Wanneer ik 's ochtends de krant opensla zie ik soms grote gelijkenissen tussen de beveiliging van computers en de "gewone wereld" op straat. Zo heb ik vaak de beveiliging van een computer die wordt aangesloten op het internet vergeleken met de beveiliging van een fiets waar je mee de straat op gaat.
De overeenkomst is dat je fiets altijd gestolen kan worden. Je zorgt er alleen voor dat de potentiële dief er zo lang mogelijk over doet. Eigenlijk weet je dus alleen zeker dat je fiets altijd gestolen kan worden als je hem onbeheerd achter laat. Dat dit ook geldt voor je computer mag geen verrassing zijn.
Door Raymond P.L. Comvalius
Thuis
Thuis doen we van alles om verrassingen vanaf het internet te voorkomen: firewalls, antivirussoftware, anti-spyware programma's. Daarmee is de lijst nog lang niet compleet. Maar een begin is gemaakt. De echte doorzetters werken dagelijks met een account zonder beheerrechten op de computer. Zo wordt het per ongeluk installeren van spyware en andere schadelijke software zo goed als onmogelijk. Aaron Margosis van Microsoft heeft hiervan zijn missie gemaakt en heeft eigen tools en een website gewijd aan dit onderwerp. Mocht je plannen hebben om het allemaal veiliger te doen, dan kan ik je zeker een bezoekje aan zijn weblog (US) aanraden.
Bedrijfsnetwerk
Binnen het bedrijfsnetwerk hebben we de bedreigingen vanuit het internet over het algemeen wel aardig voor elkaar. Tenminste als ik die paar beheerders niet meetel die nog steeds vinden dat uitgaand netwerkverkeer naar internet onbeperkt en ongecontroleerd mogelijk moet zijn. Ik denk niet dat het er nog veel zijn.
De Nederlandse ISP's zijn sinds de uitbraak van diverse mailende virussen en wormen vrij snel met het afsluiten van de verbinding. Dan mag je als beheerder flink zweten totdat de problemen intern zijn opgelost. Na twee uitbraken vindt de baas het meestal wel genoeg en moeten toch alle medewerkers in het gareel en wordt door de systeembeheerder bepaald welk verkeer naar buiten toe mogelijk wordt. Daarmee eindigt vaak ook de verzamelwoede van menig collega die net aardig op weg was zijn muziek- en filmcollectie up-to-date te houden.
De ultieme nachtmerrie wordt pas realiteit wanneer blijkt dat het kwaad niet meer van buiten komt, maar van binnenuit. Dat veilige interne netwerk waar je altijd alle systemen kon vertrouwen blijkt opeens een bron van het kwaad te bevatten. Iets op het netwerk is bezig de netwerkcapaciteit op te souperen, je bedrijfsdata naar buiten te sturen, de creditcardinformatie te verzamelen of de wachtwoorden van alle gebruikers op te pikken en weg te sturen naar een plek waar we nooit zullen komen.
Een moderne systeembeheerder moet tegenwoordig maximaal paranoia zijn. Hij of zij mag echt niets of niemand meer onvoorwaardelijk vertrouwen. Daar is inmiddels een mooie oplossing voor gevonden: "IPSec for domain isolation" ofwel "ik praat pas met je als ik je ID heb gezien". En dat op IP-niveau. Dus systemen die niet bekend zijn op je netwerk kunnen over IP niet meer communiceren met systemen waarvan jij hebt bepaalt dat ze met IPSec moeten worden afgeschermd.
Veel beter kun je het vandaag de dag niet krijgen. Alleen wat doe je als het kwaad niet is geïnteresseerd in je informatie, maar je systemen gewoon wil uitschakelen? Als een kwade genius met duistere principes gewoon de digitale variant van de zelfmoordterrorist het netwerk instuurt die zichzelf opblaast met je systemen erbij?
Ik denk dat ik de krant maar weer ga lezen...
Meer informatie over IPSec for domain isolation (US)