BIO 12.01.03 ISO A.13.2.1

WebRTC IP-verwerking Via Standaard Route

📅 2025-10-31
⏱️ 7 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

WebRTC IP-verwerking via standaard route voorkomt dat websites die WebRTC gebruiken lokale en publieke IP-adressen kunnen achterhalen, wat VPN-lekken voorkomt en de privacy beschermt tegen volgen en netwerkfingerprinting.

Aanbeveling
IMPLEMENT
Risico zonder
Gemiddeld
Risk Score
6/10
Implementatie
14u (tech: 4u)
Van toepassing op:
Microsoft Edge
Edge for Business

WebRTC, ofwel Web Real-Time Communication, biedt video- en audiostreaming in browsers maar heeft een kritieke privacykwetsbaarheid. WebRTC gebruikt STUN-servers, wat staat voor Session Traversal Utilities for NAT, om NAT-traversal te faciliteren. Tijdens dit proces stelt WebRTC lokale IP-adressen en publieke IP-adressen van gebruikers bloot aan websites. Zonder beperkingen kunnen websites via WebRTC verschillende privacyproblemen veroorzaken. Ten eerste kunnen websites lokale IP-adressen achterhalen, zoals 192.168.1.50, om de interne netwerktopologie te identificeren. Dit onthult of een gebruiker thuis, op kantoor of in een café werkt. Ten tweede kunnen websites publieke IP-adressen ophalen die VPN- of proxyomzeiling tonen. Zelfs wanneer een gebruiker een VPN gebruikt, lekt WebRTC het echte publieke IP-adres buiten de VPN-verbinding om. Ten derde maakt netwerkfingerprinting voor volgen mogelijk. De unieke combinatie van lokaal en publiek IP-adres fungeert als een persistente identifier over verschillende sessies heen. Ten vierde onthult geolocatie via het publieke IP-adres de fysieke locatie ondanks privacyhulpmiddelen. Ten vijfde kunnen aanvallers via corporate network reconnaissance interne IP-bereiken detecteren voor gerichte aanvallen. Een reëel scenario: een gebruiker gebruikt een VPN voor privacy, een website gebruikt een WebRTC STUN-verzoek, het echte publieke IP-adres lekt buiten de VPN-tunnel en de anonimiteit wordt aangetast. Door WebRTC IP-verwerking te beperken tot alleen de standaardroute, gebruikt WebRTC uitsluitend het IP-adres van de standaard netwerkinterface, wat de VPN-interface is indien actief. Dit blokkeert het achterhalen van lokale IP-adressen en voorkomt VPN-lekken.

PowerShell Modules Vereist
Primary API: Microsoft Intune / Group Policy
Connection: Windows Registry
Required Modules: Windows PowerShell 5.1 of hoger

Implementatie

Deze controle configureert het Edge-beleid WebRtcIpHandling via de registerinstelling HKLM:\SOFTWARE\Policies\Microsoft\Edge\WebRtcIpHandling. Mogelijke waarden zijn als volgt. De standaardwaarde 'default' staat toe dat WebRTC alle lokale en publieke IP-adressen kan achterhalen, wat onveilig is. De waarde 'default_public_and_private_interfaces' stelt alle interfaces bloot maar respecteert de routeselectie. De waarde 'default_public_interface_only' stelt alleen publieke IP-adressen bloot, wat gedeeltelijke lekbepaling biedt. De waarde 'disable_non_proxied_udp' dwingt alle UDP-verkeer via een proxy, wat de meest restrictieve instelling is maar sommige WebRTC-applicaties kan breken. De aanbevolen waarde is 'default_public_interface_only' of 'disable_non_proxied_udp' voor maximale privacy. Wanneer geconfigureerd, gebruiken WebRTC STUN-verzoeken alleen het IP-adres van de standaardroute, wat de VPN-interface is indien actief. Het achterhalen van lokale IP-adressen wordt geblokkeerd, waardoor websites geen 192.168.x.x-adressen kunnen ophalen. VPN-lekken wordt voorkomen doordat WebRTC de VPN-tunnel respecteert. Netwerkfingerprinting wordt aanzienlijk bemoeilijkt. Let op dat sommige WebRTC-applicaties, zoals peer-to-peer videochat, verbindingsproblemen kunnen hebben met restrictieve instellingen. Test daarom grondig voordat u deze instellingen in productie implementeert.

Vereisten

Voor de implementatie van WebRTC IP-verwerkingsbeperkingen zijn verschillende technische en organisatorische voorwaarden vereist. Allereerst moet Microsoft Edge versie 77 of nieuwer geïnstalleerd zijn, waarbij het belangrijk is dat dit de Chromium-gebaseerde versie betreft. Deze versie ondersteunt de benodigde registerbeleidsinstellingen voor WebRTC-beperkingen. Het besturingssysteem moet Windows 10 of Windows 11 zijn, met administratorrechten voor de configuratie van het beleid. Zonder deze rechten kan de registerinstelling niet worden aangepast. Voor centraal beheer is Group Policy Management of Microsoft Intune vereist. Deze beheertools maken het mogelijk om de WebRTC-instellingen op schaal te implementeren zonder dat elke werkstation handmatig moet worden geconfigureerd. Een cruciale voorbereidingsstap is de inventarisatie van applicaties die afhankelijk zijn van WebRTC. Dit omvat Microsoft Teams, Google Meet en Zoom web clients, maar ook andere peer-to-peer communicatieapplicaties. Het is essentieel om te weten welke applicaties mogelijk worden beïnvloed door de restrictieve instellingen. Een testomgeving is onmisbaar voor de validatie van WebRTC-connectiviteit na de implementatie van het beleid. Deze omgeving moet representatief zijn voor de productieomgeving en moet verschillende scenario's kunnen testen, zoals VPN-verbindingen, verschillende netwerkconfiguraties en verschillende WebRTC-applicaties. Optioneel maar aanbevolen is VPN-clientsoftware voor het testen van VPN-lekpreventie. Dit stelt organisaties in staat om te verifiëren dat WebRTC daadwerkelijk de VPN-tunnel respecteert en geen echte IP-adressen lekt. Netwerkmonitoringtools zijn nodig om WebRTC STUN-verkeer te inspecteren en te valideren dat de beperkingen correct werken. Tot slot is een gebruikerscommunicatieplan essentieel voor het informeren van gebruikers over mogelijke WebRTC-connectiviteitsproblemen en het beheer van verwachtingen.

Implementatie

De implementatie van WebRTC IP handling restrictions gebeurt via Group Policy of Microsoft Intune door de WebRtcIpHandling policy te configureren.

Gebruik PowerShell-script webrtc-ip-handling-default-route.ps1 (functie Invoke-Monitoring) – Controleert of WebRTC IP-verwerking is geconfigureerd. Valideert registerkey HKLM:\SOFTWARE\Policies\Microsoft\Edge\WebRtcIpHandling en test of WebRTC daadwerkelijk het achterhalen van lokale IP-adressen blokkeert..

Gebruik PowerShell-script webrtc-ip-handling-default-route.ps1 (functie Invoke-Remediation) – Configureert WebRTC IP-verwerkingsbeleid op 'default_public_interface_only' of 'disable_non_proxied_udp'. Blokkeert het achterhalen van lokale IP-adressen en voorkomt VPN-lekken..

Gebruik PowerShell-script webrtc-ip-handling-default-route.ps1 (functie Invoke-Revert) – Reset WebRTC IP-verwerking naar standaard (onbeperkt). WebRTC kan daarna weer alle IP-adressen achterhalen (ALLEEN voor het oplossen van WebRTC-connectiviteitsproblemen)..

Technische Details

WebRTC IP-verwerking werkt door het STUN-protocol, wat staat voor Session Traversal Utilities for NAT, te beperken. De registerpad voor deze configuratie is HKLM:\SOFTWARE\Policies\Microsoft\Edge\WebRtcIpHandling. Dit registerpad wordt door Microsoft Edge gelezen bij het opstarten en bepaalt hoe WebRTC omgaat met IP-adressen. De mogelijke beleidswaarden zijn 'default' voor onbeperkte toegang, 'default_public_and_private_interfaces' voor blootstelling van alle interfaces met respect voor routeselectie, 'default_public_interface_only' als aanbevolen instelling, en 'disable_non_proxied_udp' als meest restrictieve optie. Het STUN-protocol vormt de kern van het probleem. WebRTC gebruikt STUN-servers, zoals stun.l.google.com op poort 19302, om NAT-traversal te faciliteren door het publieke IP-adres te ontdekken. Tijdens dit proces worden lokale en publieke IP-adressen blootgesteld aan de STUN-server, die deze informatie terugstuurt naar de browser. ICE-kandidaatverzameling, waarbij ICE staat voor Interactive Connectivity Establishment, is een cruciaal onderdeel van dit proces. WebRTC verzamelt ICE-kandidaten met IP-adressen om de beste verbindingsroute te bepalen. Een restrictief beleid beperkt welke kandidaten worden gegenereerd, waardoor alleen de standaardroute wordt gebruikt. Edge kan lokale IP-adressen obfusceren met .local mDNS-namen, zoals abc123.local in plaats van 192.168.1.50. Dit biedt een extra privacybescherming, maar is niet altijd betrouwbaar omdat websites nog steeds de mDNS-naam kunnen gebruiken voor fingerprinting. Het standaardgedrag van WebRTC probeert alle netwerkinterfaces, inclusief fysieke adapters naast de VPN-interface, wat resulteert in het lekken van het echte IP-adres. Dit gebeurt omdat WebRTC probeert de beste verbindingsroute te vinden en daarbij alle beschikbare netwerkinterfaces evalueert. Websites kunnen WebRTC-lekdetectie uitvoeren via de JavaScript RTCPeerConnection API. Deze API stelt websites in staat om programmatisch WebRTC-verbindingen te maken en de beschikbare IP-adressen te achterhalen. Het registerbeleid wordt gerespecteerd door de Chromium WebRTC-stack, wat betekent dat gebruikers deze instelling niet kunnen overschrijven via browserinstellingen of extensies. Dit zorgt ervoor dat de beveiligingsinstellingen consistent worden toegepast op alle werkstations binnen de organisatie.

Best Practices

Voor effectieve WebRTC IP-bescherming worden verschillende best practices aanbevolen die de balans tussen privacy en functionaliteit waarborgen. Begin met de instelling 'default_public_interface_only', die een goede balans biedt tussen privacy en compatibiliteit. Deze instelling blokkeert het achterhalen van lokale IP-adressen terwijl de meeste WebRTC-applicaties blijven werken. Test WebRTC-applicaties uitgebreid na de implementatie, met name Microsoft Teams web, Google Meet en Zoom web client, om connectiviteitsproblemen te identificeren voordat deze in productie worden geïmplementeerd. Gebruik online WebRTC-lektesttools, zoals browserleaks.com/webrtc, om de effectiviteit van de implementatie te valideren. Deze tools tonen welke IP-adressen zichtbaar zijn voor websites en helpen bij het verifiëren dat de beperkingen correct werken. Communiceer proactief naar gebruikers dat sommige peer-to-peer videochat-applicaties mogelijk niet werken met restrictieve instellingen. Dit beheert verwachtingen en voorkomt onnodige helpdeskmeldingen. Implementeer uitzonderingsprocedures voor gebruikers die WebRTC-afhankelijke applicaties gebruiken voor bedrijfskritieke workflows. Deze procedures moeten duidelijk definiëren wanneer en hoe uitzonderingen kunnen worden gemaakt, met goedkeuring van de beveiligingsafdeling. Overweeg 'disable_non_proxied_udp' voor omgevingen met hoge beveiligingseisen, maar wees bewust van de compatibiliteitsimpact. Deze instelling is het meest restrictief maar kan sommige WebRTC-applicaties volledig breken. Monitor helpdesktickets voor WebRTC-gerelateerde connectiviteitsklachten na de implementatie om trends te identificeren en waar nodig aanpassingen te maken. Documenteer welke WebRTC-applicaties worden ondersteund en welke niet, gebaseerd op uitgebreide tests. Deze documentatie helpt bij toekomstige implementaties en bij het beantwoorden van gebruikersvragen.

Compliance en Auditing

WebRTC IP-verwerkingsbeperkingen ondersteunen verschillende compliance frameworks door privacylekken te voorkomen en de beveiligingspostuur van organisaties te verbeteren. De Algemene Verordening Gegevensbescherming, ofwel AVG, bevat relevante artikelen die worden ondersteund door deze maatregel. Artikel 25 van de AVG vereist gegevensbescherming door ontwerp en standaardinstellingen, wat betekent dat organisaties technische en organisatorische maatregelen moeten implementeren die onnodig lekken van IP-adressen, die als persoonsgegevens worden beschouwd, voorkomen. Artikel 32 van de AVG vereist passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, wat bescherming biedt tegen netwerkfingerprinting en volgen via IP-adressen. De ISO 27001-standaard, specifiek controle A.13.2.1 over informatieoverdrachtbeleid, wordt ondersteund doordat ongeautoriseerde openbaarmaking van netwerktopologie wordt voorkomen. Organisaties die ISO 27001-certificering nastreven, moeten kunnen aantonen dat zij maatregelen hebben genomen om gevoelige netwerkinformatie te beschermen. Het NIST SP 800-53 framework, specifiek controle SC-7 over grensbescherming, wordt ondersteund doordat interne netwerkinformatie niet lekt naar externe partijen. Deze controle is vooral relevant voor Amerikaanse overheidsorganisaties en hun leveranciers. De CIS Microsoft Edge Benchmark vereist expliciet WebRTC IP-verwerkingsbeperkingen voor privacybescherming. Deze benchmark wordt wereldwijd gebruikt als best practice voor browserbeveiliging en is vaak vereist voor compliance met verschillende beveiligingsstandaarden. De NIS2-richtlijn, die netwerk- en informatiesystemen beveiliging vereist, wordt ondersteund doordat reconnaissance van interne infrastructuur wordt voorkomen. Deze richtlijn is vooral relevant voor Europese organisaties in kritieke sectoren. Het BIO-framework, specifiek Thema 12 over netwerken, wordt ondersteund doordat de interne netwerkstructuur wordt beschermd tegen externe fingerprinting. Dit is cruciaal voor Nederlandse overheidsorganisaties die moeten voldoen aan de Baseline Informatiebeveiliging Overheid. Door deze compliance-vereisten te adresseren, helpen WebRTC-beperkingen organisaties om te voldoen aan hun wettelijke en regelgevende verplichtingen terwijl de privacy en beveiliging van gebruikers worden beschermd.

Troubleshooting

Verschillende problemen kunnen optreden na de implementatie van WebRTC IP-beperkingen, elk met specifieke oplossingen. Een veelvoorkomend probleem is dat videogesprekken falen in webgebaseerde conferentie-applicaties zoals Google Meet en Zoom. De oplossing hiervoor is om te verifiëren of deze applicaties desktopclients hebben als fallbackoptie. Als alternatief kan het beleid worden versoepeld naar 'default_public_interface_only' om meer compatibiliteit te bieden terwijl lokale IP-adressen nog steeds worden geblokkeerd. Peer-to-peer bestandsdeling werkt mogelijk niet meer na de implementatie van restrictieve instellingen. P2P-applicaties vereisen vaak onbeperkte WebRTC-functionaliteit om directe verbindingen tussen gebruikers te kunnen maken. De oplossing is om uitzonderingen te overwegen voor specifieke gebruikers of om server-gestuurde alternatieven te gebruiken die niet afhankelijk zijn van directe peer-to-peer verbindingen. Gebruikers kunnen klagen dat waarschuwingen verschijnen die aangeven dat sommige functies zijn uitgeschakeld. Dit is normaal gedrag en moet worden gecommuniceerd naar gebruikers dat dit verwacht is voor privacybescherming. Deze waarschuwingen zijn informatieve meldingen en hebben geen invloed op de functionaliteit van de meeste websites. Als WebRTC-lektest sites nog steeds lokale IP-adressen tonen, moet de registerwaarde worden geverifieerd, Edge moet opnieuw worden gestart en de browsercache moet worden gewist. Soms worden oude instellingen gecached en moet de browser volledig worden herstart om de nieuwe instellingen te activeren. Als een VPN nog steeds het echte IP-adres lekt via WebRTC, moet worden geverifieerd dat het beleid is ingesteld op 'default_public_interface_only' of 'disable_non_proxied_udp' en niet op 'default'. De standaardwaarde biedt geen bescherming tegen VPN-lekken. Als het beleid niet actief is na de implementatie, moet 'gpupdate /force' worden uitgevoerd, Edge moet opnieuw worden gestart en het register moet worden gecontroleerd met de PowerShell-opdracht 'Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Edge WebRtcIpHandling'. Soms duurt het even voordat groepsbeleid wordt toegepast, vooral in grote omgevingen. De Microsoft Teams webversie werkt mogelijk niet met restrictieve instellingen. De oplossing is om de Teams desktopclient te gebruiken, die betere compatibiliteit heeft, of om Teams-domeinen toe te voegen aan een whitelist voor onbeperkte WebRTC. Voor interne tests van ICE-kandidaten die onverwacht gedrag tonen, kan chrome://webrtc-internals worden gebruikt in Edge om ICE-kandidaatverzameling te debuggen. Deze tool biedt gedetailleerde informatie over hoe WebRTC verbindingen probeert te maken en welke IP-adressen worden gebruikt.

Monitoring

Gebruik PowerShell-script webrtc-ip-handling-default-route.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script webrtc-ip-handling-default-route.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Edge Policy: WebRTC Default Route Only - Voorkomt WebRTC IP leakage .DESCRIPTION CIS Microsoft Edge Benchmark - Control 1.107 Configureert WebRTC om alleen default route te gebruiken voor connecties. Dit voorkomt dat WebRTC alle lokale IP adressen lekt naar websites, wat een privacyrisico vormt. WebRTC kan normaal alle netwerk interfaces scannen en IP adressen bekend maken aan websites voor peer-to-peer connecties. RATIONALE: WebRTC heeft toegang tot lokale IP adressen nodig voor peer-to-peer verbindingen, maar dit kan worden misbruikt om: - Interne IP adressen te achterhalen (VPN leakage) - Netwerk topologie te ontdekken - Gebruikers tracking via IP fingerprinting - VPN gebruik te detecteren IMPACT: WebRTC zal alleen default route gebruiken, wat privacy beschermt zonder functionaliteit significant te beperken. .NOTES Filename: webrtc-ip-handling-default-route.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 1.107 (Level 1) Category: Network Registry Path: HKLM:\SOFTWARE\Policies\Microsoft\Edge Registry Value: WebRtcDefaultRoute (DWORD) Expected Value: 1 (Enabled - use default route only) #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Edge" $RegName = "WebRtcDefaultRoute" $ExpectedValue = 1 $PolicyName = "WebRTC Default Route Only" function Connect-RequiredServices { $currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()) return $currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $result = [PSCustomObject]@{ ScriptName = "webrtc-ip-handling-default-route.ps1" PolicyName = $PolicyName CISControl = "1.107" Level = "L1" Category = "Network" IsCompliant = $false RegistryPath = "$RegPath\$RegName" CurrentValue = $null ExpectedValue = $ExpectedValue Details = @() Recommendations = @() } if (-not (Test-Path $RegPath)) { $result.Details += "Registry pad bestaat niet" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" return $result } try { $regValue = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Stop $result.CurrentValue = $regValue.$RegName if ($result.CurrentValue -eq $ExpectedValue) { $result.IsCompliant = $true $result.Details += "WebRTC gebruikt alleen default route" $result.Details += "Lokale IP adressen worden niet gelekt" } else { $result.Details += "WebRTC kan alle interfaces gebruiken" $result.Recommendations += "Voer remediatie uit voor privacy bescherming" } } catch { $result.Details += "Policy niet geconfigureerd - IP leakage mogelijk" $result.Recommendations += "Voer remediatie uit met -Remediation parameter" } return $result } function Invoke-Remediation { Write-Host "`nStarting remediation voor: $PolicyName..." -ForegroundColor Cyan if (-not (Test-Path $RegPath)) { New-Item -Path $RegPath -Force | Out-Null } Set-ItemProperty -Path $RegPath -Name $RegName -Value $ExpectedValue -Type DWord -Force Write-Host " WebRTC default route policy geconfigureerd" -ForegroundColor Green Write-Host " IP leakage via WebRTC is nu beperkt" -ForegroundColor Green Write-Host "`nRemediatie succesvol afgerond" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "EDGE POLICY COMPLIANCE CHECK" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Policy: $($result.PolicyName)" -ForegroundColor White Write-Host "CIS Control: $($result.CISControl)" -ForegroundColor White if ($result.IsCompliant) { Write-Host "`nStatus: COMPLIANT" -ForegroundColor Green } else { Write-Host "`nStatus: NON-COMPLIANT" -ForegroundColor Red } if ($result.Details) { Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { Write-Host " $detail" -ForegroundColor Gray } } Write-Host "`n========================================`n" -ForegroundColor Cyan return $result } function Invoke-Revert { if (Test-Path $RegPath) { Remove-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue Write-Host "Policy verwijderd" -ForegroundColor Green } } try { if (-not (Connect-RequiredServices)) { Write-Warning "Administrator rechten vereist" exit 1 } if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result.IsCompliant) { 0 } else { 1 }) } elseif ($Remediation) { if ($WhatIf) { Write-Host "`nWATIF: Zou WebRTC default route policy configureren" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`nCOMPLIANT" -ForegroundColor Green } else { Write-Host "`nNON-COMPLIANT" -ForegroundColor Red } exit $(if ($result.IsCompliant) { 0 } else { 1 }) } } catch { Write-Error $_ exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Gemiddeld: GEMIDDELD RISICO: WebRTC kan lokale en publieke IP-adressen lekken aan websites, wat VPN-anonimiteit aantast, netwerkfingerprinting mogelijk maakt en bedrijfsnetwerktopologie blootstelt. Gebruikers die VPN gebruiken voor privacy zijn kwetsbaar voor het lekken van het echte IP-adres buiten de VPN-tunnel. Aanvallers kunnen interne IP-bereiken detecteren voor gerichte reconnaissance. Privacybewuste gebruikers worden gevolgd via persistente IP-fingerprints.

Management Samenvatting

Configureer WebRTC IP-verwerkingsbeleid op 'default_public_interface_only' om het achterhalen van lokale IP-adressen te blokkeren en VPN-lekken te voorkomen. Beschermt gebruikersprivacy tegen volgen en netwerkfingerprinting terwijl de meeste WebRTC-applicaties blijven werken.