Hoe veilig is mijn router?
referentie Z085B
In het algemeen:
een standaard ingestelde NAT-router biedt de gemiddelde gebruiker voldoende bescherming tegen aanvallen vanaf het internet. Het is niet altijd nodig om computers achter de router nog extra met een firewall te beschermen.
Maar...
Sommige gevaren zoals virussen kunnen niet door een router worden ondervangen en routers hebben ook enkele nadelen.
Conclusie
Wij raden thuisgebruikers aan om in aanvulling op een router als bescherming een virusdetectieprogramma te gebruiken.In het geval dat u zeer gevoelige (bedrijfs)gegevens wenst te beschermen raden wij een router aan met een verzwaarde firewall, maar dit is voor veel thuisnetwerken overdreven. Wireless verbindingen vragen om speciale aandacht.
Toelichting
De aanschaf van een router welke Netwerk Adres Translatie (NAT) doet (zoals bijvoorbeeld een standaard ingestelde Prestige 650 of 324) is waarschijnlijk de grootste stap bij het beveiligen van een thuisnetwerk. Informatie van buiten waar van binnen het netwerk niet om is gevraagd, worden door de router niet doorgelaten. Tenzij daar expliciet toestemming voor gegeven wordt. Deze beveiliging is heel effectief tegen inbraak op het netwerk. U heeft er geen omkijken meer naar en weinig kennis nodig om dit in te stellen.
Er zijn wel een paar gevaren waar een NAT router niet zonder meer bescherming tegen biedt:
- De router biedt zelden bescherming tegen virussen en wormprogramma's welke u door middel van e-mail of via het web binnen krijgt.
- De router beschermt niet altijd tegen een Denial of Service (DOS) aanval). Dit is een type aanval waarbij de router aan de buitenzijde wordt overbelast, waardoor u het internet niet meer kunt bereiken. Als het u overkomt is dit niet altijd een ramp, want de router beschermt u nog steeds tegen ongewenste toegang van buiten.
- De router laat alle verkeer van binnen naar buiten gewoon door.
- Sommige programma's kunnen niet goed met een router overweg.
- De router geeft uit zichzelf geen bescherming als u de gebruikers van het netwerk wenst te beschermen tegen ongewenste informatie van het internet als seks, geweld of racistisch gerichte websites.
Voor ieder van deze problemen wordt hieronder een mogelijke oplossing geboden.
1: Bescherming tegen virussen.
Veel virussen komen uw systeem binnen als bijlage van een email of vermomd als een programma dat ergens van een of andere website wordt verkregen. De router houdt dit niet tegen: door het activeren van het mailprogramma of het downloaden van de site geeft u de router immers expliciet de instructie de bestanden door te laden.
Doordat dit soort virussen zich vaak vermommen als onschuldige dingen worden zij "Trojaanse paarden" genoemd. Het zijn valse programma's in vermomming. U haalt ze binnen als iets onschuldigs en pas als u ze activeert blijkt hun ware aard. Dan is het te laat en doet het virus al zijn werk. Sommige virussen zetten de bescherming van de router van binnenuit uit, met als gevolg dat u opeens wel kwetsbaar bent geworden voor aanvallen van buiten.
De beste remedie is discipline gekoppeld aan een goed virusdetectieprogramma. Het probleem is dus niet op te lossen met een normale firewall
Een firewall met stateful inspection bekijkt alle verzoekjes van buiten of van binnen of er alleen legale verzoeken en antwoorden inzitten, of de volgorde van de pakketjes klopt, enzovoorts. Dit geeft een zekere bescherming tegen de nadelige effecten van trojaanse paarden. De Prestige 652 en ZyWALL serie routers beschikken over een dergelijke firewall.
Een application proxy firewall gaat nog een stap verder: alle verzoekjes van buiten of van binnen worden bekeken of het is wat het zegt te zijn. Zo ja, dan wordt het doorgelaten, anders wordt het geblokkeerd. Een dergelijk (N)IPS (Network intrusion protection system) beschermt goed tegen effecten van Trojaanse paarden en Beveiligt vaak ook tegen javascript, cookies en blokkeert meestal bekende virussen al bij het binnenkomen. Het is technisch de meest ingewikkelde oplossing, nog niet bedoelt voor de thuisgebruiker. De nieuwste hardware firewalls krijgen wel steeds meer mogelijkheden op dit gebied.
Let in ieder geval op de volgende punten:
- Open geen emails waarvan u de afzender niet vertrouwd.
- Open niet zomaar ieder programma dat u van Internet kunt downloaden.
- Als er tijdens het surfen op het world wide web allerlei schermen opeens opkomen, welke u uitnodigen allerlei software van het internet down te loaden en te installeren, doe dit niet tenzij u weet waarmee u bezig bent.
- Installeer een virusscanner op uw computer en houdt deze up-to date. Een virusscanner kan vaak voorkomen dat een computer besmet raakt, of de computer (deels) herstellen. Een actieve virusscanner kan echter de snelheid van uw computer iets vertragen.
- Heeft u onvervangbare gegevens op uw computer staan, maak dan een backup op bijvoorbeeld een floppy of CD-Rom
2: Bescherming tegen aanvallen van buiten.
Een zogenaamde DOS-aanval Denial Of Service)zorgt ervoor dat uw internettoegang wordt overbelast. Dit wordt uitgevoerd door de router te bestoken met een lawine aan informatieaanvragen van buitenaf. De router kan de toevloed niet goed verwerken en wordt daarmee van buiten af onbereikbaar. Daarnaast is de router ook de hele tijd bezig met het reageren op de informatieverzoeken, waardoor de toegang die u zelf achter de router tot het internet heeft ook dichslibt.
De gevolgen kunnen meevallen, want er wordt geen schade aangericht aan uw netwerk zelf en het gaat vanzelf weer een keer over. Maar als uw bedrijf voor zijn bedrijfsvoering afhankelijk is van goede internettoegang kan het gevolg van een DOS-aanval veel ernstiger zijn: verlies van klanten en omzet.
De meer geavanceerdere routers (zoals ZyXEL ZyWALL 10W) hebben de mogelijkheid om een DOS aanval te blokkeren. Dit kan meestal vrij eenvoudig op de router worden ingesteld. Dit heeft tot effect dat de router niet meer reageert op de informatieaanvragen. U kunt dan nog steeds normaal van binnenuit naar buiten. Toegang van buitenaf blijft echter overbelast tot de DOS-aanval "overwaait".
Op veel routers is het soms mogelijk de instellingen van de router zodanig te wijzigen dat een DOS aanval wordt afgeleid. U dient hiervoor de poort en filter-instellingen van de router aan te passen. Dit vereist gevorderde kennis van netwerken en internetverkeer. Veel moderne routers beschikken standaard over Attack Mitigation om dit soort aanvallen op te kunnen vangen. Ook routers met een eerder genoemde (N)IPS beschikken over deze mogelijkheden.
Nog meer mogelijkheden biedt een firewall welke is uitgerust met een (N)IDS, een (Network) Intrusion Detection. Hoewel dit op zich de "inbraak" niet blokkeert, wordt er wel alarm geslagen en worden allerlei gegevens van de inbraak opgeslagen, welke het makkelijker maken om de dader te achterhalen en herhaling te voorkomen.
Een alternatief is het gebruiken van een softwarematige firewall op de verschillende computers in het netwerk. Deze programma's waarschuwen u als er een "verdacht" contact naar buiten wordt opgezet en blokkeren het contact indien nodig.
Een dergelijke bescherming heeft echter ook zijn nadelen: een heleboel contacten zijn vrij onschuldig van aard. Met een dergelijk programma kan het voor komen dat u bij gebruik van bijvoorbeeld een browser om de 5 seconden van de firewall een waarschuwing krijgt dat er iets verdachts gebeurd. Het vereist vaak kennis en geduld om een firewall zo af te stellen dat hij wel extra bescherming geeft maar geen overlast bezorgt.
Indien u enige wijsheid gebruikt bij de keuze welke programma's u al dan niet installeert en op past voor virussen is het vaak niet zinvol of nodig om een extra firewall te installeren.
3: De router laat verkeer naar buiten door.
Deze eigenschap van routers vormt normaal geen nadeel. Echter, op het moment dat u een virus heeft zorgt deze eigenschap van een router er voor dat allerlei gegevens van binnen naar buiten kunnen worden verzonden. Ook is het mogelijk dat u een onschuldig lijkend programma op een computer installeert, dat allerlei gegevens naar buiten stuurt. Dergelijke "spionnage"- programma's kunnnen vrij onschuldig zijn, maar niet altijd.
Neem bijvoorbeeld een programma welke iemand anders precies op de hoogte houdt van welke websites u gebruik maakt?
Een oplossing voor dit probleem is het aanpassen van de filterinstellingen van de router. Dit vereist echter redelijk wat inzicht en kennis van de gebruikter.
Een wat drastischer oplossing is het installeren van een persoonlijke firewall, met alle voor- en nadelen welke ook al bij het vorige punt zijn opgenoemd.
Ook hier geldt dat de meest effectieve oplossing zelf discipline en voorzichtigheid is.
4: Sommige programma's kunnen niet goed met een router overweg.
Dit vereist enige uitleg:
Informatie op het internet wordt uitgewisselt in de vorm van pakketjes. Ieder pakketje heeft een aantal adresgegevens waarin wordt aangegeven voor wie het pakketje bedoeld is en waar het vandaan komt. De adresgegevens staan in een apart deel van het pakketje, de "header". Ze zijn als het ware een envelop voor de inhoud welke IP=Payload wordt genoemd. Bij gebruik van een router moet de router weten voor welke computer achter de router het pakketje bedoeld is. Om dit te bereiken past de router de adresgegevens (de "envelop") aan, zodat de inhoud uiteindelijk bij de juiste computer terecht komt. De geadresseerde bijft gelijk, maar de afzender op de nieuwe envelop is de router zelf.
De router bewaart de oude envelop voor het geval dat de geadresseerde computer iets terug wil zenden, want op de oude envelop stond immers ook de afzender! Als de computer wil reageren stuurt hij de reactie naar de router, want dat was immers wat de computer betreft de afzender. De router zoekt er de bijpassende (oude) envelop bij, doet de reactie in die oude envelop en stuurt hem retour afzender. Tot zo ver gaat alles goed.
Nu hebben sommige programma's de eigenschap dat ze adresgegevens niet in de header maar in de IP-Payload opnemen. Als de router een antwoord terug krijgt ziet hij dus niet alle gegevens van de oorspronkelijke afzender, want de router kijkt alleen in de "header". Dus stuurt de router de reactie terug naar de verkeerde of een onvolledige afzender, met alle gevolgen van dien. Dit alles heeft tot effect dat de communicatie niet goed verloopt en het programma het maar voor een deel of in het geheel niet doet.
Dit probleem is niet altijd even gemakkelijk op te lossen. De oorzaak van het probleem ligt immers buiten de router zelf. Het is mogelijk om een router zo in te stellen (in de NAT setup) dat hij bepaalde pakketjes als hij de oorspronkelijke envelop niet kan vinden altijd naar een bepaald adres toestuurt. Maar dit instellen vereist wat kennis en ervaring. Bovendien hebben sommige instellingen weeer beveilingingsrisico's omdat u daarmee de in de router ingebouwde firewall omzeilt. Met een DMZ (De-Militarized Zone) instelling kunt u bijvoorbeeld al het verkeer wat niet naar een specifieke computer wordt verzonden naar een speciaal daarvoor aangewezen computer laten sturen.Deze computer staat dan wel open voor de buitenwereld met alle beveiligingsrisico's van dien.
5: De router beschermt de gebruiker niet tegen verkeerde websites.
De hoeveelheid informatie die een willekeurige gebruiker op het internet kan vinden is enorm. Veel van die informatie is nuttig, nog veel meer informatie is niet interessant maar sommige informatie wil je niet aan iedereen ter beschikking stellen. Neem bijvoorbeeld een kind dat achteloos surfend in contact komt met seks en geweld, of de employee die in de tijd van de baas pornosites af gaat.
Deze problemen kunnen nooit met alleen technologie worden opgelost. De kern van de oplossing zit tussen de oren van de gebruiker: verantwoordelijkheidsgevoel, sociale controle en opvoeding.
De volgende technische hulpmiddelen kunnen helpen bij het oplossen van het probleem. Sommige van deze oplossingen zijn mogelijk door de instellingen van de router te wijzigen, sommige oplossingen kunnen worden aangeboden door uw internet provider.
Filters op sleutelwoord
Deze filters (content filters) controleren de adresregel (de "URL", de regel na www.) van de gezochte website op het optreden van bepaalde woorden, welke door de gebruiker kunnen worden ingesteld. Een dergelijk filter kan bijvoorbeeld bestaan uit "sex, seks, porno, bloed, oorlog" etcetera. Als een dergelijk woord voorkomt wordt de site geblokkeerd of de netwerkbeheerder gewaarschuwd.
Content filters zijn de meest directe, meest grove en minst effectieve manier om ongewenste websites uit te sluiten. Zij blokkeren vaak ook sites die de gebruiker helemaal niet wenst te blokkeren. De denken valt aan een site over de voormalige minister van volksgezondheid Borst. Of het volgende: een academisch ziekenhuis in Duitsland gebruikte een content filter met het woord "seks" en blokkeerde daarmee in een keer alle websites over seksueel overdraagbare ziektes. Dit werd niet op prijs gesteld door de studenten en medici.
Aan de andere kant laat een content filter vaak websites door welke nu juist wel geblokkeerd hadden moeten worden. Wat dacht u van een website met het woord "poesjes"? Blokkeren of niet?
Als laatste nadeel van een content filter geldt dat de beveiliging vrij makkelijk de omzeilen valt. Zij is immers gebaseerd op de URL van de website, niet op het IP adres. Dus als een gebruiker in plaats van www.seks.nl het IP adres van deze website in de adresregel van de browser invult krijgt hij of zij nog steeds verbinding.
Een variant van deze bescherming is een programma dat de hele tekst van de website controleerd op het voorkomen van een bepaald woord. Dit soort filters zijn natuurlijk niet in staat om een ongewenste afbeelding te blokkeren, dus in veel gevallen nauwelijks een verbetering op een programma dat alleen op URL blokkeert.
Blokkades van websites
Een veel effectievere methode is een lijst met websites waar de gebruiker niet mag komen. Dit wordt een NOT-lijst genoemd. Het gebruik van een dergelijke lijst gaat meestal in de vorm van een abonnement: de gebruiker betaalt voor het gebruik van de lijst voor een bepaalde tijd en krijgt in die tijd alle updates van de lijst automatisch toegezonden. De beheerders van de lijst zorgen er voor dat deze dagelijks wordt gecontroleerd en bijgewerkt.
NOT-lijsten hebben als voordeel dat ze zijn gebaseerd op een inhoudelijke controle van de website, niet op het optreden van een sleutelwoord alleen. De lijst wordt opgesteld door een deskundige redactie. De nadelen liggen voor de hand: de NOT-lijst is beperkt van omvang, loopt altijd (iets) achter bij de werkelijkheid en is gebaseerd op de normen en waarden van de opsteller. Wat in het ene land heel normaal is blijkt in het andere land genoeg om achter de tralies te komen.
Beperkte lijsten van toegestane sites
De meest drastische en effectieve manier om ongewenst gebruik van het internet af te schermen is het gebruik van een lijst met sites waar de gebruiker wel naar toe mag. Dit sluit alle andere sites uit. Zo'n lijst wordt een YES-lijst genoemd.
Ook een YES-lijst is beperkt van omvang. Dit betekent dat bij gebruik van een YES-lijst 99,99999% van het internet onbereikbaar wordt. De CyberYES lijst van Cyberpatrol bevat bijvoorbeeld 3000 verantwoorde websites welke voornamelijk interessant zijn voor Engelssprekende kinderen. Websites over Swiebertje, vakantiehuisjes op Vlieland en de site van de gemeente Harlingen zijn volmaakt onschuldig, maar ze staan niet op de YES list dus kan een gebruiker van deze lijst er niet bij.
Het gebruik van een YES-lijst wordt alleen aangeraden in die situaties waar alleen de toegang tot een zeer beperkt aantal sites wenselijk is.
Conclusies:
De techniek biedt verschillende mogelijkheden om ongewenst bezoek aan websites tegen te houden. De meest drastische manier is het gebruik van een YES-lijst, maar deze maakt normaal gebruik van het internet onmogelijk. De meest efficiente manier van beperking van internetgebruik is de combinatie van een content filter, een NOT-list, sociale controle en verantwoordelijkheidsgevoel bij de gebruiker.
De ZyXEL Prestige 304, 324, 334, 650H 11 en -13, 652 en de ZyWALL serie security routers hebben de mogelijkheid tot content filtering op basis van sleutelwoorden in de URL.
De nieuwere generatie ZyXEL ZyWALL security routers (2, 2WE, 5, 30, 35, 50, 70 en 100) en ADSL routers (Prestige 652 H en 653 H series) beschikken over content filtering op basis van een NOT list. Voor het gebruik van deze lijst dient echter een afzonderlijk abonnement af te worden gesloten.
Neem contact op met ZyXEL sales Nederland voor meer informatie over de mogelijkheden en verkrijgbaarheid van deze produkten.
6: Wireless verbindingen.
Een router wordt tegenwoordig vaak gecombineerd met een Wireless Access point, zodat een netwerk zowel via ethernet als via een wireless verbinding met de buitenwereld kan worden verbonden. Omdat iedereen met een fatsoenlijke wireless client in de buurt het zendsignaal van het access point kan ontvangen is er hier echter een beveiligingsrisico, dat niet door alleen de instellingen van de router alleen kan worden bestreden. De hacker valt namelijk direct de binnenkant van het netwerk aan en ontloopt op die manier ieder ingrijpen van een firewall, hoe goed dan ook.
Het verdient de aanbeveling om bij het gebruik van een wireless netwerk op zijn minst een aantal beveiligingsmaatregelen te nemen. Deze maatregelen en hun effectiviteit worden opgenoemd in een apart document:
De veiligheid van Wireless.
Relevante links
Attack Mitigation
De veiligheid van Wireless.
HI/DS
IPS
IDS
ZyXEL sales Nederland