💼 Management Samenvatting
WebRTC IP-handling: het uitschakelen van directe UDP-verbindingen voorkomt het lekken van lokale en publieke IP-adressen, waardoor VPN-bypass en privacyrisico's worden gemitigeerd.
Aanbeveling
IMPLEMENTEREN (met name voor VPN-gebruikers)
Risico zonder
Medium
Risk Score
5/10
Implementatie
4u (tech: 2u)
Van toepassing op:
✓ Microsoft Edge
WebRTC IP-lekkage vormt een significant privacy- en beveiligingsrisico voor organisaties die gebruikmaken van VPN-verbindingen. WebRTC (Web Real-Time Communication) is een browsertechnologie die realtime communicatie mogelijk maakt, zoals videogesprekken en audioconferenties. Een kritieke kwetsbaarheid in WebRTC is echter dat JavaScript-code via STUN-servers (Session Traversal Utilities for NAT) lokale en publieke IP-adressen kan opvragen, zelfs wanneer gebruikers een VPN-verbinding actief hebben. Dit betekent dat wanneer een medewerker een VPN gebruikt om zijn of haar werkelijke locatie te verbergen, WebRTC-technologie deze maatregel volledig kan omzeilen door de echte publieke IP-adres te lekken. Kwaadwillende websites kunnen vervolgens zowel het VPN-IP-adres als het echte IP-adres correleren, waardoor gebruikers geïdentificeerd kunnen worden en de anonimiteit wordt geschonden. Voor overheidsorganisaties en vitale organisaties die gevoelige informatie verwerken, kan dit leiden tot geolocatie-tracking, doelgerichte aanvallen en schending van privacywetgeving zoals de AVG.
Implementatie
Door directe UDP-verbindingen in WebRTC uit te schakelen, worden organisaties gedwongen om uitsluitend TCP/TLS-verbindingen of proxy/relay-servers te gebruiken. Hoewel dit kan leiden tot een lichte prestatieverslechtering omdat UDP doorgaans sneller is dan TCP, elimineert het volledig het risico op IP-lekkage. De Microsoft Edge-beleidsinstelling 'disable_non_proxied_udp' zorgt ervoor dat alle WebRTC-verkeer via beveiligde proxy's of relay-servers wordt geleid, waardoor directe IP-discoverie wordt voorkomen. Voor VPN-gebruikers is deze maatregel kritiek om anonimiteit te waarborgen en te voorkomen dat hun werkelijke netwerklocatie wordt geïdentificeerd door kwaadwillende websites. De implementatie vereist configuratie via Microsoft Intune of Group Policy en kan binnen enkele uren worden uitgerold, met minimale impact op de gebruikerservaring voor de meeste webbrowsing-activiteiten.
Vereisten
Voor het implementeren van WebRTC UDP-beperkingen is een aantal technische en organisatorische randvoorwaarden vereist. Allereerst moet de organisatie beschikken over Microsoft Edge als primaire webbrowser, omdat deze maatregel specifiek is gericht op de Edge-browserconfiguratie. Het is belangrijk om te benadrukken dat deze maatregel bijzonder relevant is voor gebruikers die regelmatig VPN-verbindingen gebruiken, omdat voor deze groep het risico op IP-lekkage het grootst is. Organisaties met medewerkers die vanuit externe locaties werken of die gevoelige informatie verwerken, dienen prioriteit te geven aan de implementatie van deze beveiligingsmaatregel.
Voor de technische implementatie is toegang tot een centraal beheerplatform vereist, waarbij Microsoft Intune of Group Policy Objects (GPO) de primaire opties vormen. Bij gebruik van Microsoft Intune is een actieve licentie voor Microsoft Endpoint Manager noodzakelijk, evenals de benodigde rechten om beveiligingsbeleid te configureren en uit te rollen. Voor organisaties die nog steeds Group Policy gebruiken, is toegang tot de Active Directory Domain Services vereist, met de juiste beheerdersrechten om beleidsobjecten te maken en te koppelen aan de relevante organisatie-eenheden. Daarnaast is het belangrijk dat de beheeromgeving is geconfigureerd voor het beheren van Edge-browserinstellingen, wat mogelijk aanvullende configuratie vereist binnen het gekozen beheerplatform.
Qua organisatorische vereisten is het essentieel dat de IT-afdeling beschikt over een duidelijk inzicht in welke gebruikersgroepen VPN-verbindingen gebruiken en hoe vaak deze worden ingezet. Dit inzicht helpt bij het prioriteren van de implementatie en het communiceren van mogelijke impact op gebruikerservaring. Bovendien is het raadzaam om vooraf te testen in een gecontroleerde omgeving, bij voorkeur met een pilotgroep van gebruikers die representatief zijn voor de organisatie. Dit maakt het mogelijk om eventuele prestatie-impact of compatibiliteitsproblemen te identificeren voordat de organisatiebrede uitrol plaatsvindt. Tot slot vereist deze maatregel duidelijke communicatie naar eindgebruikers over het waarom en de mogelijke gevolgen, vooral voor medewerkers die intensief gebruikmaken van WebRTC-toepassingen zoals videoconferenties via webbrowsers.
Implementatie
Gebruik PowerShell-script webrtc-udp-disabled.ps1 (functie Invoke-Implementation) – Implementeren.
De implementatie van WebRTC UDP-beperkingen begint met het openen van de Microsoft Intune Settings Catalog, waarbij beheerders navigeren naar de Edge-browsersectie en specifiek de WebRTC-configuratieopties selecteren. Binnen deze configuratie moet de instelling voor 'WebRTC IP handling' worden ingesteld op de waarde 'disable_non_proxied_udp'. Deze specifieke instelling zorgt ervoor dat alle directe UDP-verbindingen voor WebRTC worden geblokkeerd, waardoor alleen verbindingen via proxy's of relay-servers worden toegestaan. Het directe effect van deze configuratie is dat IP-lekkage volledig wordt voorkomen, omdat alle WebRTC-communicatie wordt gerouteerd via gecontroleerde tussenstations die de werkelijke IP-adressen verbergen.
Voor organisaties die gebruikmaken van Group Policy in plaats van Microsoft Intune, kan dezelfde configuratie worden toegepast via de Administrative Templates voor Microsoft Edge. Beheerders moeten het Group Policy Management Console openen, navigeren naar de juiste organisatie-eenheid of computerconfiguratie, en vervolgens de Edge Administrative Templates laden. Binnen deze templates moet de instelling 'Control use of WebRTC non-proxied UDP' worden gevonden en ingesteld op 'Enabled' met de waarde 'Disable non-proxied UDP'. Deze configuratie werkt identiek aan de Intune-instelling en zorgt voor dezelfde beveiligingsmaatregel op een andere manier van beheer.
Na het configureren van de beleidsinstelling is het belangrijk om het beleid toe te wijzen aan de juiste gebruikersgroepen of apparaten. Bij voorkeur begint men met een pilotgroep die representatief is voor de organisatie, zodat eventuele problemen kunnen worden geïdentificeerd voordat de volledige uitrol plaatsvindt. Het is aan te raden om het beleid eerst in rapportagemodus te activeren indien deze optie beschikbaar is, zodat beheerders kunnen monitoren welke apparaten het beleid ontvangen zonder directe impact op de gebruikerservaring. Na een observatieperiode van enkele dagen tot een week kan het beleid worden overgeschakeld naar actieve afdwinging, waarbij gebruikers direct beschermd zijn tegen WebRTC IP-lekkage.
De automatisering van deze implementatie kan worden uitgevoerd via het PowerShell-script webrtc-udp-disabled.ps1, dat beschikbaar is in de codebibliotheek van de Nederlandse Baseline voor Veilige Cloud. Dit script controleert de huidige configuratie, past indien nodig de vereiste instellingen toe en genereert een rapport over de implementatiestatus. Het script kan worden geïntegreerd in bestaande deployment-workflows en maakt deel uit van de gestandaardiseerde aanpak voor het beveiligen van Microsoft Edge-browsers binnen Nederlandse overheidsorganisaties. Na de implementatie dient een validatie te worden uitgevoerd om te verifiëren dat het beleid daadwerkelijk actief is op de doelapparaten en dat WebRTC IP-lekkage daadwerkelijk wordt voorkomen.
Compliance
De implementatie van WebRTC UDP-beperkingen draagt direct bij aan de naleving van verschillende Nederlandse en Europese privacy- en beveiligingsnormen. Artikel 32 van de Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies of vernietiging. IP-adressen worden door de Autoriteit Persoonsgegevens beschouwd als persoonsgegevens wanneer zij kunnen worden gebruikt om natuurlijke personen te identificeren. Door te voorkomen dat IP-adressen via WebRTC worden gelekt, beschermen organisaties deze persoonsgegevens tegen ongeautoriseerde verwerking door derden, zoals trackingbedrijven of kwaadwillende websites die gebruikers willen identificeren en profileren.
Binnen het Baseline Informatiebeveiliging Overheid (BIO) raamwerk valt deze maatregel onder thema 11.03, dat specifiek gericht is op netwerkprivacy en het voorkomen van informatielekken via netwerkprotocollen. De BIO-controle 11.03.01 verplicht organisaties om maatregelen te treffen die voorkomen dat netwerkverkeer ongewenste informatie lekt, zoals locatiegegevens, IP-adressen of andere identificerende kenmerken. WebRTC IP-lekkage vormt een directe schending van deze controle, omdat het mogelijk maakt dat identificerende netwerkinformatie buiten de controle van de organisatie wordt verspreid. Door UDP-beperkingen in te stellen, voldoen organisaties aan de vereisten van deze BIO-controle en kunnen zij aantonen dat zij proactief werken aan het beschermen van netwerkprivacy.
Voor organisaties die vallen onder de NIS2-richtlijn is deze maatregel eveneens relevant, met name in de context van artikel 21, dat eist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen treffen om cybersecurity-risico's te beperken. Het voorkomen van IP-lekkage draagt bij aan de bescherming tegen geavanceerde persistent threats (APT) waarbij aanvallers gebruikmaken van geolocatie-informatie voor doelgerichte aanvallen. Bovendien helpt deze maatregel bij het voldoen aan de vereisten voor incidentdetectie en respons, omdat het voorkomen van informatielekken de basis vormt voor effectieve beveiligingsmonitoring. Voor Nederlandse overheidsorganisaties die verantwoordelijk zijn voor het verwerken van gevoelige of vertrouwelijke informatie, is het implementeren van WebRTC UDP-beperkingen niet alleen een best practice, maar ook een noodzakelijke maatregel om te voldoen aan de verhoogde beveiligingsstandaarden die worden vereist door toezichthouders en auditdiensten.
Monitoring
Gebruik PowerShell-script webrtc-udp-disabled.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van WebRTC UDP-beperkingen is essentieel om te verifiëren dat de beveiligingsmaatregel daadwerkelijk actief is en effectief functioneert op alle beheerde apparaten. Het PowerShell-script webrtc-udp-disabled.ps1 biedt geautomatiseerde monitoringfunctionaliteit die de huidige configuratiestatus controleert en rapporteert over de naleving van het beleid. Het script kan worden geïntegreerd in bestaande monitoringworkflows en maakt het mogelijk om op regelmatige basis te controleren of apparaten correct zijn geconfigureerd en of er sprake is van afwijkingen die mogelijk wijzen op handmatige wijzigingen of configuratiefouten. Door deze monitoring uit te voeren op maandelijkse basis of na belangrijke configuratiewijzigingen, kunnen beheerders snel reageren op eventuele problemen en ervoor zorgen dat de beveiligingsmaatregel continu effectief blijft.
Naast de geautomatiseerde monitoring via PowerShell-scripts is het belangrijk om ook handmatige verificaties uit te voeren, met name na de initiële implementatie of wanneer er wijzigingen zijn aangebracht in de beheeromgeving. Beheerders kunnen gebruikmaken van browserleaks.com/webrtc of vergelijkbare online tools om te testen of WebRTC IP-lekkage daadwerkelijk wordt voorkomen op testapparaten. Deze handmatige verificaties moeten worden uitgevoerd vanuit verschillende netwerkomgevingen, inclusief VPN-verbindingen, om te verifiëren dat de maatregel in alle scenario's effectief is. Het is aan te raden om deze testen uit te voeren met een gestructureerde aanpak, waarbij resultaten worden gedocumenteerd en gedeeld met het security-team voor verdere analyse en eventuele aanpassingen van het beleid.
Voor organisaties die gebruikmaken van Microsoft Intune kan de compliance-monitoring worden uitgevoerd via de Intune Endpoint Manager-console, waar beheerders kunnen zien welke apparaten het beleid hebben ontvangen en of er sprake is van non-compliance. Rapporten kunnen worden gegenereerd die tonen welk percentage van de organisatie correct is geconfigureerd, welke apparaten afwijkingen vertonen en welke acties nodig zijn om compliance te bereiken. Deze rapportages vormen een belangrijk onderdeel van de auditdocumentatie en kunnen worden gebruikt om aan toezichthouders en auditors te demonstreren dat de organisatie proactief werkt aan het voorkomen van privacy- en beveiligingsrisico's. Het is belangrijk om deze monitoringresultaten regelmatig te bespreken met stakeholders en om eventuele trends of patronen te identificeren die mogelijk wijzen op structurele problemen of verbeteringsmogelijkheden in het beheerproces.
Remediatie
Gebruik PowerShell-script webrtc-udp-disabled.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer monitoring of incidentrespons uitwijst dat WebRTC UDP-beperkingen niet correct zijn geïmplementeerd of zijn uitgeschakeld op bepaalde apparaten, is een gestructureerd remediatieproces vereist om de beveiligingsmaatregel te herstellen. Het PowerShell-script webrtc-udp-disabled.ps1 biedt geautomatiseerde remediatiefunctionaliteit die in staat is om de juiste configuratie te herstellen op niet-compliant apparaten. Het script identificeert eerst de oorzaak van de afwijking, bijvoorbeeld handmatige wijzigingen door gebruikers, configuratiefouten in het beheerplatform, of problemen met de beleidssync, en past vervolgens de vereiste correcties toe om de beveiligingsmaatregel te herstellen. Voor apparaten die niet automatisch kunnen worden gecorrigeerd, genereert het script gedetailleerde rapportages met aanbevelingen voor handmatige interventie.
Het remediatieproces begint met het identificeren van de scope van het probleem: hoeveel apparaten zijn betrokken, welke gebruikersgroepen worden beïnvloed en wat is de oorzaak van de non-compliance. Voor organisaties die gebruikmaken van Microsoft Intune kunnen beheerders gebruikmaken van de compliance-rapportage om niet-compliant apparaten te identificeren en gerichte remediatieacties uit te voeren. In veel gevallen kan het probleem worden opgelost door het beleid opnieuw toe te wijzen aan de betreffende apparaten of door te forceren dat apparaten opnieuw synchroniseren met de Intune-service. Voor meer complexe problemen, zoals conflicterende beleidsregels of handmatige wijzigingen door gebruikers, kan het nodig zijn om het apparaat opnieuw te registreren of om aanvullende configuratiestappen uit te voeren via de Group Policy Management Console.
Na het uitvoeren van remediatieacties is het belangrijk om verificatie uit te voeren om te bevestigen dat de beveiligingsmaatregel daadwerkelijk is hersteld. Dit omvat het opnieuw uitvoeren van monitoringchecks, handmatige verificatie via WebRTC-leaktesttools, en het controleren van de Intune-compliance-rapporten. Het is aan te raden om een grace period in te stellen voor remediatie, bijvoorbeeld 24 tot 48 uur, waarbinnen apparaten de mogelijkheid krijgen om automatisch te synchroniseren voordat handmatige interventie wordt overwogen. Voor kritieke apparaten die direct moeten worden gecorrigeerd, zoals apparaten van gebruikers met verhoogde rechten of apparaten die worden gebruikt voor het verwerken van zeer gevoelige informatie, moet prioriteit worden gegeven aan snelle remediatie om het beveiligingsrisico te minimaliseren. Alle remediatieacties dienen te worden gedocumenteerd in het incidentmanagement-systeem, inclusief de oorzaak van het probleem, de genomen stappen en de verificatieresultaten, zodat lessen kunnen worden getrokken voor toekomstige implementaties en verbeteringen kunnen worden aangebracht in het beheerproces.
Compliance & Frameworks
- BIO: 11.03.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Edge: Restrict WebRTC IP Handling (Schakel uit UDP)
.DESCRIPTION
Implementeert, monitort en herstelt: Edge: Restrict WebRTC IP Handling (Schakel uit UDP)
.NOTES
Filename: webrtc-udp-disabled.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: edge
Category: security
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - Edge: Restrict WebRTC IP Handling (Schakel uit UDP)" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Edge: Restrict WebRTC IP Handling (Schakel uit UDP) - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor Edge: Restrict WebRTC IP Handling (Schakel uit UDP)
Write-Host "[INFO] Monitoring check voor Edge: Restrict WebRTC IP Handling (Schakel uit UDP)" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Edge: Restrict WebRTC IP Handling (Schakel uit UDP) - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor Edge: Restrict WebRTC IP Handling (Schakel uit UDP)
Write-Host "[INFO] Remediation voor Edge: Restrict WebRTC IP Handling (Schakel uit UDP)" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Gemiddeld risico: WebRTC kan VPN-beveiliging omzeilen waardoor het echte IP-adres wordt gelekt, wat leidt tot privacyrisico's en mogelijke schending van AVG-vereisten.
Management Samenvatting
Beperk WebRTC IP-handling door UDP-verbindingen uit te schakelen. Deze maatregel voorkomt IP-lekkage via VPN-verbindingen en beschermt de privacy van gebruikers. Er is sprake van een prestatie-afweging omdat TCP over het algemeen langzamer is dan UDP, maar dit is acceptabel gezien het beveiligingsvoordeel. De implementatie duurt ongeveer 2 tot 4 uur en kan worden geautomatiseerd via Microsoft Intune of Group Policy.
- Implementatietijd: 4 uur
- FTE required: 0.02 FTE