Beveiliging van online services

Tegenwoordig horen we zoveel horrorverhalen over internet dat het wel lijkt of je geen enkele dienst op het internet kunt aanbieden zonder dat er hackers in drommen op afkomen. In dit laatste deel uit deze beveiligingsserie bekijken we wat kunt u doen om uw online services te beschermen…

Het is helaas een droevige waarheid dat Microsoft zoveel beveiligingsgaten in Windows liet – en er worden vrijwel elke dag nog nieuwe ontdekt – dat we soms over het hoofd zien dat het vaak mensen zijn die aan de basis liggen van beveiligingsproblemen. Zoals we in de vorige delen uit deze reeks al duidelijk maakten, zijn er allerlei maatregelen die u kunt nemen om uw software zo veilig mogelijk te maken binnen uw eigen netwerk en naar het internet toe. Het meest uitgekiende beveilingsreglement zal u echter niet helpen als mensen het niet toepassen. De allerbeste beveilingssoftware is weggegooid geld als allerlei mensen achterpoortjes en andere beveiligingsgaten creëren. Wat wordt het vaakst over het hoofd gezien door bedrijven die online servers – diensten op internet – aanbieden?

Systeemgaten
Gaten in het systeem zijn de poorten en achterdeurtjes waarlangs hackers en andere vandalen uw netwerk kunnen binnendringen. U zult dus actief op zoek moeten gaan naar al die systeemgaten en ze een voor een dichten. Het ligt voor de hand te beginnen met het onderzoeken van alle bekende en mogelijke gaten in firewalls, uw besturingssystemen, netwerken en standaardapplicaties. Daarna maakt u een inventaris van alle machines en applicaties in uw netwerk. Alle machines in het netwerk die niet de laatste – door beheerders goedgekeurde! – versies van de gebruikte software draaien, zullen geüpgraded moeten worden. Onderzoek uw firewalls en servers op poorten die open staan terwijl dat niet nodig is. De vuistregel is hier dat u alleen maar iets open laat voor toegang als dat echt nodig is en al het andere afsluit. Zo is het bijvoorbeeld een goed idee om databaseservers nooit rechtstreeks op internet aan te sluiten, zeker niet als ze uitsluitend geraadpleegd worden via een webserver. Laat dan de webserver via een interne netwerkverbinding de database raadplegen, maar neem de database zelf van het internet weg. In heel wat bedrijven heeft men slechts een onvolledige kennis over alle toegangspunten tot het bedrijfsnetwerk vanuit de buitenwereld: dit geldt niet alleen voor het internet, maar ook voor toegang via modems of ISDN. Zorg dat u alle mogelijke toegangspunten in kaart brengt en sluit dan weer alle toegangen die niet echt nodig zijn. Als er diensten of applicaties zijn die gevoelige informatie bevatten of transporteren, beperk dan het aantal machines waarop die draaien want daarmee beperkt u ook de beveiliging die daarvoor noodzakelijk zou zijn. Zeker bij Windows is het tegenwoordig erg populair om ettelijke systeembronnen over het netwerk te delen. Omdat Microsoft het helaas nodig vond om het interne netwerkdelingsprotocol voor Windows (NetBEUI) te vermengen met tcp/ip (en dat is het netwerkprotocol dat voor het internet gebruikt wordt), betekent elke onnodige netwerkdeling een beveilingsrisico. Ook hier geldt dus weer dat alle onnodige netwerkdelingen vermeden moeten worden. Grotere bedrijven hebben vaak audits voor alles en nog wat, maar vaak niet voor wat het eigen netwerk aangaat. Het is absoluut noodzakelijk dat u een overzicht heeft en houdt over alle applicaties en machines die in uw bedrijf geïnstalleerd worden en dat betekent dat u daar de nodige auditvoorzieningen voor moet hebben. In uitbreiding daarop zult u eveneens moeten vastleggen wie er welke inhoud op uw netwek mag wijzigen en audits uitvoeren van alle wijzigingen die plaatsvinden.

Authenticatiegaten
Het bedrijfsbeveilingsreglement zegt – of zou althans moeten specifiëren – wie er allemaal wat mag doen. Dat betekent dat u allerlei mechanismen nodig heeft om uitvoering van die regels te controleren maar uiteraard ook om gebruikers te authenticeren. Authenticatie wil uiteraard zeggen dat u nagaat of een gebruiker is wie hij of zij beweert te zijn. Als er functies of acties zijn die een gebruiker kan uitvoeren zonder dat daar een authenticatie aan verbonden is, houdt dat een veiligheidsrisico in. Zeker voor gebruikers die vanuit het internet aan die functies of diensten kunnen. Hackers maken dan ook dankbaar gebruik van alle mogelijkheden die hen geboden worden, zoals ‘default user ids’ (standaardgebruikersidentificaties), onvolledige schoonmaak van gebruikersgegevens van een vorige gebruiker, of onvoldoende controles als iemand valse of nagebootste gegevens aanbiedt. Zo kennen wij gevallen waarin hackers probleemloos contact konden opnemen met de beheerders van internetdomeinnamen en zich voordoen als de rechthebbende van bepaalde bedrijfsdomeinnamen en zo erin slaagden om die domeinnamen naar een eigen server te doen wijzen in plaats van naar de server van het bedrijf in kwestie. Het is dus niet voldoende authenticatiegaten in uw eigen onderneming(en) op te ruimen, maar u zult ook authenticatiegaten moeten controleren voor diensten buiten uw bedrijf maar waar u wel gebruik van maakt. Veel netwerkapplicaties maken gebruik van een standaardbeheerder waarmee de initiële installatie en configuratie uitgevoerd kan worden en het is de bedoeling dat die standaardbeheerder naderhand verwijderd wordt of tenminste een ander wachtwoord krijgt. Vaak ziet men zoiets echter volledig over het hoofd en kunnen hackers probleemloos gebruik maken van zulke standaardbeheerdergegevens. Dat is zeker niet alleen het geval voor Windows: er zijn al meer dan genoeg Unix- en Linux-systemen aangetroffen waarbij de ‘root’-gebruiker (dit is de hoofdsysteembeheerder die alles mag en kan binnen Unixachtige omgevingen) voorzien was van een belachelijk eenvoudig wachtwoord (zoals ‘root’ of ‘admin’) waardoor elke hacker die maar wou vrij spel kreeg. Een groot gevaar is de mogelijkheid tot het onderscheppen van bedrijfsnetwerkdata en veel bedrijven hebben daar geen enkele bescherming tegen en kunnen het zelfs niet eens detecteren. Bedrijven die zich wel degelijk proberen te beschermen tegen netwerkinbraken van buitenaf, laten vaak na zich afdoende te beschermen tegen misbruik van eigen personeel. Wist u dat tot 70% van alle beveiligingsinbreuken in een bedrijfsnetwerk te wijten zijn aan interne oorzaken en niet aan hackers van buitenaf? Last but not least zijn er maar al te vaak bedrijfsverantwoordelijken die zelfs het nut niet inzien van een striktere beveiliging door het opleggen van regels waarin de verschillende authenticatiemethodes in het bedrijf en het bedrijfsnetwerk moeten voldoen.

Food for thought, zouden we zo zeggen…