nieuws

Beveiligingstips voor een vaste internetverbinding

Archief

De aanschaf van een vaste internetverbinding (kabel- of ADSL-modem) biedt vele voordelen: 24 uur internet, 24 uur e-mail, altijd bereikbaar en altijd online. Maar men kan ook kiezen voor een eigen internetserver voor zijn website of misschien zelfs een eigen e-mailserver. Maar hoe zit het met de veiligheid en waar moet men dan op letten? Enkele beveiligingstips voor assurantiekantoren.

Uit navraag bij de techneuten van een aantal providers van internetverbindingen via kabel en ADSL (Asymmetric Digital Subscriber Line) blijkt dat de meeste internetproviders rechtstreekse toegang tot het internet bieden zonder enige bescherming. Er is alleen bescherming voor de bij de provider ondergebrachte websites en homepages, omdat deze op zijn computers staan. Een bijkomend probleem is dat verschillende netwerken van personen en bedrijven in een zelfde gebied toegang kunnen hebben tot elkaars computers en printers door de functie ‘delen bestanden en printers’.
Gegevensverlies
Ga er eens voor zitten en bereken hoeveel tijd er nodig is om bij totaal gegevensverlies de computer(s) opnieuw van een besturingssysteem te voorzien. Vergeet niet de stuurprogramma’s voor cd, beeld en geluid en het opnieuw installeren van de gebruikte software. Dit zijn nog de simpelste en makkelijkst herstelbare onderdelen die ‘slechts’ tijd in beslag nemen.
Maar de gegevens, de correspondentie en andere specifieke informatie die zelf gemaakt en verzameld zijn, is daar een complete back-up van? Heeft u al eens geprobeerd die informatie terug te zetten? Werkt dat wel en zijn dan echt alle gegevens weer terug? Zegt u ‘geen probleem, een ochtendje installeren en tien minuten om de back-up terug te zetten’, dan hoeft u niet meer verder te lezen. Of zit u nu met hartkloppingen en zweet op het voorhoofd achter in uw stoel? Het zal waarschijnlijk geen van beide zijn, maar enige ongerustheid waart toch door het achterhoofd. De basis
Een goede en recente virusscanner is noodzakelijk, ook zonder internetverbinding! Zorg ervoor dat er regelmatig een nieuwe versie van een antivirusprogramma op de computer(s) geïnstalleerd wordt, het liefst maandelijks of in het uiterste geval per kwartaal. Niets gaat zo snel als de ontwikkeling van virussen, een regelmatige update is van levensbelang. Een virusprogramma scant de computer ook op andere kwalijkheden zoals Trojaanse paarden en e-mailvirussen. De virusscanner houdt onheil van binnenuit tegen.
Firewall
Een firewall is ervoor bedoeld om onheil buiten het eigen netwerk (of computer) te houden. De analogie met een ouderwetse kasteelmuur om een dorpje gaat hierbij aardig op. De muur houdt onheil van buiten tegen. Alle verkeer gaat via één opening (de hoofdpoort), waar de kasteelheer naar believen controle kan laten uitvoeren.
Een firewall kan een aantal verschillende functies dienen: IP-adrescontrole; poortnummercontrole; inhoudcontrole; webfilter; NAT; Proxy; DMZ; logbestand; waarschuwing (E-mail). (Uitleg over deze onderdelen volgt verder in het artikel.) Het is moeilijk een beeld te vormen hoe een firewall er uitziet. Het kan een software-matige toepassing zijn maar ook een hardware-matige. De software-firewalls komt men voornamelijk bij privé- en kleine, zakelijke gebruikers tegen. De firewall-software draait dan op de werk-PC: of beter op een aparte PC die de buitenwereld van het eigen lokale netwerk scheidt.gebruikers tot en met de grote zakelijke netwerksystemen. Ook hier kan het een PC zijn die als taak heeft om als firewall op te treden of een toegepast apparaat dat alleen dienst doet als firewall.
IP-adres
Op het internet wordt het Internet Protocol-adres (IP-adres) gebruikt op dezelfde manier als in de ‘gewone’ post. Met de combinatie landcode/postcode komt een brief van waar ook ter wereld aan in de straat. Maar dan is de brief er nog niet, er is nog een aanvullend huisnummer nodig (het poortnummer) om ervoor te zorgen dat de brief in de juiste postbus terechtkomt.
Het IP-adres bestaat uit vier combinaties van cijfers (oplopend van 0 tot 255) gescheiden door punten. In de praktijk zul men bij het surfen op internet deze IP-adressen niet (direct) gebruiken. Men typt bijvoorbeeld in de browser gewoon het adres www.interplein.nl in en de computer zoekt het IP-adres van www.interplein.nl op en stuurt de aanvraag voor de gegevens naar 194.69.31.69 met als specificatie het poortnummer 80. Ter verduidelijking: 194.69.31.69 is het IP-adres van de webserver van Interplein en poort 80 houdt in dat het gaat om de aanvraag van een webpagina. De webserver zal nu de gevraagde pagina sturen. Een firewall zal altijd de inkomende informatie controleren op juiste IP-adressering. Alleen informatie voor het eigen IP-nummer wordt geaccepteerd. Een firewall kan, door middel van controle op de inhoud van de informatie, voorkomen dat specifieke of bedrijfsgevoelige informatie op internet terechtkomt. Dit betreft dan zowel verzendopdrachten vanuit eigen bedrijf als aanvragen vanaf het internet. Webfilter
Bij sommige firewalls kan opgegeven worden dat het bij bepaalde domeinnamen (of IP-adressen) niet toegestaan is om informatie bij op te vragen. Bijvoorbeeld domeinnamen met de tekst ‘sex’ of ‘porno’ erin. Het zou ook kunnen gaan om de domeinnaam van een concurrent. Op deze manier kun men voorkomen dat werknemers op ongewenste webpagina’s gaan bladeren.
In het geval van NAT (Network Address Translation) worden de verzend- en ontvangstadressen van een informatiepakket gecontroleerd. Het adres van een interne computer of server wordt vervangen door de firewall, zodat mensen van buitenaf geen zicht kunnen krijgen op de intern gebruikte adressering en er dan ook geen misbruik van kunnen maken.
Een Proxy (plaatsvervanger) kopieert de aanvraag. Op een tweede netwerkkaart wordt de aanvraag doorgestuurd, maar nu als zijnde op verzoek van de proxy. Een proxy wordt ook vaak gekoppeld aan een cache. (In een cache wordt een kopie van de door de gebruikers meest opgevraagde web-pagina’s bewaard.) De gegevens van een cache zijn makkelijker en vooral sneller toegankelijk. Eigen web- en e-mailservers kunnen niet binnen de firewall geplaatst worden, omdat ze vanaf buiten toegankelijk moeten blijven. Om de toepassingen niet geheel buiten de beschermende firewall te plaatsen, is er vaak een DMZ (De-Militarized Zone). Hier is een server beschikbaar voor toegang vanaf zowel het eigen lokale netwerk als vanaf het internet. Er is minimale bescherming tegen aanvallen vanaf het internet. Logbestand en waarschuwing
In de praktijk blijkt dat een firewall de eerste dagen met argusogen in de gaten gehouden wordt op eventuele problemen. Na enkele dagen neemt de aandacht snel af. Daarna wordt er nog zelden naar de firewall gekeken. Daarom is het handig dat de firewall zelf in staat is om logbestanden bij te houden met daarin alle belangrijke systeemmeldingen.
Een aantal firewalls kan ook geprogrammeerd worden om een waarschuwingsmelding te geven op een voorgeprogrammeerd e-mailadres. De eigenaar of systeembeheerder van een netwerk kan daar dan direct actie op nemen. Een aantal firewalls heeft daarbij nog de extra mogelijkheid om de eigenaar een melding te geven wanneer er nieuwe software of bijgewerkte bestanden beschikbaar zijn. Eén aansluiting
Door de proxy-functie die sommige firewalls bieden, is het mogelijk om bij slechts één kabel- of ADSL-verbindingen (ook toepasbaar op ISDN of modem), toch op meerdere computers toegang te hebben tot het internet. De beslissende communicatiefactor is het universele TCP- of IP-protocol. De proxy (firewall) zorgt ervoor dat de verschillende interne adressen omgezet worden naar één adres voor de buitenwereld. De kabel- of ADSL- internetprovider zal dan ook slechts één computer zien op de aansluiting.
Als men vanaf een standalone computer werkt, is het goed mogelijk om een software-matige firewall toe te passen. Er zijn verschillende pakketten die met elkaar gecombineerd de gewenste beveiliging opleveren. Denk hierbij aan software als MacAfee Firewall, Zonealert, Lockdown 2000. Voordeel van deze oplossing is dat het makkelijk te installeren is. Nadeel is dat mogelijk niet alle opties die in dit artikel genoemd zijn gerealiseerd kunnen worden door één softwarepakket en er meerdere pakketten tegelijk gebruikt moeten worden. Dit kan softwareconflicten opleveren en de snelheid van de computer afremmen. Op het moment dat er meerdere computers zijn en de beschikbare internetverbinding met meerdere computers gedeeld moet worden, dan is het zinnig om een computer als ‘toegewijde firewall’ aan te wijzen. Deze computer zal dan als beschermende koppeling optreden tussen het netwerk en het internet. Voordeel is dat hiervoor vaak een iets oudere computer gebruikt kan worden. Nadeel is dat er enige expertise nodig is. Het is de overweging meer dan waard om te denken aan een hardware-firewall die geoptimaliseerd is voor dit doeleinde.

Reageer op dit artikel