Meetbeleid Basisbeveiliging.nl

Basisbeveiliging meet en publiceert alle metingen rondom online veiligheid dat verantwoord is om te publiceren, meer daarover staat in het publicatiebeleid. Daarnaast gebruiken we de afwegingen in onze code of conduct om te bepalen welke metingen worden toegevoegd.

In dit artikel staat welke metingen worden gedaan rondom welke technieken. Een volledige lijst hiervan, met referenties, staat onder het kopje “overzicht van alle metingen”.

Dit meetbeleid is altijd in ontwikkeling en speelt in op nieuwe ontwikkelingen. Op dit meetbeleid zijn een aantal uitzonderingen, deze worden omschreven in de uitzonderingen op het meetbeleid.

Lees onze disclaimer voor het gebruik van de meetgegevens. Bij vragen, neem contact op met info@internetcleanup.foundation.

In dit artikel staat:

  • Informatie over de actualiteit van metingen
  • Hoe metingen over tijd strenger worden gewaardeerd (roadmap)
  • Een overzicht van alle afzonderlijke metingen
    • Inclusief links daar documentatie en test-tools

Actualiteit van de metingen

Metingen worden dagelijks tot wekelijks uitgevoerd, dit hangt af van de complexiteit en intensiteit van de metingen. Een enkele inventarisatiemeting wordt eens per half jaar uitgevoerd omdat deze luidruchtig is, de herhalingsmeting hiervan vindt dan wel plaats eens per week.

Door de meetfrequentie is data in de rapporten gebruikelijk nooit ouder dan een week. Als dat wel zo is dan is er iets bijzonders aan de hand. Wij werken nog aan functionaliteit dat metingen ouder dan twee maanden nooit in de rapporten verschijnt, en deze duur te verkorten naar hoogstens een maand.

Het is altijd te zien hoe oud een meting is in de detailrapportage. Dit staat bij iedere meting onderaan de meting. Zo zie je in het voorbeeld hieronder dat de meting sinds 22 dagen hetzelfde is en dat de laatste meting 1 dag geleden heeft plaatsgevonden.

Laatste meting van 2 dagen geleden, dit staat onderaan op de afbeelding.

Daarnaast is op iedere kaart de datakwaliteit van de kaart in te zien. In dat overzicht is te zien welke metingen worden uitgevoerd en hoeveel hiervan up to data / verouderd zijn. In dit overzicht worden metingen ouder dan 7 dagen gezien als verouderd. Dit is ook in het voorbeeld hieronder te zien.

De datakwaliteit zit onder het bolletje linksboven op de kaart. Dit bolletje kleurt mee afhankelijk van de kwaliteit. Als deze op oranje of rood staat is er dus iets aan de hand. Gebruikelijk staat deze op een groen bolletje. Als alles up to date is staat hier een regenboog.

Hier is te zien welke metingen wel en niet zijn bijgewerkt. Gebruikelijk staat hier alles op groen. In het screenshot is te zien dat de kwaliteit 90.29% was, met 11899 verouderde metingen. Een bepaalde scanner heeft niet gemeten, waardoor deze afwijking is ontstaat.

Roadmap van strenger wordende metingen

Na verloop van tijd wordt er strenger gecontroleerd. Zo zijn sommige bevindingen nu nog groen of oranje, maar worden deze in de toekomst rood.

Een nieuwe meting wordt vaak als oranje of groen geintroduceerd zodat men hier aan kan wennen en kan handelen voordat deze op rood staat.

De roadmap hiervan is nog gefragmenteerd en niet opgesteld. Bij de introductie van afzonderlijke metingen wordt hier vaak e.e.a. over gezegd. Deze informatie wordt nog verzameld.

Overzicht van alle metingen

Hier staat een overzicht van alle metingen, beoordelingen, documentatie en tooling om zelf te kunnen meten. Wanneer dit allemaal juist wordt toegepast wordt de organisatie groen op de kaart gezet.

Wanneer een organisatie haar online dienstverlening bijhoudt en doet aan minimalisatie hiervan is het niet al te lastig om op oranje of zelfs groen te komen.

Veilige domeinnaam (DNSSEC)

Meer documentatie
# level: url
dnssec

TLS op Website (HTTPS)

Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Site zonder versleuteling (HTTPS)

Meer documentatie
# level: endpoint
plain_http

Bestandsoverdracht (FTP)

  • Doel: Toepassen van versleuteling
  • Zwaarste beoordeling:Rood
  • Gemeten met: Eigen scanner
  • Documentatie: Wikipedia
  • Na te meten op o.a.: ftptest.net
Meer documentatie
# level: endpoint
ftp

Software versieinformatie (Banners)

  • Doel: weghalen van versie-informatie want dat is alleen handig voor aanvallers
  • Zwaarste beoordeling:Rood
  • Gemeten met: nmap
  • Documentatie: Wikipedia, nmap
  • Na te meten op o.a.: ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-mail veiligheid (STARTTLS, DMARC, DKIM, SPF)

Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Login Portals

  • Doel: Geen wereldwijde en publieke functionaliteit bieden die bedoeld is voor een kleine groep mensen, met name om beheerdersfunctionaliteit af te schermen.
  • Zwaarste beoordeling: Rood
  • Gemeten met: Nuclei
  • Documentatie: Wikpedia
  • Na te meten op o.a.: bekijk de links in de bevindingen. Staat hier een login-portal? Dan is de bevinding nog steeds geldig. Deze portals staan op een speciale pagina genaamd Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Tracking Cookie zonder toestemming

  • Doel: Tracking cookies mogen nooit zonder toestemming worden geplaatst. Door dit inzichtelijk te maken kunnen bouwers van websites deze cookies verwijderen.
  • Zwaarste beoordeling: Oranje, Rood vanaf januari 2024.
  • Gemeten met: Eigen scanner obv Playwright
  • Documentatie: tbd
  • Na te meten op: tbd
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consent

Eigenaar van het internetadres (WHOIS)

  • Doel: Administratie van domein op orde krijgen. Een buitenstaander kan controleren dat de site van de juiste organisatie is bij SIDN.
  • Zwaarste beoordeling: Oranje
  • Gemeten met: Eigen scanner
  • Documentatie: SIDN, Wikipedia, OpenCRE
  • Na te meten op o.a.: SIDN
Meer documentatie
# level: url
whois_domain_ownership

Veilige verbinding volgens NCSC-NL eisen (TLS)

Meer documentatie
# level: endpoint
internet_nl_web_tls

Security.txt

Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Vertrouwen in de routing van het internetverkeer (RPKI)

  • Doel: Zekerheid dat internetverkeer via de juiste weg gaat
  • Zwaarste beoordeling:Oranje
  • Gemeten met: internet.nl
  • Documentatie: Wikipedia
  • Na te meten op o.a.: internet.nl, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_exists

HSTS header

  • Doel: Afdwingen van versleuteling op websites zolang browsers dat niet doen
  • Zwaarste beoordeling:Oranje
  • Gemeten met: Eigen scanner
  • Documentatie: MDN, Wikipedia, Wet Digitale Overheid
  • Na te meten op o.a.: securityheaders.com, internet.nl
  • Let op: includesubdomains en preload wordt genegeerd, voor het geval dat preload niet is bijgewerkt en een bezoeker landt op een subdomein zonder HSTS header.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_security

Websitebezoek respecteert privacy

Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Overbodige dienstverlening (open poorten)

  • Doel: Het minimaliseren van online dienstverlening. Het publieke internet hoeft alleen diensten te bevatten die voor iedereen wereldwijd beschikbaar horen te zijn.
  • Zwaarste beoordeling:Oranje
  • Gemeten met: Nmap
  • Documentatie: Wikipedia (open poorten)
Meer documentatie
# level: endpoint
ports

STARTTLS Aanwezigheid (e-mail)

  • Doel: het als afzender versleuteld een e-mail kunnen sturen naar de mailserver.
  • Zwaarste beoordeling:Oranje
  • Gemeten met: internet.nl
  • Documentatie: internet.nl
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_available

E-mail versleuteling volgens eisen NCSC

  • Doel: het als afzender versleuteld een e-mail kunnen sturen naar de mailserver.
  • Zwaarste beoordeling:Oranje
  • Gemeten met: internet.nl
  • Documentatie: internet.nl
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tls

Locatie van server (IP Geolocatie)

Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_content

Overige Website headers (X-Frame-Options etc)

Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)