Internet-installatie en -configuratiediensten

Aan de slag met het Internet

Beveiliging via een firewall

Een Internet-aansluiting beveiligen via een zogenaamde firewall begint met een inventariserend gesprek waarin de gewenste functionaliteit en het gewenste beveiligingsnivo van de Internet-aansluiting aan de orde komen. In de meeste gevallen levert dit voldoende informatie op om tot een offerte voor de implementatie van een firewall-setup over te gaan. In complexere situaties kan eerst nog een nadere voorstudie nodig zijn.

TUNIX bouwt en configureert voor u in een beperkt aantal mandagen een complete turn-key firewall-setup. De componenten van de firewall kunnen bestaan uit commerciële firewall-produkten die ingekocht worden, maar het kan ook maatwerk zijn of een combinatie van beide. Afhankelijk van de gewenste functionaliteit en het gewenste security-nivo zal de firewall-setup een bepaalde mix van de volgende componenten bevatten:

• Een IP-filter dat regelt welke vormen van IP-netwerkverkeer rechtstreeks tussen het interne netwerk en het Internet doorgelaten worden. Als filter wordt vaak een router gebruikt, maar het is ook mogelijk de bastion host (hierna omschreven) als IP-filter te gebruiken.
• Een bastion host: een computer waar al het verkeer tussen het interne netwerk en het Internet een verplichte "tussenstap" maakt. Op de bastion host wordt speciale programmatuur geïnstalleerd (zoals klassieke en transparante proxies, socks of udprelay) die het mogelijk maakt om op applicatie- en connectie-nivo te filteren en extra controles en beveiliging in te bouwen.
• Programmatuur voor het via de firewall uitwisselen van email en netwerk-nieuws tussen het Internet en het bedrijfsnetwerk. Het doorsturen van email kan gecombineerd worden met adres-maskerade (het onzichtbaar maken van interne machinenamen in email-adressen), controle op verdachte email-headers, en met vertaalslagen tussen intern gebruikte en extern zichtbare email-adressen.
• Systeem hardening: systemen die rechtstreeks aan aanvallen vanaf het Internet blootstaan (zoals de bastion host) moeten extra beveiligd worden door het systeem en filesysteem te strippen (ontdoen van alles wat niet strikt noodzakelijk is) en door de toegangscontrole tot de bastion host zelf te verzwaren via one-time passwords en/of challenge-response systemen. Daarnaast moet ook gezorgd worden voor speciale programmatuur die de integriteit van het systeem bewaakt door voortdurend te controleren op de aanwezigheid van essentiële processen, veranderingen in filesystemen, etc.
• Logging en alerting: bij firewall-systemen is erg belangrijk dat wordt voorzien in een logging en alerting systeem dat statusboodschappen voortdurend screent en classificeert en de beheerder inseint op basis van prioriteit. Het logging en alerting systeem produceert per dag en per week overzichtsrapporten met betrekking tot alle activiteiten via de firewall, waaronder alle verkeer dat heeft plaatsgevonden.
• Meervoudige DNS-functionaliteit: de bastion-host kan voorzien in een zgn. externe DNS-server evt. in combinatie met een of meerdere interne DNS-servers die niet zichtbaar zijn vanaf het Internet.
• Adres-translatie faciliteiten: belangrijk is vaak dat interne adressen niet zichtbaar worden op het Internet. Redenen kunnen zijn dat in het interne netwerk niet officiële adressen worden gebruikt, dat de interne adressen niet op het Internet gerouteerd kunnen worden of dat men Internet-provider onafhankelijk wil blijven.

De firewall-setup wordt door TUNIX voorgeconfigureerd en conform de met u overeengekomen security-policy opgeleverd, inclusief documentatie en instructie.

De benodigde hardware wordt in het kader van turn-key opleveringen door TUNIX meegeleverd. Het platform voor de bastion host is een dedicated voor deze toepassing geassembleerd Intel gebaseerd systeem.

Web-server

Een veelgebruikte aanpak bestaat uit een Web-server die in een apart subnetwerk aan de (onveilige) Internet-zijde van de firewall wordt geplaatst. Bij deze aanpak loopt het interne netwerk geen extra gevaar: zelfs in het geval dat de Web-server gecorrumpeerd wordt, beschermt de firewall het interne netwerk nog steeds.

TUNIX bouwt en configureert voor u in een beperkt aantal mandagen een complete Web-setup, bestaande uit een of meer van de volgende componenten:

• Een Web-server (bijvoorbeeld de freeware NCSA of CERN of de commerciële Netscape server), al dan niet voorzien van faciliteiten voor beveiligde financiële transacties. De Web-server kan eventueel gecombineerd worden met een anonymous ftp server om archieven van documenten of programmatuur aan te bieden. Om eventuele server- (CGI) scripts veilig te kunnen gebruiken wordt voorzien in een afgeschermde omgeving waarbinnen de Web-server draait.
• Faciliteiten waarmee nieuwe Web-pagina's of anonymous ftp-bomen vanaf een beperkt aantal (expliciet aan te wijzen) interne systemen via een speciaal beveiligde procedure toegevoegd kunnen worden.
• De Web-server kan extra beveiligd worden door het systeem en filesysteem te strippen (ontdoen van alles wat niet strikt noodzakelijk is) en door de toegangscontrole tot dit systeem te verzwaren via one-time passwords en/of challenge-response systemen. Daarnaast kan op de Web-server ook gezorgd worden voor speciale programmatuur die de integriteit van het systeem bewaakt door voortdurend te controleren op de aanwezigheid van essentiële processen, veranderingen in filesystemen, etc.
• Een logging en alerting systeem dat statusboodschappen voortdurend screent en classificeert en de beheerder inseint op basis van prioriteit. Het logging en alerting systeem produceert per dag en per week overzichtsrapporten met betrekking tot alle activiteiten van de Web-server, waaronder statistieken over het gebruik (de benaderde pagina's).
• Gecentraliseerde configuratie-files en herconfiguratie-programmatuur, waardoor het beheer van de Web-server op afstand over het netwerk plaats kan vinden.
• In sommige situaties is het gewenst om de externe publieke Web-server via de firewall te koppelen aan interne informatie-bronnen. Hierbij is het niet zozeer de koppeling op zich die de problemen oplevert, als wel het opzetten van een veilige koppeling: de externe Web-server bevindt zich immers meestal aan de externe en dus onveilige zijde van de firewall.

De Web-server wordt door TUNIX voorgeconfigureerd en conform de met u overeengekomen wensen opgeleverd, inclusief documentatie en instructie.

De benodigde hardware wordt in het kader van turn-key opleveringen door TUNIX meegeleverd. Het platform voor de bastion host is een dedicated voor deze toepassing geassembleerd Intel gebaseerd systeem.

TUNIX kan desgewenst ook zorgen voor ondersteuning op het gebied van document-ontwikkeling (HTML, VRML, Java) en CGI-programmering, of voor remote beheer van het systeem na oplevering.

Verdere inrichting van interne netwerk

• Inrichting van de interne mail-omgeving
  Het inrichten van de interne mail-omgeving kan de nodige voeten in de aarde hebben. De eenvoudigste organisatie is die waarin een centraal UNIX-systeem als mail-server gebruikt wordt en waarbij gebruikers hun (interne- en Internet-) mail via het netwerk kunnen lezen. Aanmerkelijk ingewikkelder wordt het wanneer bestaande interne mail-systemen (zoals CC-mail of Lotus mail) gekoppeld dienen te worden aan Internet-mail.
• Inrichting interne DNS-omgeving
  Bij grotere (op TCP/IP gebaseerde) interne netwerken wordt de naamgeving- en adresserings-problematiek snel complexer. Er dient een adequaat nummer-plan bedacht te worden en er moeten een of meerdere DNS name servers opgezet worden.
  In eenvoudige situaties kan de firewall de interne DNS geheel op zich nemen. In complexere situaties is het verstandig om daarvoor een apart systeem te nemen of zelfs een reeks van aan elkaar delegerende systemen op te zetten.
• Installatie van Internet-programmatuur
  Om Internet-toegang te kunnen krijgen moeten PC's worden voorzien van de benodigde TCP/IP programmatuur. Daarnaast moet een en ander zodanig geconfigureerd worden dat de PC's op een beveiligde manier (dus via de firewall) met de Internet-toepassingen omgaan.
• Secure Virtual Private Networks (SPVN's)
  In veel situaties bestaat het interne bedrijfsnetwerk niet uit één gecentraliseerd LAN, maar uit diverse gedecentraliseerde LAN's. Het koppelen van gedecentraliseerde local area netwerken kan via privé ISDN- of huurlijnen gebeuren, maar ook via het Internet. In het laatste geval wordt veelal gewerkt met speciale technieken waarbij een security-technisch veilige privé-huurlijn wordt gesimuleerd over het Internet. Zo ontstaat een zogenaamd Secure Virtual Private Network.
  Het Internet kan ook worden gebruikt om medewerkers vanaf thuis toegang te verlenen tot het interne netwerk. De firewall kan hierbij voorzien in sterke authenticatie (het verifiëren of de verbinding door de juiste persoon wordt gelegd), al dan niet in combinatie met versleuteling van het dataverkeer.
• Inrichting van een Intranet
  Bij grotere organisaties zien we de laatste tijd dat Internet-toepassingen als email, discussiegroepen en World Wide Web ook voor interne doeleinden ingezet worden: om de communicatie en informatie-uitwisseling tussen de diverse werknemers, projecten en vestigingen te stroomlijnen. TUNIX kan u ook adviseren en assisteren bij deze zogenaamde Intranet toepassingen.