Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering

TidBITS#468/22-Feb-99

Wanneer je denkt dat je de voorkeur geeft aan het blootsvoets over hete kolen lopen boven het installeren van een firewall voor je intranet of Internet verbinding, raden we je deze week aan om je schoenen aan te houden en het artikel over firewall veiligheid van Chris Pepper te lezen (en waarom je hier zelfs belang in zou moeten stellen wanneer je geen systeembeheerder bent). Verder kijkt Adam naar de voor- en nadeling van de terugkeer van de Macworld Expo naar New York in juli, en we constateren dat Palm Computing twee nieuwe apparaten uitgegeven heeft en Alco Blom versie 1.2 van Web Confidential het licht heeft laten zien.

Onderwerpen:

Copyright 1999 TidBITS Electronic Publishing. All rights reserved.
Information: <[email protected]> Comments: <[email protected]>

Je kunt je gratis abonneren op de Nederlandse afleveringen van TidBITS door een (blanco) mailtje te sturen naar: [email protected]. Je krijgt deze dan per e-mail toegestuurd.
Om je abonnement op te zeggen, kun je een mailtje sturen naar: [email protected].

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de USA.

Deze editie van TidBITS werd gedeeltelijk gesponsord door:

Dit nummer werd uit het Engels vertaald door:

Verder werkten mee:

MailBITS/22-Feb-99

Vertaling: [Tess].

Vacatures in TidBITS? We hebben vele verhalen gehoord van mensen die hun kennis, verkregen door het lezen van TidBITS, hebben gebruikt voor het bemachigen van een baan. TidBITS sponsor Dantz Development gaat nu eeen stap verder en plaatst zelfs vacatures - zie het sponsor-katern hierboven. Hoe denk je over vacatures in TidBITS? Zouden ze bruikbaar zijn bij het vinden van een baan? Zou jouw bedrijf geïnteresseerd zijn in het publiceren van vacatures? Laat ons weten wat je ervan vindt in TidBITS Talk, en als er voldoende interesse is zullen we gaan nadenken over het plaatsen van meer vacatures in de toekomst. [ACE]

<http://db.tidbits.com/getbits.acgi?tlkthrd=601>

Nieuwe Palm Handhelds Uitgebracht -- Palm Computing heeft twee nieuwe handhelds onthuld, de Palm IIIx en Palm V, nu beschikbaar. De Palm IIIx ($370) behoudt de Palm III's gecurveerde vormgeving maar bevat 4 MB RAM (plus 2 MB flash ROM), een sterk verbeterd beeldscherm met beter contrast en leesbaarheid en een interne poort voor eventuele geheugenuitbreiding of add-ons zoals pagerkaarten. De Palm V ($450), bedoeld voor stijlbewuste gebruikers komt in een smallere, dunnere geanodiseerde aluminiumdoos en bevat het verbeterde beeldscherm, software-based contrast control, 2 MB RAM (plus 2 MB flash ROM), ingebouwde lithium-ion batterijen en twee stylus silo's voor aanpassing aan links- en rechtshandig gebruik. [JLC]

<http://www.palm.com/products/palmiiix/>
<http://www.palm.com/products/palmv/>

Web Confidential 1.2 Voegt Contextuele Menu Support Toe -- Alco Blom heeft versie 1.2 van Web Confidential uitgebracht, zijn $35 shareware utility voor het gedegen opslaan van vertrouwelijke informatie met gebruik van 448-bit encryptie (zie "Web Confidential: Alle Soorten Informatie Beveiligen" in TidBITS-441). Versie 1.2 voegt een aantal voorkeuren toe met betrekking tot het automatisch opslaan, bevestigen van verwijderingen en het sorteren van invoer. Het bevat ook een Contextuele Menu Manager (CMM) plug-in, die informatie-invoer in Web Confidential vergemakkelijkt voor gebruikers van Mac OS 8.0 of hoger. Installeer eerst de plug-in (en Apple Data Detectors, die contextuele menu's in elke toepassing toestaan), control-click vervolgens de geselecteerde tekst en kies een menu-item om de geselecteerde tekst in een van de velden van een Web Confidential kaart over te zetten. Versie 1.2 is gratis voor geregistreerde gebruikers en is een 424K download. [ACE]

<http://www.web-confidential.com/>
<http://db.tidbits.com/getbits.acgi?tbart=05020>
<http://www.apple.com/applescript/data_detectors/>

Volg de Stuiterende Expo

door Adam C. Engst <[email protected]>. Vertaling: [DPF].

Vorige week kondigde IDG Expo Management aan dat de Macworld Expo, die gepland was voor Boston in augustus 1999, in plaats daarvan weer gehouden zal worden in het Jacob Javits Convention Center in New York City, van 21-Juli-99 tot en met 23-Juli-99. Het persbericht ging vergezeld van de kennelijk noodzakelijke platitudes over waarom de show terug zou moeten keren naar New York, maar de situatie is niet zo simpel als in dat persbericht gesuggereerd wordt. Laten we eens kijken naar twee kanten van deze verhuizing vanuit het gezichtspunt van iemand die niet in de buurt van één van beide steden woont.

<http://www.macworldexpo.com/mwny99/media/frame_move.html>
<http://db.tidbits.com/getbits.acgi?tbart=04979>

Punt voor Boston -- Ik zou in principe de voorkeur geven aan de Macworld Expo in Boston, omdat op het niveau van steden ik van Boston houd, in het bijzonder omdat ik voetganger ben. Boston is een relatief kleine stad, en je kunt bijna alles lopend bereiken, in tegenstelling tot New York, waar taxi's vaak noodzakelijk zijn. De automobilisten in Boston zijn misschien getikt, maar in de laatste paar jaar lijkt het erop dat de voetgangers tot tweede-rangs doelwit zijn verworden (een auto inhalen schijnt nu belangrijker te zijn dan het voetverkeer te laten schrikken).

In Boston lijkt iedereen te weten wat er aan de hand is. Obers in restaurants, het personeel van het hotel en de forenzen in de metro willen allemaal over de show praten. New Yorkers lijkt het vooral niet op te vallen - zelfs in het Paramount, wat het officiële hotel van de show was, wist het personeel niet van het bestaan van de show af of probeerden ze zo cool te zijn dat het niemand zou opvallen dat ze het wél wisten.

Alhoewel niemand Boston goedkoop zou noemen, verslaat de stad op dit punt New York wel. Het is mogelijk om New York goedkoop te houden, maar New York is zo veel groter dan Boston dat het voor veel bezoekers te moeilijk is om goedkope plekken te vinden voor eten en overnachtingen, of om hun weg te vinden in het vervoer.

Dankzij de hoge kosten, hebben veel Mac-bedrijven de Macworld New York vorig jaar voorbij laten gaan omdat het een slecht jaar was voor de Macintosh-industrie, en het is niet ondenkbeeldig dat dat opnieuw gebeurt. Het zou kunnen zijn dat een stand op de show voor kleine bedrijven niet te betalen is, door de hoge kosten van het huisvesten en voeden van je personeel.

New York is Uniek -- Aan de andere kant zijn er ook redenen waarom New York een betere locatie is voor de Macworld Expo. New York is een knooppunt van de media. Ondanks het feit dat de stad de Macworld Expo niet opmerkt is het waarschijnlijker dat Apple, de Macintosh en de Macworld Expo veel media-aandacht zullen krijgen in New York. Steve Jobs is gek op aandacht van de media, in het bijzonder omdat het in het geval van de Expo bijna altijd om positieve aandacht gaat. Bovendien is het voor vertegenwoordigers van bedrijven makkelijker om met uitgaven als de New York Times en de Wall Street Journal te spreken in New York, zodat de locatie waarschijnlijk extra aandacht voor Mac-bedrijven betekent.

Voor New York spreekt ook het aspect van ruimte. Het World Trade Center van Boston alléén kan de Macworld Expo niet aan. Gelukkig is er wel meer ruimte beschikbaar in een hotel-complex daarnaast. De enorme hallen van het Javits Convention Center van New York echter hebben veel meer ruimte. Nu de Mac-industrie weer aan een opmars bezig is, is het heel goed mogelijk dat er meer tentoonstellingsruimte nodig is.

Als laatste is New York een veel drukkere stad, waardoor er waarschijnlijk ook meer mensen op de Expo af zullen komen. Alhoewel vorig jaar de hoeveelheid mensen die zich van tevoren voor de Expo registreerden relatief laag was, werd er wel gezegd dat er heel veel publiek was 'dat gewoon even binnen kwam lopen'. Nog afgezien van het feit dat deze mensen meer betalen -wat weer in hogere winsten resulteert- zou het wel eens kunnen betekenen dat het dit jaar drukker zal zijn.

Het Woord van Jobs is Wet -- Er doen geruchten de ronde dat de verhuizing een beslissing van Steve Jobs geweest is, maar houd hier wel bij in gedachten dat je een plek als het Javits Convention Center een jaar van tevoren moet boeken. Het is mogelijk dat het IDG Expo Management vorig jaar een optie heeft genomen op een opengebleven plek, vervolgens voor Boston koos toen het geen gegarandeerde plek voor dit jaar konden krijgen en snel heeft gehandeld toen deze mogelijkheid zich voordeed.

Het houden van de Macworld Expo in New York mag dus zakelijk gezien beter zijn dan Boston, door een groter publiek, bereikbaarheid van de media en een locatie dichtbij de kantoren in New York. Desalniettemin fungeren dergelijke gelegenheden ook als een soort reünie en voor het leggen van contacten, en voor dat doel denk ik dat het kleinere, vriendelijkere, eenvoudigere Boston beter werkt voor de duizenden die ieder jaar de Expo bezoeken.

Wat is een Firewall (Brandmuur), Waarom is dat Belangrijk voor je?

door Chris Pepper <[email protected]>. Vertaling: [MSH], [LmR], [SL], [JS] & [IdM].

Een van de beste dingen van het Internet - een nalatenschap van zijn opvoedkundige historie - is, dat het ons in staat stelt informatie te delen met mensen over de hele aardbol. Een andere prachtige mogelijkheid -een nalatenschap van zijn Unix-oorsprong - is, dat het ons toegang verschaft tot Web pages, e-mail accounts, spelletjes, bedrijfsinfo en meer, vanaf iedere op juiste wijze aangesloten computer.

Natuurlijk zijn er nadelen. Een van de grootste problemen bij het delen van informatie met mensen die je nooit ontmoet hebt is dat sommigen niet aardig zijn.Internet kan je in aanraking brengen met fascinerende lui, maar kan je ook kennis doen maken met mensen die je liever zou vermijden - spammers, asociale hackers en virusmakers.

Het is prima dat je naar een computer-koffietent, een computerlaboratorium of een copieerinrichting kunt gaan om je particuliere e-mail te controleren. Maar mensen die je niet kent zouden nu boven hun eigen koffie kunnen zitten en trachten je creditcard-nummers, particuliere bescheiden of bedrijfsgegevens te bemachtigen. Duidelijk is het dat mensen Internet kunnen gebruiken vanaf ieder plek op aarde, maar hoe zit het met veiligheidskwesties? Hoe onderscheid je een werker in een koffieshop en een concurrent aan het volgende tafeltje?

Firewalls zijn een van de meest effectieve manieren om gevoelige data en servers te beschermen tegen hackers. Al zijn firewalls niet wetenschappelijk superieur - ondanks wat veel deskundigen je zouden willen doen geloven-, simpel zijn ze evenmin. Dit artikel zal je laten zien hoe firewalls werken en waarom ze van belang zijn en geeft een leidraad voor je eigen gedachten over firewalls. Aangenomen wordt dat je op de hoogte bent van de grondbeginselen van hoe Internet werkt, het legt echter sommige details kort uit. Heb je een full-time of een verbinding met meerdere machines met Internet, dan zou je een firewall moeten overwegen, maar in het algemeen zijn ze voor individuele gebruikers die geen server-software bezigen niet nodig.

Intranet --Enkele jaren geleden waren de meeste netwerken binnen in gebouwen - local area networks, of LAN's. Sommige bedrijven verbonden hun LAN's met dure opbel-links, ze maakten wide area networks, of WAN's. In beide gevallen diende je ter plekke te zijn voor gebruik van de bedrijfsservers. Een dergelijke veiligheid is uiterst effectief - er zijn wetten tegen onbevoegd binnentreden en het is nogal makkelijk om echte medewerkers te herkennen. Anderzijds, eenieder die een AOL chat room of IRC channel heeft bezocht, weet dat identiteit online gecompliceerder is. Probleem voor netwerkbeheerders is toegang verschaffen aan legitieme gebruikers en outsiders te weren.

Het Intranet-concept is een poging om iets van de controle te herwinnen die verloren ging in onze tijd van ruim verkrijgbare toegang tot Internet-connecties. In wezen is een intranet alles aan de binnenkant van de Internet verbinding - wat zou een LAN of WAN zijn als de Internet verbinding zou worden verbroken! In het algemeen hebben gebruikers van het Intranet meer toegang dan buitenstaanders - tenslotte zijn ze het gebouw binnengekomen, voorbij bewakers, sloten en medewerkers. Mensen aan de andere kant van de Internet-verbinding hebben minder toegang - genoeg dat ze hun werk kunnen doen, maar niet genoeg om kwaad te kunnen doen. Sleutel tot het Intranet is onze vriend de firewall, die dergelijke Internet-gebruikers beperkt tot onschulige activiteiten en Intranet-gebruikers al hun zaken laat doen.

Openbare informatie verkrijgbaar voor eenieder op Internet zou kunnen omvatten public relations-spul, openbare Web sites, software demo's en jaarverslagen. Particuliere informatie, beschikbaar alleen voor mensen in het Intranet, omvat zaken zoals gedetailleerde planning betreffende werkkrachten, formulieren en verslagen; boekhoudkundige- en financiële verslagen; licentie voor software van de site en helpdesk-systemen plus technische bronnen betreffende ondersteuning. Het beslissen welke diensten onder publieke en privee categorieën vallen is de sleutel tot een geslaagd Intranet.

Hoe werkt het? Traffic op Internet bestaat uit individuele datapakketten, normaal gesproken TCP (Transmission Control Protocol)-pakketten of UDP (Universal Datagram Protocol)-pakketten. Elk pakket bevat een kop die de versturende computer en poort en de ontvangende computer en poort identificeert. Zowel TCP als UDP gebruiken IP-nummers (zoals 209.177.45.3) om individuele computers te identificeren en poortnummers (die van 0 tot 65.535 lopen) om individuele programma's op die computers te identificeren .

Bijvoorbeeld: Als je de Audubon home page zou willen zien, zou jouw Web browser een pakket kunnen creëren met bron-IP 204.57.207.50 (toegewezen door de beheerder van jouw netwerk of ISP), bronpoort 54.321 (willekeurig gekozen door jouw applicatie), bestemmings-IP 209.177.45.3 (de Audubon Web server), bestemmingspoort 80 (die de Web server identificeert), en een "payload" die een aanvraag van de Audubon home page bevat.

<http://www.audubon.org/>

De protocollen van een hoger niveau die we gebruiken om over het Web te surfen, e-mail te versturen, bestanden te verplaatsen, etc. draaien allemaal bovenop het TCP en UDP (die op hun beurt weer bovenop het IP - het Internet Protocol - draaien). De meeste protocollen beantwoorden een specifieke TCP- of UDP-poort maar sommige hogere protocollen kunnen zowel TCP als UDP gebruiken.

Wellicht helpt het IP-adressen te zien als straat-adressen en poorten als huisnummers. Elke computer die een pakket ziet (jouw computer, de router die je aan Internet verbindt, de routers tussen jouw ISP en je bestemming, etc.) kijkt naar het IP-adres en negeert of accepteert het pakket of stuurt het door op basis daarvan. Als de bestemmingscomputer uiteindelijk het pakket ziet en accepteert, besluit het welk programma met het pakket aan de slag moet, gebaseerd op de bestemmingspoort. De TCP- en UDP-poortnummers corresponderen met specifieke diensten en de bestemmingscomputer gebruikt het poortnummer om te beslissen welk programma het pakket krijgt. Zonder poortnummers zou een AppleShare IP-server bijvoorbeeld niet weten of een specifiek pakket behandeld zou moeten worden door zijn FTP-, SMTP-, AppleShare-via-IP-, of Web servers.

De Internet Assigned Numbers Authority (Internet Toegewezen Nummers Autoriteit) houdt een lijst bij van de grote toegewezen poorten, waaronder de door standaarddiensten en door specifieke applicaties geregisteerde poorten (zelfs spelletjes).

<http://www.isi.edu/in-notes/iana/assignments/port-numbers>

<http://www.apple.com/appleshareip/>
<http://www2.opendoor.com/gateway/sharewayip20.html>
<http://www.microsoft.com/ntserver/windowsnt5/exec/overview/WhatsNew.asp>

<http://www.dartmouth.edu/netsoftware/intermapper/>

Er zijn meer dan vier miljard valide IP nummers (2^32 [2 tot de macht 32] en we zijn er bijna doorheen). Elke computer op Internet heeft zijn eigen verzameling van 131.072 poorten die met elke poort op elke andere computer op Internet kan praten. Het aantal mogelijke verbindingen is meer dan men kan bijhouden of controleren - 2^(32+32+16+16+1), ofwel 2^97 - maar een firewall kan dit aantal terugbrengen naar een bij te houden aantal.

Firewalls -- Firewalls doen hun werk door selectief verkeer door te laten tussen veilige en onveilige gebieden op het netwerk. Vaak is de firewall een deel van -of grenst hij aan- de Internet-router. De verbinding met Internet is een logische plaats voor een firewall, aangezien mensen op een Intranet meer vertrouwd worden dan mensen die Internet gebruiken, en hackers langs de firewall moeten komen voor ze de begeerde data op het Intranet te zien krijgen.

Er zijn twee soorten firewalls: packet filters (ook wel packet screening firewalls genoemd) en proxy servers. De meer algemene packet filters zijn eenvoudiger, goedkoper, en veel sneller dan proxy's. Aangezien IP-nummers aan computers, en poorten aan diensten een identiteit geven, kan een firewall vaststellen of een pakket is toegestaan door te kijken naar de IP's en poorten van bron en bestemming en deze te vergelijken met enkele eenvoudige regels. Aangezien IP-adressen vaak logisch gegroepeerd zijn is het meestal eenvoudig om te bepalen wie wel of niet op het locale netwerk zit.

Packet filters zijn eenvoudig, omdat ze niet kijken naar de inhoud van het pakket (de nuttige belasting genoemd): de firewall neemt zijn beslissingen uitsluitend op basis van IP- en poortnummers van een pakket. Denk aan een firewall als een militaire controlepost - een beperkt aantal mensen met pasjes mag er langs, en verder wordt iedereen weggestuurd. De wachters maken geen tassen open.

De meeste firewalls houden mensen buiten in plaats van te voorkomen dat Intranet-gebruikers naar buiten kunnen op het Internet (hoewel er enkele algemene uitzonderingen bestaan). Het instellen van een firewall is in het algemeen een kwestie van de enkele geldige gebruiksmogelijkheden op te sommen die Internet-gebruikers mogen hebben aan Intranet-diensten, en dan regels maken die alleen die gebruiksmogelijkheden toestaan, waardoor de vele onnodige verbindingen worden uitgesloten die anders een veiligheidsrisico zouden kunnen vormen. Hier volgt een eenvoudige serie regels voor een saai bedrijf genaamd Examples, Inc., vertaald naar gewoon Nederlands:

"Sta Internetcomputers toe te verbinden met mail.example.com op poort 25. Sta mail.example.com toe te verbinden met computers buiten, op poort 25. Houd alle overige verkeer tegen dat via poort 25 de firewall wil passeren, naar binnen of naar buiten." Poort 25 wordt gebruikt door SMTP voor het verzenden van e-mail. Aangezien de firewall alleen verkeer bewaakt dat van de ene kant naar de andere gaat, voorkomt dit dat buitenstaanders de eigen interne mailservers gebruiken, en dat personeelsleden op het Intranet mail direct naar servers buiten de firewall sturen. Indien mail.example.com alle mail logt die binnenkomt en uitgaat, kun je waarborgen dat niemand een eigen mailserver gebruikt om de mail-logs van een provider te omzeilen (of om spam te versturen).

"Sta Internetcomputers toe te verbinden met www.example.com op poorten 80 en 443. Sta alle interne computers toe te verbinden met computers buiten op de poorten 80 en 443. Log ieder uitgaand URL-verzoek samen met de (interne) verzoekende IP. Houdt alle verkeer naar poort 80 of 443 tegen op andere interne servers." Poort 80 is de standaard HTTP-poort (voor webbrowsen), en poort 443 wordt gebruikt door HTTPS (Secure Sockets Layer) voor versleuteld Webbrowsen. Ook dit voorkomt dat buitenstaanders eigen interne diensten bereiken (zoals Personal Web Sharing). Ook logt het het Webgebruik van personeelsleden, zodat beheerders kunnen zien of personeelsleden de Internet-aansluiting van het bedrijf gebruiken om ongepaste Websites te benaderen. Veel bedrijven hebben een beleid tegen het niet-beroepsmatige gebruik van Internet. De Dilbert Zone's Pointy-Haired Boss Index somt zelfs bedrijven op die toegang tot de Dilbertsite tegenhouden.

<http://www.dilbert.com/comics/dilbert/financial/tphbx.html>

"Houd alle binnenkomende DNS-verzoeken tegen." Als je een openbare DNS-server hebt draaien buiten de firewall, en een eigen server binnen, kun je verhinderen dat buitenstaanders iets te weten komen over niet-publieke hosts, zoals printers.

"Er mogen geen FTP-verbindingen binnenkomen. Uitgaande verbindingen zijn niet beperkt." In dit geval kan ftp.example.com worden bediend door een ISP verderop, buiten de firewall, en personeelsleden moeten naar buiten gaan door de firewall om hem te gebruiken. Sommige organisaties zijn bezorgd dat informatie naar buiten lekt en dwingen alle personeelsleden FTP-proxyservers te gebruiken die FTP GET wél, maar FTP PUT níet mogelijk maken. Het idee is dat personeelsleden zo belet wordt een grote hoeveelheid gevoelige gegevens aan een mededinger te geven.

Proxy Servers -- De meer complexe en dure variant van een firewall is een proxy. Als een pakket filterende firewall een militaire controlepost is, dan is een proxy een kieskeurige vertaler. Mensen aan beide zijden van de proxy kunnen niet met elkaar praten, in plaats daarvan gaat alle communicatie via de proxy. Als iemand op Internet iets verdachts probeert weigert de proxy het bericht door te geven. Verder hebben machines aan de buitenkant geen directe communicatie met de machines aan de binnenkant, wat betekent dat ze geen kennis hebben van de Internet-netwerk-topologie, en machines aan de binnenkant niet kunnen aanvallen of testen op kwetsbaarheden.

Network Address Translation (NAT, of Netwerk-adresvertaling) is een relatief nieuwe specificatie waarmee een firewall als een proxy kan werken zonder dat de programma's op de werkstations iets anders dan normaal moeten doen (of zelfs maar weet hoeven te hebben van de aanwezigheid van de firewall). De NAT-firewall herschrijft elk netwerkpakket met zijn eigen bron-IP en beschikbare bron-poort, en doet het omgekeerde voor antwoordpakketten. Omdat het relatief eenvoudig is wordt NAT steeds meer gebruikt in firewalls en routers. Slimmere firewalls begrijpen specifieke protocollen en kunnen beperkingen plaatsen op individuele commando's of acties die verdacht zijn. Deze firewalls draaien veelal op Unix of NT-systemen en zijn behoorlijk duur.

<http://www.tis.com/prodserv/gauntlet/firewalls/>

Aan de andere kant van het spectrum zijn relatief goedkope cache firewalls zoals WebDoubler van Maxum, die op prestaties gericht zijn in plaats van op veiligheid. WebDoubler verbetert de snelheid van het web browsen door web-verzoeken op te slaan, en dan het opgeslagen exemplaar van een web pagina te geven aan gebruikers die dezelfde pagina willen zien - net als de cache die ingebouwd is in Navigator of Explorer, ware het niet dat alle WebDoubler-gebruikers de grotere cache samen delen. IPNetRouter van Sustainable Softworks, dat zijn eigen pakket-filterende functies heeft, wordt gratis bij WebDoubler bijgeleverd, en beide werken op Macs.

<http://www.maxum.com/WebDoubler/>
<http://www.sustworks.com/products/product_ipnr.html>

Configuraties -- Vergeet niet je firewall te configureren. Ongeacht de prijs, een firewall kan je niet helpen als je niet nadenkt over wat je wilt toestaan en wat je wilt verbieden, en dat vervolgens in een firewall-configuratie opslaat. Omdat een firewall-configuratie gebaseerd is op de IP-adressen en de poorten (en daardoor diensten) die je gebruikt zal een generieke confuratie je niet helpen. Voordat je een firewall koopt, kijk eens naar een aantal configuratiebestanden. Als ze zinvol lijken, prima. Als het je niet duidelijk is wat ze doen, moet je ofwel meer lezen ofwel iemand inhuren om de configuratie voor je te doen, en zeker weten dat dezelfde mensen beschikbaar zijn als je wijzigingen moet doen.

Als eerste, maak een lijst van alle interne diensten, en beslis welke daarvan het publiek, en werknemers buiten het Intranet (thuiswerkers, buitenkantoren, reizigers) nodig hebben. Firewall-configuraties bestaan meestal uit compromissen - door het misbruik van je systeem te blokkeren, maak je het soms moeilijker of zelfs onmogelijk voor legitieme gebruikers om toegang te krijgen.

Zullen mensen toegang tot hun e-mail willen hebben? Ben je zeker van de beveiliging van je e-mail-server en zijn wachtwoorden, of ben je beter af met externe e-mailadressen voor reizende gebruikers?

Kan je Web server zo geconfigureerd worden dat iedereen met een Intranet IP-adres of een wachtwoord toegang krijgt? Als dat zo is kun je een Intranet Web site opzetten zonder een tweede Web server.

Als je een contingent mensen hebt buiten de firewall die volledige toegang moeten hebben tot je Intranet-diensten, kan je een Virtual Private Network (VPN) toevoegen aan je firewall. De VPN-technologie versleutelt ale Internetverkeer tussen jouw Intranet en de afstandsgebruikers. VPN's zijn doeltreffende partners van firewalls, want je kan met een gerust hart VPN-verkeer door de firewall laten: enkel gemachtigde gebruikers beschikken over VPN-wachtwoorden en -sleutels, en zij hebben toegang tot al je diensten. Hierdoor kan je de firewall nog meer beveiligen, omdat rechtmatige gebruikers toegang krijgen via het VPN.

Zet beslist filters voor valse en misvormde paketten aan in de firewall - dergelijke pakketten kunnen stabiliteit en veiligheid ondermijnen. Registreer ook zeker geweigerde pakketten - als je firewall een aanval afslaat zonder dat je er weet van hebt, kunnen de aanvallers blijven proberen tot ze binnen geraken.

Vooraleer je je firewall installeert moet je eerst zorgvuldig nadenken over wat binnen en wat buiten de firewall moet vallen. Omdat web-servers voornamelijk publiek zijn, kan het zinnig zijn ze buiten de firewall te plaatsen, misschien zelfs bij je ISP. Dit kan je site sneller toegankelijk maken voor bezoekers en zorgt ervoor dat toegang tot je web-server geen bruggenhoofd wordt voor je interne veiligheid. FireSite van ClearWay beheert dergelijke externe web-servers en biedt veel van de voordelen van een interne web-server: soepelheid, aanmelding en aanpassing. Voor FTP -servers moet je je dezelfde vraag stellen.

<http://www.clearway.com/firesite/>

Een firewall kopen -- Voor je een firewall koopt, moet je eerst de mogelijkheden van je routers uitzoeken. Als je Internet-router al de mogelijkheid voor pakket-filters biedt, moet je misschien niets anders kopen.

Je kan een hardware firewall kopen bij veel van dezelfde firma's die ook routers maken, zoals Cisco en Compatible Systems. Verschillende firma's maken ook software-firewalls voor Unix en Windows NT.

<http://www.cisco.com/>
<http://www.compatible.com/>

Gelukkig zijn er verschillende Mac-firewalls. IPNetRouter bevat firewall-functionaliteit. De beide Internet-routers van Vicomsoft (Mac- en Windows-versies) bevatten firewall-functionaliteit. DoorStop van Open Door Networks is een beperkte firewall - het beschermt enkel de machine waarop het draait.

<http://www.vicomsoft.com/products.html>
<http://www2.opendoor.com/doorstop/>

Tenslotte -- Als je servers hebt die verbonden zijn met Internet, moet je overwegen ze te beschermen met een firewall. Gelukkig is er een waslijst aan keuzes, waarvan je er sommige misschien al hebt. Hopelijk word je nooit aangevallen, maar er ligt gevaarlijk gezelschap op de loer. Je bent jezelf verschuldigd na te denken over netwerkbeveiliging voor iemand anders je daartoe dwingt.

Een firewall configureren is een proces in twee fasen. Denk eerst na over hoe je TCP/IP gebruikt en weeg dan het gebruik af tegenover de schade die iemand zou kunnen toebrengen. Als je het goed uitdoktert zullen je servers beschermd zijn en je gebruikers zullen het misschien niet eens merken.

[Chris Pepper is webmaster en list manager voor de National Audubon Society. Dit artikel werd oorspronkelijk voorgesteld (in een zwaar ingekorte versie) als onderdeel van een panel presentatie op de MacWorld Expo SF '99.]

Niet-winstgevende en niet-commerciële publicaties en Websites mogen artikels overnemen of een HTML link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We garanderen de precisie van de artikels niet. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.

Vorige aflevering | Search TidBITS | TidBITS Homepage | Volgende aflevering