Frank Brokken f.b.brokken@rc.rug.nl
Vorige maand was ik weer eens in Chepstow, op de grens van Engeland
en Wales. Hier bevindt zich het kasteel dat het oudste stenen fort is
van Engeland (zie ook
www.castlewales.com/chepstow.html).
Hoewel ik jaren
geleden Chepstow al eens had bezocht, was deze keer minstens zo
interessant: mijn vriend Larry Moran is Amerikaan, maar verblijft een
groot deel van het jaar in Engeland, waar hij 'tourguide' is bij een
reisorganisatie. Het aardige is dat hij vanwege die functie veel en
boeiend kan vertellen over de geschiedenis van Engeland en
Wales.
Stel je voor dat je zo rond de tijd van Willem de Veroveraar in de
buurt van Chepstow woont. Je verzamelt een aantal kornuiten om je heen
en besluit de fortificatie van de kasteelheer die zich in Chepstow heeft
gevestigd maar eens stevig aan te pakken. Dat valt dan nog niet mee,
maar 't is niet ondoenlijk: de afgebeelde schets geeft weer hoe dat
kasteel er rond 1100 uit heeft gezien:
Direct wordt duidelijk dat de klus niet eenvoudig is: aan de
noordkant bevinden zich steile rotsen en daar kom je met je manschappen
niet goed tegenop. Verder is er iets van een slotgracht, met een
versterkte muur. Wanneer je al kans ziet om daar doorheen te komen, dan
wacht je ongetwijfeld een beschieting vanaf de muur aan de zuidkant.
Bovendien kunnen de verdedigers zich ook nog eens terugtrekken in de
'grote toren' die centraal in de fortificatie staat.
Hoewel lastig in
te nemen, moeten de bewoners van het fort zich hebben gerealiseerd dat
ze zich in een boeiende periode in de geschiedenis bevonden, en dat wat
rond 1100 adequaat leek ruim honderd jaar later in hoge mate
ontoereikend zou kunnen zijn. De latere bewoner, Roger Bigod III, heeft
de fortificatie dan ook behoorlijk uitgebreid. Links (oost) en rechts
(west) van de grote toren zijn belangrijke uitbreidingen van het
oorspronkelijke fort gerealiseerd:
Het fort anno 1300 biedt aan de oostkant een aantal zware en
versterkte torens, met een extra muur en torens op de plaats waar het
fort anno 1100 z'n oostelijke grens had. De noordkant blijft verdedigd
door de natuurlijke barri貥 in de vorm van de rivier en de steile rotsen
en ook aan de westkant is er het een en ander bijgebouwd.
Het
bijzondere van de constructie aan de westkant is dat het een val is. Let
op de meest westelijke (rechter) toren: geen bijzonder indrukwekkende
constructie. Maar de zuidwestelijke toren domineert via een halfopen
constructie de binnenplaats, en potenti묥 aanvallers die via de
westelijke poort binnenkomen worden daar verrast door een sterke
verdediging die vanuit de zuidwestelijke toren niet naar buiten, maar
juist naar binnen is gericht. De aanvallers komen op de binnenplaats,
waar ze zonder verdere dekking kunnen worden beschoten. Ze staan dan
letterlijk voor schut.
Doel van dit soort fortificaties is te voorkomen dat de aanvaller
zich toegang verschaft tot de grote toren, waar de kasteelheer is
gehuisvest. Het is niet onmogelijk voor een aanvaller om de toren te
bereiken, maar 't wordt hem niet makkelijk gemaakt: overal zijn
versperringen, lastig te nemen barri貥s en uitnodigende aanvalsroutes die
de aanvaller bij nader inzien in een `no way out' positie brengen. Er
kunnen prachtige parallellen worden getrokken tussen de manier waarop
deze middeleeuwse forten zijn geconstrueerd en de manier waarop we
tegenwoordig denken over computerbeveiliging.
Belangrijk is dat je daarbij het perspectief niet uit het oog
verliest: waar het om gaat is uiteindelijk de beveiliging van de
computer of werkstation, net zoals alles om de `grote toren' draait in
het kasteel van Chepstow.
- Zo'n muur om een fort lijkt dan veel op een firewall: je komt er
niet zomaar doorheen.
- Een binnenplaats die omgeven is door versterkte torens lijkt op
een `gedemilitariseerde zone': wie die zone passeert wordt
ongetwijfeld opgemerkt en bij een volgende verdedigingslinie
gestopt.
- De hoge torens op de hoekpunten van een fort geven de
verdedigers de gelegenheid om zo snel mogelijk te constateren dat er
iets bijzonders aan de hand is. Binnen computers doen we dat door
'logfiles' (vaak automatisch) te inspecteren, en door 'portsentries'
te installeren: programma's die kunnen controleren of van buitenaf
wordt geprobeerd in te breken in onze computer.
- Maar misschien graaft de aanvaller wel een ondergrondse gang, om
zo ongemerkt in het fort binnen te dringen. De moderne variant: de
'root-kit' die het de `hacker' mogelijk maakt om via een
achterdeurtje ongezien toegang te krijgen tot onze computer. Wij
kunnen daar iets tegen ondernemen: 'file integrity testers' kunnen
worden ingezet om te controleren of onze systeem- en andere software
door een hacker is aangetast.
- Wellicht zijn niet alle toegangspoorten tot het kasteel goed
afgesloten, waardoor de aanvaller gewoon binnen kan komen. De
parallel: onnodige 'services' op je computer installeren:
mailservers, ftp-servers, telnet-servers zijn allemaal voorbeelden
van toegangsroutes die bij de meeste computers onnodig zijn, en dus
niet zouden moeten zijn ge﮳talleerd. Soms is dat wel zo, zonder dat
je je daar nou zo bewust van bent.
- Bij de constructie van een fort wordt er dan ook naar gestreefd
om het aantal toegangspoorten te minimaliseren. Elke poort is weer
een zwakte in het fort, waarop een aanvaller (voorzien van een goede
stormram) zijn aanval kan concentreren. Ook hier vinden we een
analogie: bij een recent uitgevoerde 'portscan' op een local area
network bleek dat er veel computers waren die (onnodig)
toegangsroutes naar 'de buitenwereld' open hadden staan. Zo'n
portscan kan eenvoudig worden uitgevoerd (neem desgewenst hierover
contact met mij op), terwijl de oogst altijd de moeite waard is.
- Maar werkelijk het stomste wat onze kasteelheer kan doen is
natuurlijk de sleutel van zijn kasteel aan de wilgen buiten het fort
hangen. De parallel: je username en password onder je toetsenbord
plakken, of een makkelijk te raden password hanteren of je username
en password onversleuteld intypen voor een agenda- of ftp-server of
bij een telnet-verbinding. Da's natuurlijk vragen om moeilijkheden.
Uiteindelijk ben je zelf altijd de belangrijkste schakel in de
beveiliging van je eigen computer.
Uiteindelijk is niets bestand
tegen een domme kasteelheer, nietwaar?
Wie wil er nou iets leren van de geschiedenis? Keer op keer lijkt dat
niet of nauwelijks te gebeuren. Terwijl de parallellen toch zo voor de
hand liggen. Computer- en internet-beveiliging krijg je niet cadeau.
'Het netwerkbeheer' kan flinke stenen bijdragen: gelaagde
verdedigingslinies, slimme methoden om aanvallers te laten struikelen,
virus scanners, noem maar op.
Wat is middeleeuwse geschiedenis toch een leuk vak.
Tenslotte, laat je niet in slaap sussen door een gevoel van
schijnveiligheid. In de vorige Pictogram richtte ik me op het gebruik
van PGP. Zoals dat een goed evangelist betaamt heb ik het PGP-evangelie
ook uitgebreid in mijn vrienden- en kennissenkring verspreid.
Vorige
week is de laptop van een van mijn vrienden gestolen. Dat is vervelend,
maar gelukkig had hij inmiddels alle gevoelige informatie met PGP
versleuteld. De tijdsinvestering om met PGP te leren werken betaalt zich
zo wel heel concreet terug. Reken maar dat dat de nodige slapeloze
nachten heeft voorkomen.
Zoals altijd: aarzel niet om contact met mij of de overige leden van
de security kerngroep op te nemen bij vragen, opmerkingen of
onduidelijkheden: www.rug.nl/rc/organisatie/pictogram/archief/security.