Beveiliging van een netwerk: stapelen met maatregelen

Beveiligen is nooit een kwestie van één actie. Het is een opeenstapeling van maatregelen die ervoor zorgen dat je minder snel het doelwit of het slachtoffer bent van kwaadwillenden. Wat kun je doen als instelling en waarvoor kun je terecht bij SURF? We gaan in deze en de volgende blogs dieper in op enkele belangrijke diensten en tools, zoals firewall, SURFcert, RPKI en het anticiperen op bedreigingen. Allereerst een inleiding met de onderwerpen.

Firewall (as a Service)

Een firewall is een belangrijke eerste beveiliging voor het netwerk. Organisaties regelen de installatie en het onderhoud vaak zelf, maar het inregelen is specialistisch werk waardoor er meer behoefte komt om uit te besteden. Zo is Firewall as a Service een optie. Een instelling kan zo eenvoudig gebruikmaken van een firewall, terwijl het beheer desgewenst door SURF uitgevoerd wordt. Om deze dienst zo (kosten)efficiënt mogelijk in te zetten zorgt SURF voor een schaalbaar platform. Dat gebeurt nu nog via fysieke firewalls en in de toekomst via virtuele firewalls, waarbij deze uiteraard in een eigen beveiligingsdomein draaien. Op het moment dat instellingen meer capaciteit en functionaliteit nodig hebben, breiden we het platform uit of voorzien we de firewall van meer resources. Op deze manier kunnen instellingen hun firewallcapaciteit eenvoudig laten schalen en het operationeel beheer en onderhoud uitbesteden.

SURFcert/wasmachine

Een van de vaste diensten bij SURF is SURFcert. Dit team komt zonodig 24 uur per dag in actie bij beveiligheidsincidenten. Bijvoorbeeld als een computer gecompromitteerd is en wordt misbruikt voor het versturen van spam of bij grootschalige beveiligingsincidenten, waarbij zelfs een gehele instelling betrokken kan zijn. En bij distributed-denial-of-service (DDoS)-aanvallen, waarbij systemen, online diensten en/of de infrastructuur aangevallen worden door deze te overladen met netwerkverkeer. SURFcert beschikt over over een systeem dat ‘goed’ en ‘slecht’ verkeer scheidt: de wasmachine. Zo kan SURFcert het netwerkverkeer via de wasmachine omleiden om het kwadaardig verkeer te filteren. Daardoor blijft het netwerk beschikbaar voor de gebruikers van het instellingsnetwerk.

Anticiperen op bedreigingen

Daarnaast kijkt SURFcert naar manieren om niet alleen op incidenten te reageren, maar ook op bedreidingen te anticiperen. Zoals met de Proactieve Analyse Naar Geavanceerde Aanvallen (PANGA). SURFcert voert onderzoek uit om te ontdekken waarom incidenten plaatsvonden en wat erachter zit. Zo doet het team kennis op om de volgende keer proactiever te kunnen reageren. Bij threat intelligence draait het om het verzamelen, analyseren en in context plaatsen van (grote hoeveelheden) cyberdreigingsinformatie. Op die manier zou je onregelmatigheden kunnen ontdekken en instellingen in een vroeg stadium kunnen waarschuwen voor bedreigingen.

RPKI

Met Resource Public Key Infrastructure (RPKI) kun je je eigen routes certificeren en daarmee aantonen dat ze daadwerkelijk van jou zijn. Dat gebeurt met ROA’s ofwel Route Origin Authorizations, certificaten die door een organisatie gegenereerd kunnen worden. Routers kunnen deze informatie gebruiken om op basis van deze ROA’s routes te filteren of een lagere voorkeur te geven. Zonder RPKI kunnen netwerken de IP-adresruimte van andere providers routeren. Dit gebeurt vaak per ongeluk, de bekende ‘dikke vingers’ als er een typefout is gemaakt. Maar soms gebeurt het ook express, en kunnen kwaadwillenden vervolgens meekijken of spam vanuit jouw IP-adresruimte sturen. Hoe meer providers RPKI gebruiken, hoe beter het systeem werkt. Sinds dit jaar filtert SURFnet ROA’s die invalid zijn ook daadwerkelijk uit. In een enkel geval bleek een bestemming toch legitiem. SURFnet kan die dan whitelisten om ervoor te zorgen dat de aangesloten instellingen hier geen hinder van hebben. 

Volgende blog

In het volgende blog kijken we naar de (technische) achtergronden van SURFcert. Wat doet het team en hoe doen ze dat? En wat kan de dienst voor de instellingen betekenen?

Author

Comments

Dit artikel heeft 0 reacties