Internetveiligheid komt in vele soorten en maten. Met veiligheid wordt hier bedoeld het beschermen van data en de continuïteit van het gehele systeem. Het verdient aanbeveling om uw systeem regelmatig te toetsen aan dit veiligheidsoverzicht en het is zeker verstandig om met alle gevallen rekening te houden. Daarom hieronder een overzicht van veiligheidsrisico`s met mogelijke oplossingen. Natuurlijk kan er ook geprobeerd worden om de eigen server te hacken om gaten te ontdekken.

1. Back-up en Restore
2. Passwords
3. ZIP hack yourself

Back-up en Restore

De back-up en restore worden uitgevoerd met scripts. Vergeet niet om de rechten van deze scripts op uitvoerbaar te zetten. Er bestaat nog meer (deels verouderde) documentatie over de back-up en restore. Back-up Handmatig De back-up kan handmatig worden uitgevoerd door scripts te runnen in een terminal. sudo gedit /etc/cron.daily/zbackupvol1 Voor een handmatig back-up rondje. Automatisch Dit kan worden geautomatiseerd door de scripts op te nemen als een zogenaamde cron-job (uitleg). sudo cp /var/www/html/login/backup/zbackupvol1 /etc/cron.daily/ Voor een dagelijkse, automatisch back-up. Back-up script www server sudo gedit /login/backup/zbackupvol1 Dit script schrijft alle bedrijfskritische data naar schijf vol1 (bekijk script). De kern is sudo rsync -r --exclude=".*" $path /media/vol1. Dit kopieert incrementeel en laat verborgen bestanden weg. Back-up scripts Raspberry Pi sudo /var/www/html/login/backup/zbackupvol2 dagelijks Dit script maakt een backup van de de Raspberry Pi SD-kaart naar de RASPDISK. Dit betreft de mappen /home en /var/www/. Verder worden de backup-scripts en de fstab file gekopieerd. Dit script duurt nog geen minuut. sudo /var/www/html/login/backup/zbackupvol3 wekelijks Dit script maakt een backup van de RASPDISK naar schijf vol2 (bekijk script). Dit zijn de mediabestanden (/var/www/media) en overtollige data (/var/www/obsolete is ong 63.000 files). Deze schijf wordt nooit gewist maar neemt alle wijzigingen en nieuwe data op (merge). De uitvoering van dit script kost ongeveer 5 uur. Om dit proces wekelijks automatisch te laten uitvoeren: sudo cp /var/www/html/login/backup/zbackupvol2 /etc/cron.weekly/. N.B. Deze procedure schrijft naar de backup schijven zonder iets te wissen. Dus als er iets op de originele schijf wordt gewist, dan zal het wel blijven bestaan op de backup schijven. Dit kan weinig kwaad maar het is wel zo elegant om af en toe de overbodige bestanden te wissen. Controle back-up Er bestaan meerdere manieren om te bekijken of der backup correct is verlopen. Bekijk het resultaat op vol1 en vol2. Cron daily genereert mail. Cron daily genereert mail die u kunt bekijken in /var/mail/root. Al u dit onhandig vindt vanwege de bijzondere status van de root dan kunt u de bestemming van deze mail verleggen naar een ander e-mailadres. Doe een sudo gedit /etc/crontab en voeg in boven cron-daily regel: MAILTO="rboek2@gmail.com". Restore Met sudo nautilus kunt u op simpele wijze de gehele backup terugzetten. Indien de pgsql database is gerestoreerd dan moet deze met de procedure beschreven in Server Setup ook nog worden geactiveerd. Om te kunnen werken is enkel een restore van de schijf met bedrijfskritische processen nodig (=Vol1). Maar te zijner tijd moet ook de schijf met media en obsolete (=Vol2) worden teruggezet. Dit is ook een mooi moment om weer eens een format uit te voeren van de netwerkschijven. cp -nrv /media/vol2/media/* /var/www/media werkt natuurlijk ook.




Passwords

Zie ook Aanmelden. Passwords zijn bijzonder belangrijk. Iemand in het bezit van een geldig password kan in principe het systeem hacken en onklaar maken of misbruik maken van data. Iemand die geen geldig password heeft, kan talloze trucjes uitproberen om toch een geldig password uit te vinden. Echter als een password aan onderstaande regels voldoet, dan wordt het bijna onmogelijk om een password te ontcijferen door een programma. Kraakbaar zijn al die passwords die door vergelijkend proberen kunnen worden getest, d.w.z.: datums, eigennamen, woorden uit woordenboeken, toetsenbordsequenties. Het beste is een acroniem (te onthouden), voorzien van een niet alfanumeriek teken met een lengte van 8 posities. Deze voorwaarden zorgen ervoor dat een password bijna onkraakbaar wordt door bijna alle automatische password krakers. Zij hebben de beschikking over programma`s die dit rustig voor hen uitzoeken! Goede passwords zijn een mix van nummers en letters (waarbij de letters zowel groot als klein moeten zijn) en 1 letterteken zoals het verbindingsstreepje. Een goed password heeft minimaal 8 tekens. Het is voorlopig makkelijk om gebruikersnaam en password gelijk te houden aan de Windows inloggegevens. Maak een gebruikersnaam niet langer dan 8 posities, ivm Windows? Acces? Novell? Linux? Samba? Zodra een medewerker de organisatie verlaat, moeten zijn passwords worden gewijzigd/verwijderd. Er zou eigenlijk een boomstructuur moeten bestaan, met bovenaan de projectleider. Passwords kunnen geheim gehouden worden d.m.v. enveloppen. Af en toe (per kwartaal?) zal er een controle ronde gehouden moeten worden. D.w.z. in het bijzijn van de gebruiker eerst enveloppen openen, vervolgens controleren en dan een nieuw password instellen en dit testcracken. Let in deze controleronde ook op de autorisaties van de gebruikers. Toegestane tekens De toegestane tekens voor een password zijn minimaal: abcdefghijklmnopqrstuvwxyz (alle kleine alfa tekens) ABCDEFGHIJKLMNOPQRSTUVWXYZ (alle grote alfa tekens) 0123456789 (alle numerieke tekens) Er zijn nog vele andere karakters die ook toegestaan zijn, maar dit moet expliciet worden uitgezocht. Niet toegestaan Belangrijk is ook nog dat er een lijstje komt met karakters die niet toegestaan zijn en de verklaring daarvoor. Een veilig password mag nooit beginnen met @.




Zelfonderzoek Internetveiligheid Protocol

Het ZIP is in het leven geroepen om enkele basic controles uit te voeren die onze veiligheid op het internet moeten garanderen. Afgezien van common sense tijdens het gebruik van een servercomputer is het verstandig om ons bijvoorbeeld te wapenen tegen onze crackende broeders. Of onze luisterende broeders. Deze criminelen hebben vele (geautomatiseerde) tools tot hun beschikking, ondanks dat het in Nederland verboden is om dergelijke tools zelfs maar op je computer te hebben staan. Maar ja, crackers kunnen overal ter wereld zitten. Waar kunnen we eigenlijk aangevallen worden? Dat is helaas op meerdere manieren. Crackers Dit is de makkelijkste manier om te proberen. Vrijwel iedereen met een beetje netwerkkennis heeft wel toegang tot het internet. Die kan heel wat op u loslaten, maar u kunt zich er ook heel redelijk tegen wapenen. Zet op uw server gewoon geen poorten open. En controleer degene die u openzet wel nauwkeurig. Let er ook op dat al uw met internet verbonden hardware een password heeft. In onze huidige configuratie staat enkel poort 80 open. Internettap Een internettap (wiki) is een illegale manier om te proberen binnen te komen. Er is ook speciale hardware voor nodig. Zo moet u wel met een password inloggen op uw router, maar als u vervolgens alles via een niet versleutelde verbinding verstuurd dan kunt u er vrijwel zeker van zijn dat het mogelijk is om bijv. passwords te onderscheppen. Dit kan ook door bijv. het wifi radio-signaal te onderscheppen. Die kan dus heel wat afluisteren, maar hier helpt encryptie. PING Allereerst gaat een cracker je computer opzoeken. Ping wordt vooral gebruikt om netwerkverbindingen te controleren. Ping bekijkt of een ipadres of URL bestaat en on-air is en meet vervolgens de tijd die nodig is voor een antwoord van het aangeroepen apparaat. Om ons netwerk te testen doe: ping 145.132.86.92 Ping is niet erg spectaculair, maar wel erg handig om netwerkverbindingen te testen. Ping bestaat dan ook onder ieder OS en het is zo simpel dat het ook veilig wordt geacht onder ieder OS. Het staat standaard dan ook vrijgegeven op alle apparatuur die ik ken. Maar het wordt ook gebruikt om bestaande IP adressen op te sporen. Ping kan worden uitgezet in onze router, onder DATA / FIREWALL. Doe dit. nslookup Een NameServer lookup laat alle info zien die er bekend is in de nameservers op het internet. Doe: nslookup robotigs.nl of nslookup -type=soa robotigs.nl nmap Neem van mij aan dat iedere cracker dit programma kent en het ook zal gebruiken. Hij gaat op die manier bergen informatie verzamelen over uw systeem. Zo gaat hij met: sudo nmap -O localhost kijken welke poorten er bij u openstaan. Iedere poort die openstaat geeft hem een potentiële kans op inbreken. Het nummer van de poort vertelt hem precies welk programma er draait en in combinatie met het OS weet hij of hij u kan aanvallen. Des te minder poorten er open staan des te minder risico u loopt. De veiligste weg is dan ook om altijd eerst te kijken op de server zelf wat er aan poorten openstaat en pas daarna te kijken wat de router daarvan ook nog eens doorlaat naar de buitenwereld. Een server heeft altijd poorten openstaan voor inkomend verkeer. Dat wil zeggen dat deze poorten data zullen verwerken als iemand ze daar naartoe stuurt. Het zijn natuurlijk niet de poorten zelf die het dataverkeer verwerken, maar de deamons die daartoe zijn opgestart door de server. De deamons bieden vervolgens een bepaalde service. Dat wil nog niet zeggen dat alle data wordt geaccepteerd, want het kan bij bepaalde service ook noodzakelijk zijn om bijv. te moeten inloggen. Daarom is een goede configuratie van de deamons erg belangrijk. Nmap is een programma dat wordt gebruikt om te kijken welke poorten er open staan op een bepaald IP-adres. Dat is vooral handig voor de systeembeheerder die zich wil wapenen tegen crackers. Des te minder poorten er open staan, des te minder aanvallen er mogelijk zijn. Aan de andere kant is het wel nodig om bepaalde poorten open te zetten, anders is er geen communicatie mogelijk. Maar zet ze gecontroleerd open. Nmap kan via Ubuntu installer worden geïnstalleerd. Poorten De volgende stap die een cracker onderneemt is het bekijken van de poorten. Laten wij dat als eerste doen en zorgen dat er zo min mogelijk poorten openstaan. Laten we bij het begin beginnen en dat is bij de programma s die de poorten openen en de reden waarom ze worden geopend. 21/tcp ftp Deze poort bedient de file transfer protocol aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). U kunt de status van deze poort controleren met: portprobe. Deze staat open op alle niveaus, dus zowel naar buiten, als binnen het thuisnetwerk alsook op localhost staat deze poort open. En dat willen we ook want dit is de poort waarmee we op afstand onze website kunnen bewerken. Doe nooit anonymus maar altijd dat een gebruiker moet inloggen. Zie ook vsftp set-up. 25/tcp smtp Deze poort bedient de Simple Mail Transfer Protocol aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki) en geeft als status: stealth. Dat is uitstekend.. U kunt de status van deze poort controleren met: portprobe. Deze staat open op alle niveaus, dus zowel naar buiten, als binnen het thuisnetwerk alsook op localhost staat deze poort open. En dat willen we ook want we willen mail kunnen ontvangen en zenden. 80/tcp http Deze poort bedient de Hypertext Transfer Protocol aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). U kunt de status van deze poort controleren met: portprobe. Deze staat open op alle niveaus, dus zowel naar buiten, als binnen het thuisnetwerk alsook op localhost staat deze poort open. En dat willen we ook want dit is de poort die onze website aanbiedt, oftewel onze internet server. Omdat hij openstaat verdient de configuratie van Apache aandacht m.b.t. tot de veiligheid. Ditzelfde geldt natuurlijk ook voor alle modules van Apache zoals PHP. 139/tcp netbios-ssn Deze poort bedient de Network Basic Input Output System aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). Dit is te checken met: portprobe en geeft als status: stealth. Dat is uitstekend. Dit is de poort die Samba aanbiedt, oftewel de netwerkschijven. Deze poort zal niet mogen werken voor gebruikers buiten ons lokale netwerk en mag dus ook niet geforward worden via de router. Deze poort is namelijk vatbaar voor een dDos aanval. En die willen we niet. Echter op ons lokale netwerk willen we ook een fileserver hebben waar we centraal bestanden op kunnen wegleggen en back-uppen. Blokken in de router is niet nodig, want hij wordt gewoonweg niet geopend en is dus closed. Kijk ook bij de Samba installatie. 445/tcp microsoft-ds Deze poort bedient de Server Message Block aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). Dit is te checken met: portprobe en geeft als status: stealth. Dat is uitstekend. Dit is de vernieuwde port voor Samba. Is erg gevoelig voor wormen. Helaas is de poort nodig voor DHCP communicatie binnen een netwerk. Gelukkig heeft de provider hem voor ons van buitenaf geblokkeerd. Zou geen kwaad mogen kunnen omdat dit op een Linux machine draait. Blokken in router geeft zekerheid en is eleganter en gebeurt tegenwoordig dus ook default. 631/tcp ipp Deze poort bedient de Internet Printing Protocol aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). Dit is te checken met: portprobe en geeft als status: stealth. Dat is uitstekend. Deze poort staat open vanwege cups: http://localhost:631/admin/. Dit staat enkel open op de localhost en wordt dus lokaal gebruikt om prints verzonden te krijgen. 5432/tcp postgresql Deze poort bedient de PostgreSQL aanvragen die binnenkomen via een niet beveiligde aanvraag (wiki). Dit is te checken met: portprobe en geeft als status: stealth. Dat is op zich uitstekend, maar betekend ook dat ik niet van buitenaf met PgAdmin3 kan werken. Beter is dan ook om PgAdmin4 lopend te krijgen, zodat de opening sowieso beperkt kan blijven tot localhost.

Robots waar dit onderdeel wordt gebruikt

mrBlue Dashboard

Algemene informatie
Laatste verandering	2022-04-27
Soort onderdeel	Warning: Trying to access array offset on value of type bool in /var/www/html/sys/include_sys_head.php on line 274
Status	Actief
KYcode
Prijsindicatie	0,00
Sketchvoorbeeld
Pinout
Icon	icons/linux_icon.png
Publiceer	Nee
Up to date	Nee

Laatstbewerkte onderdelen
2024-04-16	Verplaatst Muziektheorie
2024-03-26	Verplaatst µControllers
2024-01-21	Verplaatst Just4Fun Korg Triton
2024-01-21	Verplaatst Just4Fun KaTrifs
2024-01-21	Verplaatst Just4Fun Yamaha PSR 730