voor dergelijke scanners. IPS biedt veel voordelen ten opzichte van IDS en de firewall. Het stelt organisaties in staat preventief te zijn. Het detectieniveau wordt verhoogd en bovenal zullen de verdachte pakketten het netwerk achter de firewall niet bereiken. Dit lijkt een adequate oplossing, omdat het zogenaamde ‘veilige’ verkeer ongehinderd door kan gaan. Iedereen die een juiste combinatie van log-in en wachtwoord geeft, wordt gekenmerkt als veilig verkeer. In het hele proces van IPS wordt echter geen aandacht besteed aan een digitale identificatie van personen. Eenvoudig De toegang tot internet is voor veel medewerkers van een organisatie een vereiste. De poorten in de firewall moeten daarom geopend zijn. Wat moet er gedaan worden om de beveiliging te verbeteren? Het antwoord op de vraag is wonderbaarlijk eenvoudig. De basis van een goed beveiligd netwerk is, dat alleen geautoriseerde personen toegang hebben tot de applicaties. En dat is gelijk het punt waar het misgaat. De meeste netwerken voorzien niet in de authenticatie van de persoon. Zou men dat wel kunnen, dan is er een sterk verbeterde ‘traceerbaarheid’ van gebruik en mogelijk misbruik voorhanden. Niet-geautoriseerden zouden dan gewoon geen toegang hebben. De conclusie is dat naast het hebben van een gedegen antivirusbeleid, een optimaal geconfigureerde firewall en netwerkmonitoring en beheersoftware, sterke authenticatie door middel van digitale identificatie een must is. Optimale digitale identificatie bestaat uit drie elementen: 1. Iets dat men weet (log-in, toegangscode of bij smartcardtechnologie een pincode); 2. Iets dat men heeft (token, smartcard, dongel); 3. Iets dat men is (vingerafdruk, irisscan, stem, shape). Bij IPS gebruikt men alleen maar de eerste optie. Deze optie heeft bewezen het grootste beveiligingslek voor organisaties te zijn. Bekend zijn de beelden van de gele memo’s op de monitoren waarop de log-in en toegangscode staan. Ook is het relatief eenvoudig een log-in en toegangscode op internet (dus voor de firewall) te onderscheppen (‘spoofing’), namelijk door eenvoudigweg een zogeheten ‘sniffer’ op een verbinding te zetten. Ook zijn deze toegangscodes vaak uiterst simpel te achterhalen. Bekende besturingssystemen presteren het zelfs om toegangscodes op de harddisk te plaatsen. Ingeval er een indringer is via internet, kan deze ook vrij eenvoudig de weg naar deze toegangscodes vinden. Adequate digitale identificatie is meer waard dan een firewall of beveiligingssoftware. Men moet zich goed realiseren dat achter virussen, wormen, Trojaanse paarden en dergelijke altijd personen zitten. Deze personen willen bewust of onbewust (virusgeïnfecteerd) toegang tot bedrijfsnetwerken verkrijgen om ongewenste en meestal schadelijke acties te verrichten. Het is daarom van groot belang zeker te weten dat een persoon werkelijk die persoon is die hij zegt te zijn. De voordelen van een goed werkende digitale identificatie zijn evident, omdat men het beveiligingsprobleem bij de wortel aanpakt. Dynamische toegangscodes Voor een adequate beveiliging tegen aanvallen vanaf internet zijn antivirussoftware, een firewall, IDS en IPS niet voldoende. De enige manier om ons daadwerkelijk te beschermen is door ervoor te zorgen dat niet-geautoriseerde gebruikers worden geïdentificeerd voordat zij het bedrijfsnetwerk bereiken. Digitale identificatie bestaat uit drie elementen: 1. Iets dat men weet (log-in, toegangscode of bij smartcardtechnologie een pincode); 2. Iets dat men heeft (token, smartcard, dongel); 3. Iets dat men is (vingerafdruk, irisscan, stem, shape). Deze drie elementen komen voor in diverse combinaties en toepassingen. Een paar voorbeelden. • Dynamic web access De financiële dienstverleners maken steeds meer gebruik van digitale identificatie. Hierbij wordt gebruikgemaakt van dynamische toegangscodes. Deze codes worden gegenereerd door middel van een ‘key generator’ (token) in combinatie met een pinpas. • Digitale identificatie op basis van smartcardtechnologie De smartcard maakt het mogelijk om gebruik te maken van de dynamische toegangscodemethodiek en kan deze uitbreiden met een CA (certificate authority). De smartcard is daarmee voorzien van een zogeheten digitaal certificaat. Dit certificaat is vervolgens de stap tussen authenticatie en autorisatie, voorafgaand aan toegang tot het netwerk. Nu weten we voor het eerst of de persoon die toegang wenst ook is wie hij zegt te zijn. Digitale certificaten zijn doorgaans verkrijgbaar bij de diverse leveranciers (Verisign, Global Sign, Entrust, Baltimore, Windows Cert Server). Combinaties Op basis van een digitale identiteit ontstaan er diverse mogelijkheden. Men kan onder Windows e-mail digitaal signeren en encrypten (onleesbaar maken). Ook kan men een document onderwerpen aan authenticiteit door middel van een digitale handtekening. Deze digitale documenten worden daarmee rechtsgeldig. De smartcard kan ook persoonlijke toegangscodes opslaan. Op basis van bepaalde software kan men diverse applicaties ‘trainen’ zodat bij het aanlogscherm (bijvoorbeeld een webportal) de toegangscode automatisch wordt aangediend. Ingewikkelde toegangscodes en belangrijke notities kunnen zo veilig en encrypt op de smartcard worden opgeslagen in plaats van leesbaar op de pc. Ondanks dat het medium hiermee een ‘SPF’ (single point of failure) wordt, blijft het een veilig medium. De smartcard moet namelijk altijd door de persoon zelf ‘unlocked’ worden op basis van de persoonlijke pin, mogelijk in combinatie met een persoonlijke vingerafdruk (dan is een speciale biometrische reader nodig). Een goede smartcard is niet kopieerbaar of uitleesbaar en werkt in een beheersbare omgeving. De kaart kan daardoor bij verlies direct ‘op afstand’ geblokkeerd worden. De enige kritische situatie ontstaat bij verlies van de smartcard inclusief de persoonlijke pincode. De fraudeur heeft bij misbruik echter ook de specifieke reader en de actieve clientsoftware nodig. Hij kan dit alles slechts gebruiken tot het moment waarop de kaart wordt geblokkeerd. Door ook de fysieke toegangscontrole te integreren, moet men, bij verlaten van de pc, de kaart meenemen. Zonder kaart kan men geen gebruikmaken van de andere verdiepingen, de lift of de parkeergarage. Een smartcard zou ook visueel controleerbaar gemaakt kunnen worden (pasfoto et cetera), misbruik is dan zeer goed te traceerbaar. Dit alles staat in schril contrast tot de huidige gang van zaken, die werkelijk zo lek is als een mandje. Rob van Mastrigt is general manager van Datakey Benelux, UK & Ireland. Gert Suur is general manager bij GSManagement te Moordrecht (gert.suur@GSManagement.nl).