Bij wijze van experiment draaide ik thuis een webserver onder OS/2. De server stond op een computer die persoonlijke gegevens bevatte. Ik had mijn "internet PC" (client) tot server gebombardeerd. Was dat slim? Nee. Dat is de goden verzoeken. Zo'n webserver lijkt wel aardig, maar u moet er enorm mee oppassen. Hij is zo opgezet, maar nog sneller te misbruiken. Een open poort werkt als een lichtje in de nacht. Ze trekt script-kiddies en virussen aan. Uiteindelijk geeft zo'n publieke server u meer last dan gemak.
Het opzetten en onderhouden van een semi-professionele firewall met bijbehorende serversoftware (eindknoopbeveiliging) vereist veel expertise en tijd. Een leek die al moeite heeft om de configuratiebestanden van zijn netwerk en webserver te begrijpen, kan zich beter met de inhoud en presentatie van de site bezighouden. Wie slim is plaatst zijn website bij een ISP of hosting provider. Buiten het LAN. En draait achter een personal firewall met 100% netwerk adres vertaling (NAT) hoogstens een webserver voor eigen gebruik. Eentje die je 's nachts uitzet. Dat scheelt stroom bovendien. Alleen de hardware heeft onder het aan- en uitzetten te leiden.
Geen enkele firewall biedt afdoende bescherming tegen de gaten in het besturingssysteem en de programma's die u gebruikt. Want firewalls filteren niet de inhoud. Virusscanners kunnen dat wel, maar zij richten zich alleen op bekende virussen. Maar niet op de vele andere exploits die u bewust of onbewust binnenhaalt.
Een computer die privégegevens bevat kan daarom beter niet direct met het internet verbonden zijn! Het lezen van HTML post kan al privacy problemen opleveren. Veel firewalls controleren de uitgaande post niet. Maar als u pech hebt worden programma's automatisch via een script gelanceerd. Chat programma's en mediaspelers zijn berucht vanwege hun lekken. Ook voor Windows XP zijn inmiddels al vele "essentiële" systeemupdates al uitgebracht. Enigzins verborgen lees ik "Download deze update nu en voorkom dat een kwaadwillende gebruiker willekeurige code op uw computer kan uitvoeren". Nu gaat het meestal niet om kwaadwilligen, maar om de e-mailvirussen en wormen die van uw beste vrienden afkomstig kunnen zijn. Bij mij gebeurt dat wekelijks.
De door f-prot gescande bijlage bevat een Windows virus.
Emailvirussen als W32/Magistrer zullen niet alleen zichzelf, maar ook uw gegevens naar het internet versturen. Ze openen poorten en destabiliseren uw systeem. Een door virussen beschadigd netwerk is als aangeschoten wild. Als het niet aan zijn wonden ten onder gaat, dan blijft het een gemakkelijke prooi voor hackers, criminelen en vandalen.
Het veiligst internet u daarom vanaf een computer die geïsoleerd staat van de rest van uw LAN. Bij voorkeur vanaf een uitgeklede computer waar weinig valt te beleven. Maar ook dan zullen de cache van uw bladerprogramma, adresboeken, cookies- en configuratiebestanden nog veel informatie bevatten. Versleuteling, veiligheidsopties in browsers, permissies in het bestandssysteem en proxies kunnen uw gegevens beter afschermen, maar dat is niet de manier waarop de gemiddelde internetgebruiker werkt. Die doet alles "niet moeilijk" als Administrator vanaf een onbeveiligde internet PC. En laat zijn internet-accounts, plug-ins en besturingssysteem automatisch installeren. Softwareleveranciers spelen hier vrolijk op in. Installatiegemak, snelheid en mooi ogende features verkopen nu eenmaal beter dan stabiliteit en veiligheid.
Gemak dient de mens, maar gemakzucht en de bijbehorende onwetendheid niet. Dit door Microsoft aangemoedigde consumentengedrag heeft vergaande sociale implicaties. De economische schade door virussen beliep de laatste jaren tussen de 10 en 20 miljard dollar. Geld dat ook aan ontwikkelingshulp kon worden besteed. De firewall- en anti-virussoftwaremakers varen er wel bij. Na 11 september 2001 realiseerden de Westerse landen zich bovendien hoe kwetsbaar zij waren: computerbeveiliging werd eindelijk op de agenda gezet.
De gemiddelde GUI gebruiker heeft er al geen weet van wat er op zijn computer staat, laat staan dat hij in staat is om zijn gegevens adequaat te beveiligen. Daarom moet hij zijn computer minimaal door een real-time virusscanner en een "personal firewall" laten beschermen. Sinds kort (met XP service pack 2) is dit ook door Microsoft tot noodzakelijk beleid verheven. MS waarschuwt u als u geen viruscanner of firewall hebt geinstalleerd. En geeft Microsoft onomwonden toe dat u alle Windows versies van voor Windows 2000 niet meer op het internet kunt vertrouwen. Helaas vermelden niet hoe kwetsbaar Windows XP is u als beheerder internet (en dat doen de meesten).
Het pakketfilter, tegenwoordig eufemistisch "personal firewall" genoemd, moet onbedoeld internetverkeer blokkeren. En de real-time virusscanner voorkomt op het laatste nippertje dat de binnenstromende virussen worden geactiveerd. Met deze "last millisecond noodmaatregelen" hopen de Windows gebruikers te voorkomen dat crackers, wormen en virussen hun systeem binnendringen, vernielen en misbruiken. Maar de werkelijke oorzaken van deze inherent onveilige situatie - veiligheidsgaten in de software; het gebruik van onveilige protocollen; gemak en snelheid verkiezen boven veiligheid en bestendigheid - blijven met deze persoonlijke beschermingsmiddelen buiten schot.
De
lapmiddelen van Microsoft en consorten in Service Pack 2 geven u een
vals gevoel van veiligheid, maar doen niets aan de oorzaak. En dat is
onwetendheid. Als Windows XP gebruikers nu eens opgevoed werden om
niet onder het beheerdersaccount met Outlook te werken, zou de
verspreiding van virussen gering zijn. Met gesloten deuren zijn er
veel minder geld en computerbronnen verslindende
veiligheidsmaatregelen nodig. Maar de gemiddelde XP gebruiker heeft
er geen idee van hoe de beveiliging van Windows NT en opvolgers
werkt. Of wat een netstat opdracht hem zou kunnen vertellen. Met als
gevolg dat hij denkt dat hij in een veilige auto rijdt, terwijl hij
de autogordels en de meetinstrumenten op het dashboard niet gebruikt.
De marketingnaam personal firewall suggereert een fort, maar het gaat om een flinterdun camouflagepak. U blijft kwetsbaar. De camouflage van een goed ingestelde firewall bestaat uit een pakketfilter met netwerk adres vertaling. Deze houdt de poorten van uw lokale servers voor de buitenwereld verborgen. Geblindeerde poorten wekken geen aandacht van poortscannende virussen en crackers op.
De poortscanner van https://grc.com ziet niets: poort 139 antwoord niet. En ook al draait op deze poort een Trojaans paard of server voor lokaal gebruik - als die poort niet op een "Sesam, open U" TCP/ACK bericht vanaf het internet reageert, dan zal hacker Alladin geen energie meer aan die "stomme" rotswand willen verspillen. Maar als een rotswand plotseling "nee" roept - in poortscanner jargon "Cannot connect to port nn (but service seems to be there" - pakt hacker Alladin zijn moker...
De Stealth truc is er op gebaseerd dat uw serverpoorten voor de buitenwereld onzichtbaar zijn. De TCP/IP stack van de computer houdt zich dood voor vreemden. Uw netwerk en uw servers worden dan niet nader getest. Maar bedenk wel dat u uw IP adres op andere plaatsen achterlaat. Bijv. in uw email. En op iedere server die u bezoekt. En dat de "leak detection" van veel poortscanners maar matig is. Oftewel: dat allerlei op de achtergrond draaiende programma's (virussen, Trojaanse paarden, spyware) informatie naar buiten kunnen blijven zenden (Zie: LeakTest -- Firewall Leakage Tester).
Het blijft dus spelen met vuur. Virusscanners lopen altijd achter. Een geactiveerd Trojaans paard of kwaadaardig script kan ook via clientsoftware vitale gegevens aan een hacker mailen. En als iemand de netwerkadresvertaling van uw firewall inactiveert (leuke klus voor een virus of klik-hier-script) of met een dial-up verbinding omzeilt, staat uw netwerk toch weer te kijk.
Uiteindelijk moet u de beveiliging daarom zoeken in inherent veiliger software (b.v.k. op een multi-user besturingssysteem), een andere manier van internetten (schijfloos), het gebruik van firewall met meerdere verdedigingslinies en configuraties waarbij niet ieder script dat binnenkomt, alles automatisch "voor u" mag doen. Maar het consequent doorvoeren van minimale gebruikersrechten (zeker op de firewall) is wel het belangrijkste.
U kunt thuis een publieke (internet)server draaien. Een server is zo opgestart. Maar het probleem is dat servers zo moeilijk zijn te beveiligen. Op uw thuisnetwerk is dat misschien geen bezwaar, maar een internetserver krijgt ook met vandalen te maken. Een open poort trekt hackers, crackers en wormen aan. Ze bezitten software waarmee ze uw software op bekende zwakheden en configuratiefouten kunnen testen. En dan moet u maar afwachten wat ze met hun kennis gaan doen.
LAN servers moeten daarom minimaal door een packet filters beschermd worden. Een packet filter met volledige netwerkadresvertaling heeft de voorkeur. Als u via de hierboven beschreven Stealth techniek al uw serveerpoorten voor de buitenwereld afschermt, zal de computer niet opvallen. Eventueel kunt u selectief bepaalde poorten voor bepaalde IP adressen (trusted hosts) openstellen. En als de NAT de ook poorten van Trojaanse paarden (ze kunnen op iedere poort zitten) een per abuis geïnstalleerde of slecht geconfigureerde server afdekt, houdt u de schade beperkt.
Maar de poorten van publieke internetdiensten moet u voor ieder IP adres openstellen. Uw host valt bij een poortscan op. Dan is de volgende vraag of u de diensten achter die loketten voldoende beveiligd hebt. Is de dienst een zelfbediening of een dienst waar je alleen maar onder strikte toezicht iets afhandelen kunt? Hier zit een probleem: in iedere brievenbus past wel een rotje. Zo is het ook met servers. In uw straat houdt u nog enige controle over uw brievenbus, maar op het internet niet meer. Een DLL of cgi- script erbij en uw brievenbus wordt een open deurdienst. De programma's die uw poorten bedienen en bewaken hebben zwakke plekken die door iedere internetgebruiker uitgebuit kunnen worden. Berucht zijn de bufferoverlopen die van uw PC een zelfbedieningszaak maken. Via hun exploits loopt u altijd risico - nog afgezien van de configuratiefouten die u zelf maakt.
Als zo'n veiligheidslek bekend wordt, zou de softwareleverancier snel patches beschikbaar moeten stellen. U moet dus security-bulletins bijhouden en uw software snel patchen. Voordat een cracker (die ook bulletin boards leest) op het idee komt aan de hand van het versienummer uw serverconfiguratie te testen. Maar net als bij het actualiseren van uw virusscanner loopt u hier snel achter de feiten aan. En met de zichzelf replicerende wormen wordt de time-to-patch steeds korter.
Nu valt uw inbraakgevaar misschien wel mee. Uw woning mag dan wel slecht beveiligd zijn, als ze niet interessant genoeg is voor een inbreker, wordt ze overgeslagen. Dan wordt uw PC hoogstens voor oefendoeleinden (sparring partner), rustplaats en uitvalbasis voor hoppende crackers gebruikt. Een snel universiteitsnetwerk, overheidsgebouw of e-business server is voor een hacker een eervoller doelwit dan Piets homepage op het kabelnet. Maar opportunistische virussen (Code red, nimbda), bandbreedte stelende criminelen en zich vervelende scriptkiddies maken dit onderscheid niet. Zij zijn in de meerderheid en zullen ook de meeste schade aanrichten. Ze kiezen de gemakkelijkste weg.
SANS en de FBI deden onderzoek naar het lekken van regeringsdocumenten. Ze publiceerden een Top 10 en later een Top 20 van de meest relevante veiligheidsproblemen op het internet: http://www.sans.org/top20.htm. Door maar relatief weinig beveiligingsgaten af te dekken konden de meeste inbraken worden voorkomen. Simpele regels als doe de deur op slot en plaats geen sleutel onder de deurmat (Piet met wachtwoord piet1).
De veiligheidslekken van pas geïnstalleerde programma's vormen het grootste risico. Om de installatie en configuratie van software te vergemakkelijken nemen softwarefabrikanten het met de beveiliging niet zo nauw. Maar default instellingen en accounts als GUEST en ADMIN zijn bij hackers bekend. Een pas geïnstalleerde server of router is dus een gemakkelijke prooi. Terwijl u de README's nog leest; laat staan aan patchen toegekomen bent, komen de netwerkomgeving scannende crackers en virussen al binnen. Sluit dus nooit een pas geïnstalleerde computer meteen op het internet aan! En zeker geen server. Bescherm een ongepatchte server als een leeuwin haar pasgeboren jong!
Een log van mijn Xitami webserver zegt genoeg. Zodra een poort openstaat vliegen de poortscannende wormen en crackers er op af. Code Red en Nimbda bleken mijn trouwste bezoekers. Deze internetwormen, die vanaf Microsoft's NT's IIS webservers opereren, waren op zoek naar nieuwe doelen. Hier probeert een Nimbda worm op 63.131.n.m via een bufferoverloop een shell (/winnt/systeme32/cmd.exe) in het geheugen van de IIS server laden. De shell moest o.a. via het trivial ftp protocol de door het virus benodigde cool.dll en httpodbc.dll naar mijn systeem verplaatsen.
Een normale (voor privé-doeleinden bestemde) GET opdracht ziet er zo uit:
Een standaard installatie (alles op de C schijf) maakt het scriptkiddies en virussen wel erg gemakkelijk om uw systeembestanden (hier cmd.exe en tftp!) te vinden... Onder Xitami voor OS/2 leveren deze wormen alleen maar lange logbestanden op. Maar ook OS/2 programma's zullen lekken bevatten. Zo circuleert er c code om de OS/2 FTP server te laten crashen.
Het is derhalve zaak om zoveel mogelijk features uit te schakelen. En de werkomgeving van ieder serverproces tot het minimum te beperken. Om die reden werkt een FTP server in de relatief veilige chroot (change root) omgeving van de ftp prompt. In de pseudo /bin van de anonieme ftp-user zijn maar weinig opdrachten beschikbaar. Database terminals geven u geen opdrachtaanwijzing, maar een aan restricties gebonden gebruikersomgeving. Onder UNIX heeft iedere gebruiker bovendien beperkte bestands- en procespermissies. Wie de server kraakt, krijgt slechts de permissies van de gebruiker (wwwuser o.i.d.) waaronder het proces draait.
Helaas is dit op een single-user OS/2 systeem nooit te bereiken. Hier loopt ieder proces onder het root account. Zo'n server zou ik daarom op een aparte computer zetten, een "bastion host" die niets meer bevat dan hij voor de serveertaak nodig heeft. Zodat er bij een geslaagde kraak van de software niet veel meer valt te halen dan alleen de controle over die serverende computer.
Een
semi-professionele firewallIn tegenstelling tot een personal firewall bevat een semi-professionele firewall meerdere linies in de verdediging. De architectuur lijkt wat op een kasteel met wachttorens en kale muren die luxueuze binnengebouwen (het centrale netwerk) omheinen.
De computers in het perifere (perimeter) netwerk staan aan de buitenwereld bloot. Op deze in de vuurlinies van het internet gelegen bastion hosts heerst een streng regiem. Bastion hosts zijn voor defensie (de firewall van een router, een proxy) en publieke internetdiensten (dedicated webserver, mailgateway) ingericht.
De publieke servers staan in de zogenoemde "gedemilitariseerde zone" van de router (demilitarized zone, ). Deze term zone stamt uit de Koreaanse Oorlog. Het is het met landmijnen bezaaid niemandsland dat Noord en Zuid Korea scheidt (DMZ War). In netwerktermen slaat het op het perifere deel van uw netwerk dat op het internet te zien is. De packet filters van de router beschermen deze publieke servers niet. De "bescherming" moet van de bastion hosts zelf komen. Om misbruik te voorkomen zijn ze als sober ingericht.
De trusted hosts op het centrale netwerk zijn ingesteld voor normaal gebruik. Ze worden door de wachttorens en muren van het perifere netwerk beschermd. Hun poorten mogen openstaan. Hun deuren zijn maar binnendeuren. Hun bestandspermissies hoeven niet al te paranoïde ("Halt, wie is daar") ingesteld te zijn. Hier kunnen client PC's zonder uitgebreide beveiliging staan: gewone desktop computers met alleen een virusscanner die niet of exclusief via de netwerkadresvertaling van packet filters (ipgate on) of proxies (ipgate off) op de bastion hosts het internet opgaan.
Voorwaarde is dat geen enkele gebruiker die besloten sfeer verbreekt. Iemand die met een modem een nieuwe insecure interface naar de buitenwereld schept (CD-tje van hccnet) is als een spion of verliefde jonkvrouw die een touwladder uit een torenraam werpt. Hiermee staat het best beveiligde netwerk aan de buitenwereld bloot.
De eenvoudigste firewall bestaat uit een screening router met een IP packet filter. De router bevat alleen de hoogst nodige software. Om te voorkomen dat een onbevoegde hier iets wijzigen kan wordt de software bij voorkeur van een read-only bestandssysteem (ROM, floppy router) geladen. Het packet filter beschermt de in het geheugen geladen software en biedt netwerkadresvertaling voor het LAN.
|
Internet |
Screening router |
|
|---|---|---|
|
|
Adres van de ISP |
LAN (via hub/switch) |
|
|
192.168.1.1 (via NAT) |
192.168.1.2 (LAN server) 192.168.1.3 (werkstation) |
Op een dual-homed gateway zal een applicatie gateway (proxy) de netwerkadresvertaling bieden. De insecure interface kan met een screening router verbonden zijn. De gateway PC bevat een packet filter om de proxy te beschermen. Maar er vindt geen routing naar het LAN plaats. Alle uitwisseling van informatie tussen het LAN en het internet moet via de proxies op de applicatie firewall gaan.
|
Internet |
Router |
Application Firewall |
|
|---|---|---|---|
|
|
|
Adres van de ISP (insecure interface) |
Gedemilitariseerde zone (DMZ) |
|
|
|
Subnetwerk (insecure interface) |
Internet servers |
|
|
|
Proxy op localhost (ipgate off) |
LAN (via hub/switch) |
|
|
|
192.168.1.5 (secure interface) Proxy (192.168.1.0/24:8080) |
192.168.1.2 (LAN server) 192.168.1.3 (werkstation) |
Hier zijn veel variaties op te bedenken. Op een tri-homed gateway (hierboven) bevat de firewall drie netwerkkaarten. De derde netwerkkaart is voor een PC's in de gedemilitariseerde zone bestemd. Hier kunnen internetservers (httpd, ftpd, smtp) draaien, die u zowel buiten het LAN als buiten de firewall (in enge zin) wilt houden. Hiermee voorkomt u dat een exploit in de serversoftware de integriteit van de firewall rechtstreeks bedreigd.
Hoe meer de met het internet verbonden servers, proxies en routers geïsoleerd staan van de rest van het LAN, hoe beter. Privacy-gevoelige data horen gewoon niet in het bereik van een internet serverende computer te staan. Zodra u een fataal foutje op uw firewall of server maakt, komen data (incl. wachtwoorden) en software beschikbaar. Mail, ftp, telnet, iptrace, fdisk en de vele GNU utilities zijn de koevoeten en breekijzers van hackers en vandalen. Als iemand binnendringt heeft ieder programma een potentieel voor misbruik. Met een haarspeld kan een gevangene al uitbreken. Haal daarom ieder programma dat voor uw serveerdoel niet nodig is van de server af! Hackers kunnen er altijd meer mee dan u.
U moet de met het internet verbonden bastions hosts dus sober inrichten (hardening). Op een bastion host creëert u een niemandsland waar een indringer nauwelijks iets aantreft. Geen weldadige tuin waar indringers hun acties kunnen verbergen, maar aangeharkte paden waar iedere verandering (dll erbij) opvallen zal. Om die reden is het draaien van internetdiensten op een werkstation dus gekkenwerk. Naast intrusion detection via allerlei soorten scanners is gezond verstand van essentieel belang. Als iets vreemds gebeurd, moet u niet meteen de noodtoestand uitroepen, maar de tijd nemen om de zaak onderzoeken. Maar als u er al geen weet van hebt wat er allemaal op uw netwerk gebeurt en de eerste de beste indringer via tig wegen naar het LAN doorstoten kan, heeft dat geen zin.
|
Internet |
Router |
Gedemilitariseerde zone (DMZ) |
LAN (via hub/switch) |
|---|---|---|---|
|
|
|
Adres van de ISP |
|
|
|
|
FW: alleen poort 80 doorlaten |
|
|
|
|
Xitami (poort 80) 192.168.1.5 proxy (192.168.1.0/24:8080) |
192.168.1.2 (LAN server) 192.168.1.3 (werkstation) |
Vertrouw ook nooit op een firewall, maar bouw meerdere verdedigingslinies in. Als een bastion host valt, hoeft uw hele vesting nog niet te vallen. Stel dat de webserver een bekend veiligheidslek bevat. Hier kan een firewall u niet tegen beschermen: poort 80 staat open en de eerste de beste cracker die SAINT (http://www.wwdsi.com) erop los laat weet waar uw zwakke plekken ziten. Een cracker (of virus) breekt via een exploit op het bastion host in en installeert en/of configureert hier een telnet of secure shell daemon. Als de met het internet verbonden PC via NETBIOS toegang tot een LAN server(s) heeft, kan een indringer via de op de gekraakte PC aanwezige netwerkprogramma's (ftp, tftp, http) bestanden van het LAN naar het internet exporteren. Daarom is het beter dat zo'n netwerkverbinding er gewoon niet is. En spreekt het vanzelf dat een LAN server nooit zonder wachtwoordbescherming op een verzoek van een webserver in de vuurlinie mag reageren. Een bastion host is niet te vertrouwen. Zijn er toch verbindingen met het interne netwerk (bijv. voor beheer op afstand) dan kan een extra router bescherming bieden.
Omgekeerd moet u ook voorkomen dat een op het werkstation vrijgekomen emailvirus via het NetBIOS (of email) de internetcomputer infecteren kan. En dat een niet via poort 80 draaiende server (Trojaans paard) cruciale bestanden naar het internet exporteren kan. Dat laatste is een taak van een pakket filter en netwerkadresvertaling.
De uiteindelijke schade zal vooral afhangen van de mate waarin een door een virus of hacker beschadigde firewall met de rest van het LAN in verbinding kan komen. Door packet filters en proxies bewaakte verbindingen, goede wachtwoorden en permissies spelen een cruciale rol. En hier is een virusvrij en sober (met weinig programma's) uitgevoerd multi-user besturingssysteem waarin de gebruikers (emaillezers, webusers) nooit onder het root account hoeven te werken enorm in het voordeel. Want hier kunt u een internet applicaties die onder hun eigen account draaien onder een pseudoshell die de alle toenaderingspogingen logt en waarvan de met ht internet verbonden kwetsbare processen dusdanig beperkte bestandspermissies hebben dat ze alleen maar zichzelf kunnen draaien. Want dan leidt een lek in de ene applicatie niet tot toegangrechten tot een andere applicatie.
Om die reden zou ik voor de proxy-firewall en www-server voor een geminimaliseerd/paranoïd ingesteld Linux of BSD multi-user systeem met Apache kiezen. Onder Linux draait deze beproefde webserver niet onder het root account. Iemand die via de webserver inbreekt, krijgt dan niet de permissies van het systeem. Voor het cruciale rootaccount neemt u een extra lang wachtwoord dat moeilijk te raden is. Dat als het even kan niet het beheerdersaccount van de rest van het LAN is. U zorgt er verder voor (packetfilter, TCP wrappers en scherpe server-instellingen) dat de overige op de firewall draaiende servers (secure shell deamon, webmin) alleen vanaf 192.168.1.0/24 te benaderen zijn. Dan kunt u op het LAN van alles booten, inclusief een (nu wel) veelomvattende en goedkope Linux server voor het LAN (met TCP wrappers en eventueel een tweede firewall), hoewel dat met NAT (ipgate on) of een proxyserver (ipgate off) op 192.168.1.5 niet meer nodig zal zijn. En als uw firewall toch op afstand wilt kunnen configureren, maak dan alleen gebruik van de inlogmogelijkheden met strenge encryptie (ssh). Kunt u het nog volgen? Ik adviseerde u niet voor niets deze zaken aan een gespecialiseerde webhoster over te laten.
Overigens zijn deze potentiële exploits/virussen ook goede redenen om de (software) firewall van een hardware router in te zetten. Als u geen servers draait is een hardware router met NAT voor het gehele netwerk een goede keus. Een virus of de server op een NAT via aangesproken werkstation zal nooit zelfstandig (als server) het internet met uw bestanden kunnen besmetten. Dat gebeurt alleen als u ze zelf (als emailclient) per mail verspreid. 100% actuele en 100% effectieve virusscanners bestaan niet. Een nagenoeg virusvrij OS (BEOS, OS/2, Linux, router OS) en anders een redelijk virus/exploitvrij Windows emailprogramma blijft dus noodzakelijk. Maar dat hebt u zelf in de hand.
|
Internet |
hardware router |
LAN (via hub/switch) |
|---|---|---|
|
|
|
192.168.1.5:80 (webserver) //webserver/xitami |
|
|
192.168.1.1 NAT (voor 192.168.1.0/24) |
192.168.1.2 (LAN servers) 192.168.1.3 (werkstation) 192.168.1.4 (werkstation) |
Met een hardware router kunt u ook specifieke poorten op bepaalde hosts (192.168.1.5:80) vrijgeven voor een gespecialiseerde OS/2 PC waarvan u bepaalde bestanden (bijv. \xitami) wel kunt benaderen vanuit het LAN, maar niet omgekeerd. In dit geval zou ik Xitami (en dus \bos225b4\webpages en \bos225b4\ftproot) bij voorkeur in de root van een apart logisch station willen installeren. En zeker niet op het station waar u \os2 en \emx bestanden bewaard. Verder is het verstandig om alle voorbeeld cgi-bin en perl scripts van het systeem te verwijderen.