Beveiliging van niet-Windows systemen

Zo langzamerhand kent iedereen wel de horrorverhalen over de beveiliging – of het gebrek daaraan – van Windows. Maar hoe zit het met andere platformen? Moeten die niet beveiligd worden?

Het grote probleem met Windows zit hem in een aantal ontwerpbeslissingen van dat platform. Het systeem werd immers zo ontworpen dat applicaties vrijwel alles mogen en overal toegang toe hebben, bovendien kunnen instructies vrijwel overal in ondergebracht worden en ook nog zonder bevestiging van de gebruiker uitgevoerd worden. Op deze manier hebben virussen en andere vandalen natuurlijk vrij spel. In verband met niet-Windows platformen kunnen we op dat vlak rustig ademen. Microsoft is de enige firma die dergelijke gapende beveiligingsgaten in hun systeem toeliet. Geen enkel ander besturingssysteem (noch Linux, noch AIX en OS/2 van IBM, noch Sun Solaris, noch andere Unix-varianten) staat applicaties zomaar alles toe en geeft ze zeker geen onbeperkte toegang tot het hele systeem. Bovendien zijn instructies altijd duidelijk herkenbaar als dusdanig en worden ze nooit onverhoeds uitgevoerd door het systeem. Zo is het heel wat moeilijker om virussen of andere vandalenstreken in het systeem geïntroduceerd te krijgen.

Veilig?
Betekent dit dat die andere platformen veilig zijn? Nee, geen enkel systeem is honderd procent veilig. Maar ze zijn dus wel flink wat veiliger dan Windows. Voor Linux zijn sinds een paar maanden enkele virussen in omloop gekomen, maar u moet het programma waar ze in verwerkt zitten echt zelf starten voordat ze iets kunnen doen, ze kunnen dus niet automatisch uitgevoerd worden. U moet echter wel bedenken dat ook al kan een bepaald platform zelf niet besmet raken door virussen of andere vandalenstreken, het dergelijke rotzooi wel gewoon door kan spelen naar een platform dat daar wél gevoelig voor is. Als u bijvoorbeeld al uw internetservers onder Linux zou draaien, verhindert dat niet dat een virus de Windows-pc’s achter die Linux servers zou aanvallen. Het is dus effectief nodig om ook niet-Windows systemen te beveiligen. Dat moeten we wel even uitsplitsen in twee categorieën: niet-Windows systemen voor desktopgebruik en voor servergebruik.

Desktopgebruik
De meeste gebruikers werken met Windows op de pc waarmee ze hun dagelijks werk doen. Het komt heel wat minder vaak voor dat daar een ander systeem voor gebruikt wordt. Linux is voor desktopgebruik nog niet echt populair en de meest gebruikte alternatieve desktopsystemen zijn dan ook de Apple Macintosh en OS/2 van IBM. Dat laatste wordt vrijwel uitsluitend gebruikt in pc-omgevingen met grote aantallen klanten of waar een grote betrouwbaarheid vereist is. Banken en luchthavens zijn samen met zware industrieën de grootste gebruikers van OS/2. We kunnen bedrijven die met OS/2 werken gerust stellen: er zijn geen virussen voor OS/2 in omloop en u hoeft dus helemaal niets te doen op dat vlak. Voor de Macintosh geldt dat u best wel een antiviruspakket installeert. Voor Linux en andere Unix-achtigen geldt wel dat u om problemen vraagt als u uw dagelijks werk doet terwijl u ingelogd bent als ‘root’. Als er iets een open uitnodiging is voor hackers, is het wel dat. De gebruikersnaam ‘root’ is de systeembeheerder van dat systeem en mag alleen voor specifieke beheeropdrachten gebruikt worden, zeker niet doorlopend.

Servertoepassingen
Het gebruik van iets anders dan Windows is tegenwoordig wel erg populair in servers. Linux of een andere Unix-achtige voor internetservers ligt nogal voor de hand, maar voor file- en printservers zijn systemen als Novell NetWare, OS/2 ook in gebruik. Linux wordt trouwens steeds populairder voor file- en printservers en dat baart Microsoft in toenemende mate zorgen. De non-Windows servers zijn zelf nauwelijks of helemaal niet gevoelig voor virusinfecties en Windows-specifieke vandalenstreken, dus daar hoeft u zich dus al weinig van aan te trekken. De meeste trucs om in te breken op Windows servers werken ook niet met non-Windows platformen, maar dat wil niet zeggen dat het niet mogelijk is. Het verdient dus de voorkeur om ook hier een firewall op te zetten en een bedrijfsbeveiligingsreglement te definiëren en toe te passen. Misbruik van e-mail van binnen en buiten uw bedrijf kan ook met niet-Windows systemen en u zult dus liefst op zoek moeten gaan naar software die dat voor het door u gekozen platform bestrijdt. U zult clientpc’s met Windows achter de non-Windows servers in elk geval moeten voorzien van antivandaalsoftware. Bij webservers op basis van een niet-Windows platform zijn alle problemen en oplossingen die we bespraken in het deel van deze serie dat ging over het beveiligen van webservers volledig van toepassing.

Conclusie
U zult steeds meer hoera-kreten horen en lezen over de betrouwbaarheid, prestaties én veiligheid van niet-Windows systemen, maar u verliest hierbij best niet uit het oog dat voor servers alleen de Windows-specifieke vandalenstreken mislukken, maar dat de gebruikelijke maatregelen inzake beveiliging natuurlijk wel nog genomen moeten worden. Neemt u die maatregelen niet, dan kunnen vandalen en hackers proberen hun gang te gaan met uw non-Windows systemen. Bijgevolg raden we u aan de delen uit deze reeks over het beveiligen van e-mail en webservers toe te passen op uw non-Windows servers. Het deel over virussen kunt u wat de servers betreft overslaan, maar denkt u eraan dat Windows clients achter deze servers onverminderd beschermd moeten worden!