Eigen server beveiligen

Alle abonnees van XS4ALL mogen zelf een server draaien, bijvoorbeeld om zelfstandig e-mail af te handelen. Deze grote vrijheid brengt ook een grote verantwoordelijkheid met zich mee. De beveiliging van de server moet goed zijn. Dat voorkomt dat kwaadwillenden de server misbruiken en daarmee u en anderen schade berokkenen.

In artikel 5.3 van de Algemene Voorwaarden is opgenomen dat abonnees van XS4ALL andere internetgebruikers geen schade mogen toebrengen. Hieronder valt ook de schade die een slecht geconfigureerde mail- of proxyserver kan veroorzaken.

Mailserver - open relay

Een open relay is een mailserver die niet goed is beveiligd en door iedereen gebruikt kan worden om e-mails te versturen. Bijvoorbeeld bij login-wachtwoordcombinaties als "admin-admin". Spammers maken hier dankbaar gebruik van. Zij blijven buiten schot, terwijl de eigenaar van de open relay als verantwoordelijke wordt gezien.

Proxyserver- open proxy

Een open proxy is een proxyserver die niet goed is beveiligd en daardoor internetverkeer van alle gebruikers en netwerken accepteert. Een open proxy wordt veelvuldig misbruikt door spammers en hackers om hun sporen te wissen.

Risico's

Hieronder vindt u een korte beschrijving van de meest voorkomende vormen van servermisbruik. Daarna geeft XS4ALL u een aantal beveiligingsadviezen:

  • Phishing
    Zonder uw medeweten is een phishing-site op uw webserver geplaatst. Een phishing-site is een kopie van een bestaande website. Het doel van phishing is het achterhalen van gegevens van derden om deze vervolgens te misbruiken.
  • DDoS aanvallen
    Een hacker kan trojans achterlaten op uw server. Via een botnetwerk kunnen deze trojans vervolgens DDoS-aanvallen (Distributed Denial of Service) uitvoeren op andere computers en websites met als gevolg dat deze machines niet meer normaal functioneren en websites bijvoorbeeld onbereikbaar worden.
  • Misbruik van schijfruimte en bandbreedte
    Hackers gebruiken uw server als opslagruimte voor illegale software, films en muziek. Anderen downloaden deze bestanden vanaf uw server. Zonder dat u het weet, speelt uw server een belangrijke rol in de verspreiding van illegale media, daalt uw internetsnelheid door het vele downloaden en u mist GB's aan schijfruimte.

Beveiligingsmaatregelen

  • Let op de kwaliteit van scripts (cgi, php) die u gebruikt. Pak altijd de recentste versie van kant-en-klare scripts. Zorg dat u op de hoogte blijft van nieuwe versies waarin eventuele beveiligingsproblemen worden aangepakt.
  • Let op eventuele zwakheden in 'Toegang op afstand.' Beveilig toegang op afstand op basis van hostname en IP-adres. Gebruik voor de toegang altijd een sterk wachtwoord.
  • Verwijder gebruikers die niet op een systeem thuishoren onmiddellijk. Zorg dat usernames als 'anonymous' standaard niet kunnen worden gebruikt en geen enkel recht hebben. Beperk de rechten van de gebruikers die u wel toegang geeft.
  • Let op mogelijk zwakke plekken in de aanwezige login/wachtwoord combinaties. Wijzig ze altijd wanneer u misbruik vermoedt. Gebruik nooit wachtwoorden die hetzelfde zijn als de gebruikersnaam. Gebruik altijd een combinatie van letters, cijfers en/of leestekens.
  • Controleer regelmatig of alle aanwezige software en beveiliging is voorzien van de laatste updates.
  • Scan uw server regelmatig met een virusscanner.
  • Gebruik een 'rootkit checker' om te controleren op zaken die niet op de machine thuishoren. Meer informatie hierover leest u op chkrootkit.org (Unix / Linux / Mac OS) of sysinternals.com (Windows).
  • Controleer, indien van toepassing, de docroot en de var/ tmp files op onregelmatigheden. Trojans en malware kunnen zich hierin verschuilen.
  • Gebruik een firewall. Sluit alle poorten die u niet gebruikt. Dit geldt zowel voor inkomend als voor uitgaand internetverkeer.
  • Bekijk regelmatig de logfiles van uw firewall. Schakel de notify-functie van de firewall in. Bij afwijkend verkeer geeft uw firewall dan een waarschuwing.
  • Overweeg om naast uw firewall gebruik te maken van TCP-wrappers. Deze extra beveiligingslaag voorkomt dat er van buitenaf ongewenste commando's worden gegeven aan de server. U kunt bijvoorbeeld een daemon, een proces dat reageert op inkomende verzoeken om diensten uit te voeren, alleen toestaan interne verbindingen te accepteren.