Beschouwingsmodel draadloze netwerken
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Context
Draadloze netwerken nemen bij zowel organisaties als in de privésfeer in een zeer snel tempo de functie van bedrade netwerken over. Gebruikers willen op elke plaats en op elk moment via hun eigen apparaat toegang kunnen hebben tot elkaar, tot bedrijfsinformatie en tot informatie op het Internet. De drijfveer is flexibiliteit en de vaste overtuiging dat mobiel werken de samenwerking en bedrijfscontinuïteit verbetert. Mensen kunnen hun werk mee naar huis nemen. Draadloze netwerken zijn vrijwel overal te benaderen en gelijktijdig te gebruiken op hetzelfde apparaat. Voorbeelden zijn de GPRS, UMTS, HSDPA en Wi-Fi hotspot-diensten van service providers, ‘Wi-Fi hotspots’ in de trein, of in restaurants en Wi-Fi netwerken binnen organisaties en in de privésfeer. Hoewel draadloze telefonie via C2000, GSM of DECT ook vertrouwelijkheidsrisico’s kent, adresseert dit beschouwingsmodel alleen draadloze datanetwerken.
Probleem
Nu draadloze netwerken steeds meer een ‘vast’ onderdeel worden van de IT-infrastructuur van organisaties, wordt het ontwerp, de juiste implementatie en het beheer van deze netwerken inclusief de mobiele clients steeds belangrijker en stelt hoge eisen aan infrastructuur, beveiligingsfuncties, administraties, beveiligingsbeleid en het handhaven daarvan. Mobiele apparaten zijn de nieuwe netwerkperimeters geworden, met een beperkte robuustheid en beheerbaarheid. De belangrijkste problemen bij draadloze netwerken- en mobiele apparaten als PDA’s zijn:
- Inbreukgevoeligheid van draadloze netwerken, waardoor risico’s van beschikbaarheid, vertrouwelijkheid en integriteit van de communicatie.
- Beperkte opslagbeveiliging van mobiele apparaten. De gegevens worden niet standaard beveiligd opgeslagen. Gevolg: risico’s voor de vertrouwelijkheid en ‘lekkage’ van gevoelige gegevens.
- Beperkte zonering. In hetzelfde mobiele apparaat kunnen meerdere mobiele netwerken actief zijn, waardoor als gevolg van gebrekkige zoneringsmogelijkheden in het apparaat risico’s optreden van het lekken van gevoelige gegevens.
- Beperkte authenticatie van PDA’s en smartphones. De mogelijkheden hiervoor blijven achter bij authenticatie van laptops, waardoor risico’s ontstaan van vertrouwelijkheid van gevoelige gegevens.
- Variabele bandbreedte en locatieafhankelijkheid van communicatiemogelijkheden, met als gevolg beschikbaarheidsrisico’s van bedrijfsfuncties.
- Draait in ‘one user content’. Het operating systeem van mobiele apparaten als PDA’s en smartphones is gemaakt voor exclusief gebruik van slechts één eindgebruiker.
Oplossing
Lokaal datanetwerk: Wi-Fi
Oplossing probleem 1, Inbreukgevoeligheid is traditioneel het belangrijkste probleem van draadloze lokale netwerken, maar omdat er steeds betere netwerkprotocollen worden ontwikkeld zoals WPA 2, verschuift de urgentie van onze aandacht naar oplossingen van de inherente risico’s van het mobile apparaat zelf. De inbreukgevoeligheid en de mogelijkheden voor aftappen van het draadloze netwerk wordt gereduceerd door versleuteling van de communicatie en het up to date houden van firmware. Het aldus verkregen afgeschermd communicatiepad van client naar draadloos toegangspunt noemen we een Vertrouwd Toegangspad (VTP). Om afluisteren zo veel mogelijk te voorkomen, wordt het netwerk zodanig ingedeeld, dat er zo weinig mogelijk straling buiten de fysiek beveiligde zone van een organisatie terecht komt. Richtantennes en ontwerptools voor de fysieke netwerktopologie helpen daarbij. Soms is die zone gesitueerd in een bepaalde ruimte in een gebouw, dat b.v. met meerdere organisaties wordt gedeeld, maar soms omvat de zone een hele campus. Met behulp van speciale beheertools is het stralingsdiagram van Wi-Fi-netwerken nauwkeurig vast te stellen. De beschikbaarheid wordt gegarandeerd door te zorgen dat er geen dode plekken in het stralingsdiagram van Wi-Fi-netwerken voorkomen en dat het netwerk qua nuttige bandbreedte geografisch zo goed mogelijk is afgestemd op het gebruik binnen de organisatie.
| Functieblok | Continuïteit | Zonering | Identificatie Authenticatie | Autorisatie | Vastleggen gebeurtenissen | Alarmering | Systeemintegriteit |
|---|---|---|---|---|---|---|---|
| Draadloze client | nvt | Beginpunt VTP, encryptie data, virus- en malwarescanning | 2-factor PIN + wachtw., 2 zijdig afhankelijk van opzet VTP | Netwerkautorisatie | Conform beschouwingsmodel client | Handhaven van IB-functionaliteit | Firmware patches |
| Draadloos netwerk | Overlapping stralingsdiagram, meerdere kanalen bruikbaar | 802.1x encryptie, straling afschermen voor externe zone | 802.1x-authent. | nvt | nvt | nvt | Hardening, codescan patch, NOS-patches |
| Draadloos toegangspunt lokaal netwerk | Fail-over van toegangspunten, geen SPOF, tijdsynchronisatie | Eindpunt VTP, encryptie data, vpn | 2-zijdig, afhankelijk van opzet VTP | netwerkautorisatie | conform beschouwingsmodel server | Alarmering beschikbaarheid en systeemfuncties | Hardening, firmware patches |
Oplossing probleem 2; Beperkte opslagbeveiliging van data op PDA’s of Smartphones wordt opgelost door ingebouwde beveiligingsmogelijkheden van het apparaat die niet door de gebruiker uit zijn te schakelen, zodat bij verlies of diefstal van het apparaat de opgeslagen informatie niet in de handen van onbevoegden kan komen. Aanvullende applicaties installeren voor versleuteling van data en het kunnen wissen van de data op afstand (remote wipe).
Oplossing probleem 3; Beperkte zonering is enerzijds op te lossen door houding en gedrag van de gebruiker als het gaat om installatie van (illegale) of overbodige software op de PDA/Smartphone of laptops. Hardening wordt toegepast door verwijdering van overbodige functionaliteit. Scanning op malware helpt om de beperkingen van de mobiele client te compenseren.
Oplossing probleem 4; Beperkte authenticatie is op te lossen door productselectie van apparaten die over degelijke ingebouwde authenticatiemogelijkheden bezitten en/of het apparaat op Vertrouwd Toegangs Pad (VTP) - niveau zich te laten authenticeren aan het bedrijfsnetwerk. Bij Wi-Fi wordt het beoogde VTP opgelost binnen de 801.11 standaard. Voor apparaten die tevens gebruikt worden voor publieke netwerken wordt het VTP op een hoger niveau opgelost, zoals sommige smartphone leveranciers standaard aanbieden.
Oplossing probleem 5; Variabele bandbreedte. Oorzaken hiervan bij Wi-Fi bedrijfsnetwerken zijn: (1) een variabele veldsterkte van het RF signaal zijn óf (2) dat er teveel gebruikers via één aansluitpunt de verbinding met het bedrijfsnetwerk gebruiken. (1) is op te lossen door de topologie van het netwerk te verbeteren. De stralingsdiagrammen moeten elkaar bij voorkeur overlappen zodat er geen ‘dode gebieden’ in de netwerktopologie ontstaan. (2) is te verbeteren door gebruikers fysiek te verplaatsen óf door meer aansluitpunten te activeren in een bepaalde ruimte. De performance en beschikbaarheid van het draadloze netwerk kan wat dit probleem betreft verbeterd worden door applicaties zodanig te ontwerpen of in te kopen, dat korte (een te bepalen time-out) onderbrekingen in de communicatie geen verstoring oplevert in het gebruik van de applicatie.
Publiek draadloos datanetwerk: UMTS etc.
Oplossing probleem 1: Inbreukgevoeligheid is bij de moderne publieke mobiele netwerken niet echt een issue, omdat de protocollen volwassen zijn en de communicatie standaard versleuteld is. Het zwakste punt ligt voor dit probleem bij de draadloze client zelf. Trojaanse paarden en andere malware kunnen voor de hacker toch mogelijkheden bieden om direct dan wel indirect de verkeersstroom af te luisteren. Alle in de figuur geschetste beveiligingsfuncties van de client moeten worden ingezet om dit probleem te voorkomen. De zone van de serviceprovider wordt als semi-vertrouwd beschouwd, maar valt verder buiten de scope van de probleemstelling.
| Functieblok | Continuïteit | Zonering | Identificatie Authenticatie | Autorisatie | Vastleggen gebeurtenissen | Alarmering | Systeemintegriteit |
|---|---|---|---|---|---|---|---|
| Draadloze client | nvt | Beginpunt VTP, encryptie data, VPN | 2-factor | nvt | Conform beschouwingsmodel client | Handhaven van IB-functionaliteit | Hardening, OS-patches |
| Draadloos netwerk | Twee technieken: UMTS/HSDPA primair en satelliet als uitwijkverbinding | Embedded encryptie | Embedded authenticatie | Embedded autorisatie | nvt | nvt | Hardening, codescan van NOS-patches |
| DMZ (koppelvlak semi-vertrouwd) | Dubbele kanalen, load balancing | VTP eind/begin, reversed proxy, pakket/applinsp., NAT | VPN afhankelijk | nvt | Afwijkend communicatiegedrag | Netwerk IDS, overschrijding drempelwaarden, handhaven IB-functionaliteit | Hardening, patches |
| Informatie systeem | nvt | VTP-eindpunt | gebruikersauthenticatie | nvt | Conform Beschouwingsmodel server | Conform Beschouwingsmodel server | Hardening, firmware patches, stand. protocol ondersteuning |
Oplossing probleem 2 en 3: Beperkte opslagbeveiliging en Beperkte zonering verschillen wat betreft de oplossing niet van Wi-Fi gebruik. (zie hierboven)
Oplossing probleem 4: Beperkte authenticatie is op te lossen door productselectie van apparaten die over een degelijke ingebouwde authenticatiemogelijkheden bezitten en tevens door op VTP- niveau het apparaat zich te laten authenticeren aan het bedrijfsnetwerk. Merk op dat het VTP bij publieke netwerken vanaf de client helemaal doorloopt tot aan de vertrouwde zone van een organisatie, met een inspectieonderbreking in de DMZ. Zie hiervoor het patroon: Koppelvlak Semi-vertrouwde derden. Het VTP wordt bij voorkeur op een zo hoog mogelijk niveau opgelost, zodat het transparant kan zijn voor de Service Provider en de technische infrastructuur van de organisatie. 2-factor authenticatie wordt hierbij een standaard maatregel. Dit kan via internet naar het bedrijfsnetwerk en met behulp van een token, waarbij men minder onafhankelijk is van het mobiele apparaat en het type netwerk. Voorwaarde is wel dat bedrijfsapplicaties ook op deze wijze ontsloten kunnen worden.
Oplossing probleem 5: Variabele bandbreedte. In het publieke domein is de oorzaak: variabele dekking alleen door de service provider op te lossen. De bedrijfscontinuïteit kan wat dit probleem betreft verbeterd worden door applicaties zodanig te ontwerpen of in te kopen, dat korte (een te bepalen time-out) onderbrekingen in de communicatie geen verstoring opleveren in het gebruik van de applicatie.
Oplossing probleem 6: Draait in ‘one user content’ wordt procedureel opgelost. Mobiele apparaten worden voor strikt persoonlijk gebruik uitgereikt en als zodanig ingezet in het bedrijfsproces.
Afwegingen
Mobiele datacommunicatie is een relatief jonge technologie die nog volop in ontwikkeling is met evidente kwetsbaarheden. De kwetsbaarheden in de beveiliging van de communicatieketen worden voor het belangrijkste deel veroorzaakt door de beperkte (ingebouwde) mogelijkheden van het mobiele apparaat, de PDA, Smartphone, tablet of Laptop + Dongle. De inherent grotere kwetsbaarheid van mobiele datacommunicatie als geheel moet bewust afgewogen worden tegen de gevoeligheid van de ‘draadloos’ open te stellen bedrijfsinformatie. M.a.w. gebruiken we mobiele datacommunicatie uitsluitend voor mail verkeer, sociale media en scherminformatie óf ook voor uitwisselen van bestanden? Met de komst van tablets, uitgevoerd met Wi-Fi of HSDPA modules lijkt deze vraag alweer een gepasseerd station, maar afdoende beveiligingsmaatregelen ontbreken nog steeds, waardoor de vraag welke informatie je draadloos wilt uitwisselen onverkort actueel blijft.