💼 Management Samenvatting
Deze beveiligingsregel waarborgt de correcte configuratie van UDP-toegang en beschermt tegen beveiligingsrisico's door onnodige poorten te blokkeren.
Aanbeveling
IMPLEMENTEER UDP-BEPERKINGEN
Risico zonder
Medium
Risk Score
6/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Azure
Deze instelling is essentieel voor het handhaven van een veilige omgeving en voorkomt bekende aanvalsvectoren door het afdwingen van beveiligingsbeste praktijken. Onbeperkte UDP-toegang vormt een significant risico voor DDoS-aanvallen en netwerkexploitatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network
Implementatie
Controleer en beperk NSG-regels die UDP-toegang vanaf internet toestaan tot alleen de vereiste poorten zoals DNS (poort 53) en andere essentiële services.
Vereisten
Voor de implementatie van UDP-toegangsbeperkingen is het essentieel dat organisaties beschikken over Network Security Groups (NSGs) binnen hun Azure-omgeving. NSGs vormen de primaire beveiligingslaag voor netwerkverkeer in Azure en bieden de mogelijkheid om inkomend en uitgaand verkeer te filteren op basis van IP-adressen, poorten en protocollen. Zonder NSGs kunnen organisaties geen effectieve netwerksegmentatie en toegangscontrole implementeren, wat resulteert in een onbeveiligd netwerk dat kwetsbaar is voor verschillende vormen van cyberaanvallen. Deze kwetsbaarheid manifesteert zich vooral in de vorm van ongecontroleerd netwerkverkeer waarbij aanvallers vrijelijk kunnen communiceren met interne resources zonder enige vorm van filtering of restrictie. De implementatie van UDP-beperkingen vereist een grondige voorbereiding waarbij organisaties eerst moeten vaststellen welke netwerkresources bescherming nodig hebben. Dit proces begint met een complete inventarisatie van alle virtuele machines, taakverdelers, applicatiegateways en andere netwerkapparaten die mogelijk blootgesteld zijn aan internetverkeer. Elke resource die directe internetconnectiviteit heeft, vormt een potentieel aanvalspunt en moet daarom worden geanalyseerd op de noodzaak van UDP-toegang. Deze analyse moet niet oppervlakkig zijn, maar moet diepgaand onderzoeken welke specifieke services daadwerkelijk UDP-protocollen vereisen voor hun functioneren. Een veelgemaakte fout is het toestaan van brede UDP-toegang uit voorzorg, wat onnodig het aanvalsoppervlak vergroot. Naast de aanwezigheid van NSGs moeten organisaties ook beschikken over de juiste Azure-machtigingen om NSG-regels te kunnen configureren en beheren. Dit vereist typisch de rol van Network Contributor of een aangepaste rol met specifieke NSG-beheerrechten. Deze machtigingen zijn cruciaal omdat zonder de juiste rechten beheerders geen wijzigingen kunnen doorvoeren aan netwerkbeveiligingsregels, wat de implementatie van UDP-beperkingen volledig blokkeert. Organisaties moeten daarom vooraf controleren of de toegewezen beheerders over de benodigde rechten beschikken en indien nodig aanvullende rollen toekennen. Het principe van least privilege moet hierbij worden toegepast, waarbij beheerders alleen de minimale rechten krijgen die nodig zijn voor hun specifieke taken. Een grondige inventarisatie van bestaande netwerkconfiguraties is cruciaal voordat UDP-beperkingen worden geïmplementeerd. Dit omvat het identificeren van alle services die legitiem UDP-verkeer vereisen, zoals DNS-servers die gebruikmaken van UDP-poort 53 voor query's, NTP-servers die poort 123 gebruiken voor tijdsynchronisatie, en andere applicaties die afhankelijk zijn van UDP-protocollen voor hun functionaliteit. Deze inventarisatie moet niet alleen de technische specificaties omvatten, maar ook de business rechtvaardiging voor elke toegestane UDP-poort. Zonder deze uitgebreide inventarisatie bestaat het risico dat essentiële services worden geblokkeerd, wat kan leiden tot serviceonderbrekingen en operationele problemen die de bedrijfscontinuïteit kunnen beïnvloeden. De inventarisatie moet worden gedocumenteerd in een centraal register dat regelmatig wordt bijgewerkt en dat toegankelijk is voor alle relevante stakeholders binnen de organisatie. Het inventarisatieproces moet ook rekening houden met toekomstige groei en wijzigingen in de netwerkinfrastructuur. Organisaties moeten daarom een proces opzetten waarbij nieuwe services automatisch worden geëvalueerd op hun UDP-vereisten voordat ze in productie worden genomen. Dit voorkomt dat nieuwe applicaties onbedoeld brede UDP-toegang krijgen en helpt bij het handhaven van een strikt beveiligingsbeleid op de lange termijn. Dit proces moet worden geïntegreerd in de standaard change management procedures van de organisatie, zodat elke wijziging aan netwerkconfiguraties automatisch wordt geëvalueerd op beveiligingsimpact. Door deze proactieve aanpak kunnen organisaties voorkomen dat beveiligingsproblemen ontstaan in plaats van ze achteraf te moeten oplossen.
Monitoring
Gebruik PowerShell-script udp-access-restricted.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van UDP-toegangsbeperkingen vereist een systematische aanpak waarbij regelmatig alle NSG-regels worden gescand op brede UDP-toegangsrechten. Dit proces moet zowel proactief als reactief zijn: proactief door periodieke audits uit te voeren om nieuwe of gewijzigde regels te identificeren die mogelijk onnodige UDP-toegang toestaan, en reactief door direct te reageren op beveiligingswaarschuwingen of anomalieën in netwerkverkeer die kunnen wijzen op misbruik van open UDP-poorten. De combinatie van deze twee benaderingen zorgt ervoor dat beveiligingsproblemen niet alleen worden gedetecteerd wanneer ze al actief zijn, maar ook worden voorkomen voordat ze kunnen ontstaan. Proactieve monitoring is vooral belangrijk in cloudomgevingen waar configuraties regelmatig wijzigen en waar nieuwe resources snel kunnen worden toegevoegd zonder adequate beveiligingscontroles. Door deze gecombineerde aanpak kunnen organisaties hun netwerkbeveiliging op een veel hoger niveau brengen en kunnen ze sneller reageren op potentiële bedreigingen. Het monitoringproces begint met het inventariseren van alle NSG-regels binnen de Azure-omgeving die UDP-verkeer toestaan vanaf internet. Dit omvat het analyseren van zowel inkomende als uitgaande regels, waarbij speciale aandacht wordt besteed aan regels die gebruikmaken van wildcards of brede IP-bereiken. Regels die UDP-toegang toestaan voor alle bron-IP-adressen (0.0.0.0/0) vormen het hoogste risico en moeten prioriteit krijgen in de monitoringcyclus. Deze brede regels kunnen worden misbruikt voor DDoS-amplificatieaanvallen waarbij aanvallers kleine UDP-pakketten naar open poorten sturen die vervolgens grote hoeveelheden verkeer terugsturen naar slachtoffers. Het monitoren van deze regels moet daarom real-time gebeuren, waarbij elke wijziging onmiddellijk wordt gedetecteerd en geëvalueerd op beveiligingsimpact. Beheerders moeten een duidelijk overzicht hebben van alle dergelijke regels en moeten regelmatig controleren of ze nog steeds functioneel noodzakelijk zijn. Dit vereist een gestructureerde aanpak waarbij elke regel wordt gedocumenteerd met duidelijke metadata over het doel, de eigenaar en de verwachte levensduur. Naast het identificeren van risicovolle regels moet monitoring ook de context van elke regel analyseren. Dit betekent dat beheerders moeten begrijpen welke services legitiem UDP-verkeer vereisen en welke regels mogelijk overbodig of verouderd zijn. Een regel die bijvoorbeeld UDP-toegang toestaat voor een service die niet langer in gebruik is, moet worden geïdentificeerd en verwijderd om het aanvalsoppervlak te verkleinen. Daarnaast moeten beheerders alert zijn op regels die mogelijk per ongeluk zijn geconfigureerd tijdens incidentrespons of probleemoplossing, maar die nooit zijn teruggedraaid. Dergelijke tijdelijke regels vormen een significant beveiligingsrisico omdat ze vaak brede toegang toestaan die niet nodig is voor normale bedrijfsvoering. Het is daarom essentieel dat elke regel wordt gedocumenteerd met een duidelijke rechtvaardiging en een vervaldatum, zodat tijdelijke regels automatisch kunnen worden geëvalueerd en indien nodig worden verwijderd. Deze documentatie moet worden onderhouden in een centraal systeem dat toegankelijk is voor alle relevante stakeholders en dat regelmatig wordt gecontroleerd op accuraatheid. Het monitoren van UDP-toegang moet ook rekening houden met de dynamische aard van cloudomgevingen. Nieuwe resources worden regelmatig toegevoegd en bestaande resources kunnen worden gewijzigd of verwijderd. Dit betekent dat monitoring niet een eenmalige activiteit kan zijn, maar een continu proces moet zijn dat automatisch nieuwe en gewijzigde NSG-regels detecteert en evalueert. Beheerders moeten daarom een proces opzetten waarbij elke nieuwe of gewijzigde NSG-regel automatisch wordt gescand op potentiële UDP-beveiligingsproblemen voordat deze actief wordt. Dit proces moet worden geïntegreerd in de change management workflow, zodat geen enkele wijziging aan netwerkconfiguraties kan worden doorgevoerd zonder eerst te zijn geëvalueerd op beveiligingsimpact. Door deze geautomatiseerde controle kunnen organisaties voorkomen dat beveiligingsproblemen ontstaan in plaats van ze achteraf te moeten oplossen. De automatisering moet worden aangevuld met regelmatige handmatige reviews door ervaren netwerkbeveiligingsspecialisten die de context en nuances van elke regel kunnen beoordelen. Geautomatiseerde monitoringtools kunnen dit proces aanzienlijk versnellen en verbeteren. Door gebruik te maken van Azure Policy of aangepaste PowerShell-scripts kunnen organisaties continu alle NSG-configuraties scannen en waarschuwingen genereren wanneer nieuwe risicovolle regels worden gedetecteerd. Deze automatisering zorgt ervoor dat beveiligingsproblemen snel worden geïdentificeerd, zelfs wanneer menselijke beheerders niet direct beschikbaar zijn. Azure Policy kan bijvoorbeeld worden geconfigureerd om automatisch te controleren of NSG-regels voldoen aan specifieke beveiligingscriteria, zoals het verbieden van brede UDP-toegang vanaf internet. Wanneer een regel wordt gedetecteerd die niet aan deze criteria voldoet, kan Azure Policy automatisch een waarschuwing genereren of zelfs de regel blokkeren, afhankelijk van de configuratie. Deze geautomatiseerde controles moeten worden aangevuld met regelmatige handmatige reviews door ervaren netwerkbeveiligingsspecialisten die de context en nuances van elke regel kunnen beoordelen. De combinatie van geautomatiseerde en handmatige controles zorgt voor een robuuste beveiligingsaanpak die zowel snel als accuraat is. Regelmatige rapportage over de status van UDP-beperkingen helpt ook bij het handhaven van compliance en het demonstreren van due diligence aan auditors en stakeholders. Deze rapporten moeten een overzicht bevatten van alle toegestane UDP-poorten, de business rechtvaardiging voor elke poort, en eventuele wijzigingen die zijn doorgevoerd sinds de laatste rapportage. Door deze informatie regelmatig te documenteren, kunnen organisaties aantonen dat zij proactief werken aan het handhaven van netwerkbeveiliging en dat zij voldoen aan de vereisten van compliance-frameworks zoals BIO en ISO 27001. Deze rapporten moeten niet alleen technische details bevatten, maar ook uitleggen waarom bepaalde configuraties zijn gekozen en hoe ze bijdragen aan de algehele beveiligingspostuur van de organisatie. Door deze transparantie kunnen stakeholders vertrouwen hebben in de beveiligingsmaatregelen die zijn geïmplementeerd en kunnen auditors gemakkelijk verifiëren dat de organisatie voldoet aan de vereiste beveiligingsstandaarden.
Compliance en Audit
UDP-toegangsbeperkingen zijn een fundamenteel onderdeel van netwerkbeveiliging volgens verschillende belangrijke compliance-frameworks die relevant zijn voor Nederlandse overheidsorganisaties. De Baseline Informatiebeveiliging Overheid (BIO) vereist in controle 13.01 specifiek dat organisaties protocolfiltering implementeren om onnodig netwerkverkeer te blokkeren. Deze controle richt zich op het beperken van netwerkprotocollen tot alleen wat functioneel noodzakelijk is, wat direct aansluit bij het beperken van UDP-toegang tot essentiële services. De BIO-controle 13.01 is niet alleen een aanbeveling, maar een verplichte beveiligingsmaatregel die moet worden geïmplementeerd, gedocumenteerd en regelmatig gecontroleerd. Voor Nederlandse overheidsorganisaties betekent dit dat UDP-beperkingen niet alleen een best practice zijn, maar een verplichte beveiligingsmaatregel die moet worden geïmplementeerd en gedocumenteerd. Bij BIO-audits zullen auditors specifiek controleren of organisaties een duidelijk overzicht hebben van alle toegestane netwerkprotocollen en poorten, en of er een rechtvaardiging bestaat voor elke toegestane verbinding. UDP-poorten die zonder duidelijke business case zijn geopend, vormen een compliance-risico dat kan leiden tot negatieve auditbevindingen en mogelijke sancties. Auditors zullen ook controleren of organisaties een proces hebben voor het regelmatig beoordelen en bijwerken van UDP-toegangsregels, en of wijzigingen worden gedocumenteerd en goedgekeurd volgens de juiste procedures. De ISO 27001:2022 standaard behandelt netwerkbeveiliging in controle A.8.20, die vereist dat organisaties netwerkdiensten en gebruikersnetwerken beveiligen. Dit omvat het implementeren van netwerksegmentatie, toegangscontrole en het beperken van onnodige netwerkverbindingen. UDP-toegangsbeperkingen dragen direct bij aan deze controle door ervoor te zorgen dat alleen geautoriseerd en noodzakelijk netwerkverkeer wordt toegestaan. Organisaties die ISO 27001-certificering nastreven of behouden, moeten kunnen aantonen dat zij effectieve controles hebben geïmplementeerd om onnodige netwerkverbindingen te voorkomen, wat UDP-beperkingen een essentieel onderdeel maakt van hun informatiebeveiligingsmanagementsysteem. Bij het voorbereiden van compliance-audits moeten organisaties kunnen aantonen dat zij een systematisch proces hebben voor het beheren van UDP-toegang. Dit omvat documentatie van alle toegestane UDP-poorten, de business rechtvaardiging voor elke poort, en regelmatige reviews om te verifiëren dat alle regels nog steeds noodzakelijk zijn. Het proces moet ook duidelijk maken wie verantwoordelijk is voor het beheren van UDP-toegang, welke goedkeuringsprocedures worden gevolgd voor nieuwe of gewijzigde regels, en hoe wijzigingen worden getest voordat ze in productie worden genomen. Deze documentatie vormt het bewijs dat organisaties proactief werken aan netwerkbeveiliging en dat zij voldoen aan de vereisten van verschillende compliance-frameworks. Auditbewijs moet worden bewaard voor een periode van minimaal zeven jaar, zoals vereist door verschillende compliance-frameworks. Dit bewijs omvat typisch screenshots of exports van NSG-configuraties, wijzigingslogs die aangeven wanneer regels zijn toegevoegd, gewijzigd of verwijderd, en goedkeuringsdocumenten voor nieuwe of gewijzigde regels. Organisaties moeten ervoor zorgen dat dit bewijs gemakkelijk toegankelijk is voor auditors en dat het een duidelijk overzicht biedt van de historische ontwikkeling van UDP-toegangsbeperkingen binnen de organisatie. Digitale opslag van dit bewijs is aan te bevelen, maar organisaties moeten ook rekening houden met de vereisten voor lange-termijn archivering en de mogelijkheid om bewijs te exporteren naar verschillende formaten indien nodig. Naast BIO en ISO 27001 kunnen UDP-beperkingen ook relevant zijn voor andere frameworks zoals de NIST Cybersecurity Framework, waarbij de 'Protect' functie specifiek netwerkbeveiliging en toegangscontrole omvat. De NIST-framework richt zich op het beschermen van kritieke infrastructuur en systemen door middel van verschillende beveiligingscontroles, waarbij netwerkbeveiliging een centrale rol speelt. UDP-beperkingen dragen bij aan verschillende NIST-controles, waaronder PR.AC-5 (netwerkintegriteit), PR.DS-5 (protecties tegen datalekken), en PR.IP-1 (baseline configuraties). Organisaties die werken met gevoelige gegevens moeten ook rekening houden met AVG-vereisten, waarbij netwerkbeveiliging een cruciale rol speelt bij het beschermen van persoonsgegevens tegen ongeautoriseerde toegang. Artikel 32 van de AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen, waarbij netwerkbeveiliging een essentieel onderdeel vormt van deze maatregelen.
Remediatie
Gebruik PowerShell-script udp-access-restricted.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van onbeperkte UDP-toegang vereist een gestructureerde aanpak die begint met een grondige analyse van de huidige netwerkconfiguratie. Voordat wijzigingen worden doorgevoerd, moeten netwerkbeheerders eerst een volledige inventarisatie maken van alle NSG-regels die UDP-verkeer toestaan, inclusief de specifieke poorten, bron-IP-adressen en doelservices. Deze inventarisatie vormt de basis voor het ontwikkelen van een remediatieplan dat ervoor zorgt dat essentiële services niet worden onderbroken. Het is cruciaal dat deze inventarisatie volledig en accuraat is, omdat onvolledige informatie kan leiden tot het per ongeluk blokkeren van kritieke services die de bedrijfsvoering kunnen verstoren. Het remediatieproces begint met het identificeren van alle NSG-regels die brede UDP-toegang toestaan, zoals regels die gebruikmaken van wildcard-bronadressen (0.0.0.0/0) of die toegang toestaan tot een groot aantal UDP-poorten. Deze brede regels vormen het grootste beveiligingsrisico omdat ze aanvallers in staat stellen om vanaf elke locatie op internet toegang te krijgen tot UDP-services. Voor elke geïdentificeerde regel moet worden bepaald of deze nog steeds functioneel noodzakelijk is. Dit vereist overleg met applicatie-eigenaren en netwerkarchitecten om te begrijpen welke services legitiem UDP-verkeer vereisen en welke specifieke poorten en bron-IP-adressen nodig zijn voor de functionaliteit van deze services. Tijdens het overleg met stakeholders is het belangrijk om niet alleen te focussen op de technische aspecten, maar ook op de business impact van mogelijke wijzigingen. Sommige applicaties kunnen afhankelijk zijn van brede UDP-toegang voor legacy-functionaliteit of voor communicatie met externe partners. In dergelijke gevallen moet worden onderzocht of de applicatie kan worden aangepast om met meer restrictieve regels te werken, of dat alternatieve oplossingen zoals VPN-verbindingen of private endpoints kunnen worden gebruikt om de beveiliging te verbeteren zonder de functionaliteit te beperken. Zodra de noodzakelijke UDP-poorten zijn geïdentificeerd, kunnen beheerders beginnen met het implementeren van restrictieve NSG-regels. In plaats van brede toegang toe te staan, moeten regels worden geconfigureerd om alleen specifieke UDP-poorten toe te staan voor specifieke services. Bijvoorbeeld, DNS-services vereisen typisch alleen toegang tot UDP-poort 53, terwijl NTP-services alleen poort 123 nodig hebben. Door deze specifieke regels te implementeren, wordt het aanvalsoppervlak aanzienlijk verkleind en wordt het voor aanvallers veel moeilijker om misbruik te maken van open UDP-poorten. Het is belangrijk om te onthouden dat NSG-regels worden geëvalueerd op basis van prioriteit, waarbij regels met een lagere prioriteitswaarde (hogere prioriteit) eerst worden geëvalueerd. Daarom moeten deny-regels een lagere prioriteitswaarde hebben dan allow-regels om ervoor te zorgen dat ongewenst verkeer wordt geblokkeerd voordat het wordt toegestaan. Voor services die geen legitieme reden hebben voor UDP-toegang vanaf internet, moeten expliciete deny-regels worden geconfigureerd. Deze deny-regels moeten een hogere prioriteit hebben dan eventuele allow-regels om ervoor te zorgen dat ongewenst verkeer wordt geblokkeerd. Het is belangrijk om deze wijzigingen eerst te testen in een niet-productieomgeving om te verifiëren dat essentiële services niet worden onderbroken. Testen moet niet alleen de functionaliteit van services controleren, maar ook de prestaties en responsetijden, omdat restrictieve netwerkregels in sommige gevallen kunnen leiden tot vertragingen of andere prestatieproblemen. Na succesvolle tests kunnen de wijzigingen worden geïmplementeerd in productie, bij voorkeur tijdens een geplande onderhoudsperiode om eventuele problemen snel te kunnen oplossen zonder de bedrijfsvoering te verstoren. De implementatie van remediatie moet worden uitgevoerd volgens een gefaseerde aanpak waarbij eerst de meest risicovolle regels worden aangepakt. Dit betekent dat regels die brede toegang toestaan vanaf internet (0.0.0.0/0) prioriteit krijgen boven regels die alleen toegang toestaan vanaf specifieke IP-bereiken. Door deze gefaseerde aanpak kunnen beheerders de impact van wijzigingen beter beheersen en snel reageren op eventuele problemen die optreden tijdens de implementatie. Elke fase moet worden gedocumenteerd, inclusief welke regels zijn gewijzigd, wanneer de wijzigingen zijn doorgevoerd, en wie verantwoordelijk was voor de implementatie. Na implementatie van de remediatie moet continue monitoring worden ingesteld om te verifiëren dat de nieuwe regels correct functioneren en dat er geen onbedoelde serviceonderbrekingen optreden. Deze monitoring moet niet alleen controleren of services nog steeds beschikbaar zijn, maar ook of er sprake is van prestatieproblemen of andere onbedoelde effecten. Daarnaast moeten beheerders alert blijven op nieuwe of gewijzigde regels die mogelijk onnodige UDP-toegang introduceren. Automatische compliance-checks kunnen helpen bij het detecteren van dergelijke wijzigingen voordat ze een beveiligingsrisico vormen. Deze checks moeten regelmatig worden uitgevoerd, bij voorkeur dagelijks of zelfs real-time, om ervoor te zorgen dat nieuwe beveiligingsproblemen snel worden geïdentificeerd en aangepakt.
Compliance & Frameworks
- BIO: 13.01 - Protocolfiltering
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
UDP Access Restricted
.DESCRIPTION
CIS Azure Foundations Benchmark - Control 6.26
Controleert restrictieve UDP toegang in NSG rules.
.NOTES
Filename: udp-access-restricted.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.26
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "UDP Access Restricted"
function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } }
function Test-Compliance {
$nsgs = Get-AzNetworkSecurityGroup -ErrorAction SilentlyContinue
$result = @{ TotalNSGs = $nsgs.Count; WithUnrestrictedUDP = 0 }
foreach ($nsg in $nsgs) {
$udpRules = $nsg.SecurityRules | Where-Object {
$_.Protocol -eq 'Udp' -and
($_.SourceAddressPrefix -eq '*' -or $_.SourceAddressPrefix -eq '0.0.0.0/0' -or
$_.SourceAddressPrefix -eq 'Internet') -and
$_.Direction -eq 'Inbound' -and $_.Access -eq 'Allow'
}
if ($udpRules) { $result.WithUnrestrictedUDP++ }
}
return $result
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Unrestricted UDP: $($r.WithUnrestrictedUDP)" -ForegroundColor $(if ($r.WithUnrestrictedUDP -eq 0) { 'Green' } else { 'Yellow' })
if ($r.WithUnrestrictedUDP -gt 0) {
Write-Host "`n⚠️ Beperk UDP toegang tot specifieke poorten en bronnen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nUnrestricted UDP: $($r.WithUnrestrictedUDP)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total NSGs: $($r.TotalNSGs)" -ForegroundColor White
Write-Host "With Unrestricted UDP: $($r.WithUnrestrictedUDP)" -ForegroundColor $(if ($r.WithUnrestrictedUDP -eq 0) { 'Green' } else { 'Yellow' })
if ($r.WithUnrestrictedUDP -gt 0) {
Write-Host "`n⚠️ Beperk UDP toegang tot specifieke poorten en bronnen" -ForegroundColor Yellow
}
}
else {
$r = Test-Compliance
Write-Host "`nUnrestricted UDP: $($r.WithUnrestrictedUDP)/$($r.TotalNSGs) NSGs"
}
}
catch { Write-Error $_; exit 1 }
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control, remediation delegeert naar monitoring
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Dit is een monitoring-only control" -ForegroundColor Yellow
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Open UDP-poorten vormen een amplificatie-aanvalsvector voor DDoS-aanvallen. Aanvallers kunnen reflectie-aanvallen uitvoeren via services zoals DNS, NTP en memcached, waarbij kleine verzoeken worden gebruikt om grote hoeveelheden verkeer naar slachtoffers te sturen. Compliance-vereiste: BIO 13.01. Het risico is gemiddeld - misbruik voor DDoS-aanvallen en netwerkexploitatie.
Management Samenvatting
UDP-toegangsbeperking: Blokkeer onnodige UDP-poorten (behalve essentiële services zoals DNS 53, NTP 123) vanaf internet via NSG deny-regels. Activatie: Configureer NSG-regels om UDP-verkeer vanaf internet te weigeren, behalve voor vereiste services. Geen extra kosten. Verplicht volgens BIO 13.01. Implementatietijd: 1-2 uur. Voorkomt amplificatie-aanvallen en vermindert het aanvalsoppervlak.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE