Veilig het internet op

3
128

Als u in uw organisatie, school of bedrijf beslist om een of andere dienst via Internet ter beschikking te stellen, zet u dan daarmee een deur voor hackers wijdopen om met uw bedrijfspc’s te doen wat ze maar willen? Het allerbelangrijkste is dat u beseft dat geen enkele toegangspoort ooit volledig veilig is. Maar met de informatie in deze minicursus kunt u er toch voor zorgen dat de beveiliging die u kiest optimaal is afgestemd op het gebruik dat u van het internet maakt. Net zomin als iedere deur in uw huis een inbreker uitnodigt om in te breken, zal niet iedere dienst die u aanbiedt op het Internet een hacker uitnodigen daar misbruik van te maken. En net zoals u een minimum aan maatregelen zult moeten nemen om inbrekers de toegang tot uw huis te ontzeggen, zo zult u ook aan een aantal minimumvoorwaarden moeten voldoen om te zorgen dat hackers niet in uw bedrijfsnetwerk kunnen doen wat ze maar willen.
internet
Het allerbelangrijkste is dat u beseft dat geen enkele toegangspoort ooit volledig veilig is. U kunt geen slot voor uw voordeur vinden of er bestaat wel een inbreker die het kan kraken en deze analogie gaat ook op voor computers. Van het moment dat u een toegang tot een of meer van uw servers via een publieke netwerk zoals Internet ter beschikking stelt, kunt u niet voorkomen dat een hacker zou proberen zich onrechtmatig toegang te verschaffen tot uw bedrijfsnetwerk. U kunt er wel voor zorgen dat de toegangspoort niet tot teveel diensten toegang verschaft, en ook dat het een hacker zoveel mogelijk werk en tijd zou kosten om door uw beveiliging heen te breken.

Publiek of niet
De allerbelangrijkste vraag als u beslist een of meer diensten via Internet ter beschikking te stellen is deze: wat mag publiek zijn en wat niet? Die vraag beantwoorden is lang niet zo makkelijk als u wellicht denkt. U mag er namelijk vanuit gaan dat alles wat niet van het publieke netwerk gescheiden is, in principe bereikbaar is (eventueel na een hele hoop werk en tijd) door hackers. U stipuleert dus best een gulden regel en zorgt ervoor dat iedereen in uw bedrijf en uzelf inbegrepen zich daaraan houdt. Die gulden regel is: alleen nauwkeurig omschreven publieke diensten zijn ook publiek en al de rest beslist niet. Wat blijkt namelijk? Maar al te vaak worden veel meer diensten publiek te grabbel gegooid dan nodig is.

Poortenscanner
Wij zien dat elke dag op Internet. Met behulp van een zogenaamde poortenscanner kunnen we van een willekeurige server op Internet opvragen welke diensten hij allemaal aanbiedt. En wat blijkt? Vooral Windows NT servers bieden een hele waslijst diensten aan, veel meer dan nodig voor de taak die de server eigenlijk op Internet moet vervullen. Microsoft dacht waarschijnlijk het de gebruikers makkelijk te maken door bij de installatie van de Internetdiensten op Windows NT zoveel mogelijk van die diensten te activeren. Dat is misschien wel zo, maar het heeft zware gevolgen voor de beveiliging. Elke dienst die beschikbaar is, is een mogelijke toegangspoort voor een hacker. En elk loginscherm dat vraagt om een naam en wachtwoord is een slot dat gekraakt kan worden. Doe uzelf dus een plezier en schakel alle Internetdiensten uit die u niet beslist nodig heeft (of vraag uw systeembeheerder dit te doen). Elke dienst die nodeloos blijft openstaan is immers een gapend gat voor een hacker. Die gulden regel over wat publiek moet zijn of niet geldt ook voor uw netwerk: als uw hele netwerk bereikbaar is vanaf een webserver die vanaf Internet toegankelijk is, dan vraagt u toch gewoon om moeilijkheden?

Strikte scheiding
Zorg dus dat u het bedrijfsnetwerk strikt scheidt van het publieke netwerk. Een Internetserver heeft dus per definitie geen toegang tot het bedrijfsnetwerk, tenzij via nauwkeurig vastgelegde paden. Zo kan het bijvoorbeeld nodig zijn dat een webserver gebruikt maakt van een database, bijvoorbeeld als u uw prijslijst en artikelenvoorraad via Internet wil laten raadplegen door uw klanten. Dan zorgt u uiteraard dat deze specifieke database strikt gescheiden is van uw normale voorraadbeheer en boekhouddiensten. Indien uw webserver toegang heeft tot uw voorraadbeheer, kan ook een hacker zich daar toegang toe verschaffen. Het internet noemen we de onveilige zone, ons interne netwerk is de veilige zone als dat absoluut niet bereikbaar is vanaf het internet. De servers die wel bereikbaar moeten zijn vanaf het internet, zetten we in een speciale zone: de DMZ of ‘DeMilitarized Zone’ (gedemilitariseerde zone). Moderne firewallsystemen kunnen daar standaard mee overweg: ze hebben dan drie netwerkaansluitingen voor de drie zones.

internet = FW = LAN || DMZ

Ook met een firewall die maar twee zones kent (veilig en onveilig) kunt u de drie zones zelf creëren door twee firewalls te gebruiken. De eerste laat de gewenste diensten door naar het internet en zijn ‘veilige’ zone is daarmee dan onze DMZ. Voor de tweede firewall is zijn ‘onveilige’ zone de ‘veilige’ van de eerste firewall en de ‘veilige’ zone van de tweede firewall is uiteindelijk voor ons interne netwerk.

internet = FW1 = DMZ = FW2 = LAN

Hierbij stelt u firewall FW2 in zodat er geen informatie vanuit het LAN naar de DMZ mag, wel omgekeerd. En FW1 laat alleen de gewenste internetserverdiensten zoals http, ftp, smtp en dns door vanuit de DMZ naar het internet, maar niets anders.

Niet scheiden doet lijden
Er zijn uiteraard heel wat methodes om uw Internetservers te beveiligen. De meeste daarvan zijn samen te vatten onder de noemer “firewallsystemen” (lees ook: Firewalls, het probleem of de oplossing?). Het is heel makkelijk om hierbij uw gulden regel te vergeten, vooral omdat de leveranciers van dergelijke Internetbeveiligingen niet schromen om de indruk te wekken dat niemand op uw netwerk kan inbreken als u maar hun product gebruikt. Een hacker kan maar inbreken als er een toegangspoort op Internet beschikbaar is, dus ligt het voor de hand het aantal toegangspoorten te minimaliseren. Een hacker kan via een toegangspoort maar zover komen als u het hem mogelijk maakt. Let wel: we schrijven hier niet “als u het hem toelaat”! Ook al denkt u van niet, in principe laat u alles toe wat maar technisch mogelijk is. Vandaar dat we in deze tekst nogal zwaar de nadruk leggen op het strikt scheiden van wat publiek is en wat niet. Sommige scheidingsmethoden kunnen eenvoudig zijn. Zo zou u gebruik kunnen maken van netwerkprotocollen die niet routeerbaar zijn om bepaalde zaken te regelen. Een voorbeeld is NetBEUI of NetBIOS (ook wel bekend als SMB): u zou vanuit een webservercomputer een database op een andere server kunnen raadplegen via NetBEUI (meer informatie over netwerken en protocollen vindt u in onze basicursus netwerkwerken). Let wel: alleen deze pure vorm is niet routeerbaar en dus veilig tegen inbreken vanaf het Internet. Er bestaat namelijk ook NetBIOS over TCP/IP (en Windows heeft met uitzondering van Windows XP deze vorm standaard altijd actief!) en deze is niét veilig want bereikbaar via Internet.

Firewalls
Overigens kunt u natuurlijk ook strikte scheidingen doorvoeren met behulp van een volledig TCP/IP-netwerk. Dat moet met behulp van firewallsystemen. Die filteren TCP/IP-netwerkpakketten: ze worden doorgelaten of geweigerd. Een goede beveiliging begint met alles te weigeren en dan één voor één toe te laten wat absoluut nodig is. Een voorbeeld van een goede beveiliging: als uw webserver een database op een andere server moet raadplegen, zorg er dan voor dat die database alleen door IP-adressen van het interne netwerk (of zelfs van een beperkt aantal machines) geraadpleegd kan worden. Een hacker buiten uw bedrijf zou op die manier geen toegang kunnen krijgen tot zo’n database.

Interne keuken
Helaas bestaan er ook beveiligingsproblemen binnen een bedrijf. Werknemers die over wat dan ook gebelgd zijn zouden servers in het bedrijf kunnen hacken om wraak te nemen of om te bekomen waar zij menen recht op te hebben. U zou eigenlijk een even strikte beveiliging voor uw bedrijfsnetwerk moeten toepassen, zodat mensen alleen toegang kunnen krijgen waar ze toegang toe moeten hebben. U zou in elk geval altijd beducht moeten zijn voor de beruchte achterpoortjes. Die worden soms met de allerbeste bedoelingen aangebracht, daar niet van. Helaas vormen ze wel hét middel bij uitstek voor hackers om zich van binnen of buiten het bedrijf toegang te verschaffen tot uw bedrijfsnetwerk. Die achterpoortjes worden het vaakst voorzien door netwerkbeheerders, om ook vanaf andere locaties snel dingen te kunnen regelen. Meestal doet men dat door telnet- en ftp-diensten te voorzien, maar we kennen ook gevallen waarbij een heel Windows-netwerk via het Internet bereikbaar is als men maar het goede wachtwoord kent. Het zal duidelijk zijn dat hackers en crackers u breed grijzend dankbaar zullen zijn als ze naar een manier zoeken om op uw systemen in te breken. Ook hier is dus de gulden regel: liefst geen achterpoortjes voorzien, of tenminste zorgen dat ze maar werken met een zeer beperkt aantal op voorhand nauwkeurig vastgelegde IP-adressen.

Vorig artikelBeveiliging van online services
Volgend artikelNat pakje

3 REACTIES

Reacties zijn gesloten.