Serverbeveiliging is allerminst een statisch gegeven en daarom bepalen we in dit artikel een security-strategie. Het begrip server definiëren we vrij ruim: elk apparaat waarop services actief zijn en dus door clients benaderbaar. Je server beveiligen doe je als volgt.

De basis van je beveiliging wordt al tijdens de eerste serversetup gelegd (vooral als je het begrip ‘server’ toch in de nauwe zin interpreteert), maar ook na de installatie en configuratie moet je voortdurend je server(verkeer) monitoren en beveiligingsmaatregelen optimaliseren.

Elke degelijke beveiligingsstrategie omvat meerdere lagen. Niet alleen zijn er verschillende aspecten waarmee je rekening moet houden, de manier waarop je het ene onderdeel configureert of beveiligt kan bovendien een impact hebben op het andere: van het besturingssysteem via services en applicaties tot gebruikers- en netwerkbeheer.

Op deze pagina gaan we voorbij aan de voor de hand liggende veiligheidsaspecten en gaan we ervan uit dat je:

- Je fysieke servers afdoende afgeschermd hebt tegen ongeautoriseerde toegang;

- Dat je regelmatig zorgt voor updates van firmware, besturingssysteem, drivers en applicaties;

- Dat er – voor zover mogelijk – up-to-date antimalware-software draait;

- En dat je gebruikers bewust maakt van de risico’s.

We gaan er tevens van uit dat je in een robuuste serververbinding voorziet via ssh-verbindingen, bij voorkeur met sleutelverificatie.

Draai alleen wat je nodig hebt

Het liefst draaien er op je systeem alleen applicaties of pakketten die strikt nodig zijn voor de beoogde service(s), zoals php, MongoDB en ngix of .NET framework en IIS. Services (ofwel ‘serverrollen’ in de Microsoft-terminologie) en applicaties die overtollig zijn, verwijder je voor zover mogelijk, zodat automatisch ook de server-footprint en daarmee het aanvalsvlak verkleint.

In Linux doe je dat bij voorkeur via het pakketbeheersysteem van je distributies, zoals yum of dnf (in bijvoorbeeld CentOS, Fedora en Redhat) en apt (in bijvoorbeeld Debian en Ubuntu). In Windows kan dat onder meer vanuit het Configuratiescherm, hoewel er ook externe tools zijn die installaties automatisch kunnen monitoren om ze naderhand grondiger te kunnen verwijderen (zoals Iobit Uninstaller). 

©PXimport

Of je controleert zelf bestands- en registerwijzigingen tijdens een installatie, bijvoorbeeld met Process Monitor. Dat geeft je tegelijk een nuttige inkijk in de systeemaanpassingen die een nieuwe applicatie of service zoal doorvoert.

Wat Windows betreft ga je best ook na welke achtergrondservices zoal actief zijn: druk op Windows-toets+R en voer services.msc uit. Let hierbij goed op de afhankelijkheden (je vindt die via de eigenschappen van een service) en schakel nooit zomaar wat services uit.

Server hardening

Het uitschakelen van overtollige componenten en toegangsmachtigingen vormen een belangrijk onderdeel van wat ‘server hardening’ genoemd wordt. Dat is automatisch makkelijker voor elkaar te krijgen wanneer je het aantal serverrollen per server zoveel mogelijk beperkt. Een webserver bijvoorbeeld hoort eigenlijk niet thuis op een machine waarop je ook een databaseserver draait, vooral omdat beide servers verschillende beveiligingsniveaus vereisen. Dat hebben inmiddels al veel internetbedrijven ontdekt waarvan de gebruikersdatabase werd gehackt, zoals de webshop Allekabels.nl medio april 2021. 

Test via www.haveibeenpwned.com vooral of jouw eigen e-mailadres weleens buit gemaakt is bij zo’n hack. Een webserver hoort namelijk per definitie zichtbaar te zijn op internet, terwijl een database normaliter alleen bereikbaar hoeft te zijn voor een webserver of een andere applicatieserver. Eén primaire functie per server is trouwens al lang een officiële vereiste volgens PCI-DSS 2.2.1, een richtlijn in de creditcardindustrie.

Met een fysiek systeem voor elke service lijkt systeemsegmentering een dure grap te worden, maar je kunt ook elke server in een eigen virtuele machine onderbrengen. Dat kan via onder meer via hosted systeemvirtualisatie, waarbij de virtuele machine als een virtueel gastsysteem binnen het host-besturingssysteem draait (bijvoorbeeld met het gratis VirtualBox). 

Maar een baremetal-hypervisor, rechtstreeks op de kale pc geïnstalleerd, tussen de hardware en het besturingssysteem, is robuuster en krachtiger. Gratis is bijvoorbeeld VMware vSphere Hypervisor (ESXI-architectuur). Beschik je over Windows 10 Pro of hoger, dan kun je Hyper-V activeren, bijvoorbeeld door Windows PowerShell als administrator op te starten en het volgende commando uit te voeren:

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All

Na een herstart start je de applicatie Hyper-V beheer op.

©PXimport

Firewall-instellingen

Voor zover mogelijk heb je op je host uiteraard ook een firewall draaien. Het liefst configureer je die volgens het principe van ‘least privilege’ en sta je uitsluitend noodzakelijke verbindingen toe. Gebruik liever niet een firewallregel als deze (die elke bron toegang geeft tot je MySQL-database):

permit tcp any db-server 3306

Maar gebruik bij voorkeur onderstaande regel, zodat alleen een specifiek ip-adres toegang krijgt:

permit tcp <ip-adres> db-server 3306

Draait je server op Windows en gebruik je de ingebouwde firewall (die op zich prima is), weet dan dat je die zowel vanaf de Opdrachtprompt (netsh advfirewall firewall) als vanuit een grafische interface kunt aansturen (druk op Windows-toets+R en voer wf.msc uit). Of je gebruikt een externe en gratis beheertool in als Malwarebytes Windows Firewall Control.

Zo’n applicatiefirewall op de host zelf is absoluut raadzaam, maar nog veiliger is wanneer je een aanvullende perimeterfirewall gebruikt die aan de rand van je (thuis)netwerk werkt.

Je eigen router heeft vast enkele basale firewallfuncties ingebouwd, maar eventueel kun je alternatieve routerfirmware zoals OpenWrt of DD-WRT overwegen, die over meer flexibele firewallfuncties beschikken. Of je installeert je eigen security-appliance met een gratis tool als OPNsense (Community Edition) of Sophos XG Firewall Home Edition.

Vind je deze configuraties te complex, dan kun je ook de aanschaf van een hardware-appliance overwegen. Die zijn vaak stevig geprijsd (met abonnementen), maar er zijn ook betaalbare alternatieven zoals de Turris Shield. Deze registreert netwerkaanvallen en vult de bijbehorende ip-adressen continu aan in een blacklist (circa 99 euro).

©PXimport

Poortbeheer

Op Linux kun je je firewall (iptables) nog op een andere manier aanvullen: met behulp van de kernel-security-module SELinux (Security-Enhanced Linux). Deze firewall is standaard op CentOS- en Fedora-aanwezig, maar je kunt hem ook zelf installeren met het commando:

apt-get install selinux

Deze module beheert poorttoegang van applicaties, wat inhoudt dat wanneer je bijvoorbeeld de ssh-poort wijzigt, je die poort ook in SELinux voor je ssh-service moet openstellen. Je controleert de status met het commando sestatus. Indien actief, lees je achter de aanduiding SELinux status de tekst enabled af. Inschakelen doe je tijdelijk met:

setenforce enforcing

Of je gebruikt het onderstaande commando, in welk geval je wel waarschuwingen krijgt, maar geen blokkeringen:

setenforce permissive

Om SELinux permanent in te schakelen, geef je het commando:

sudo sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config

Via deze site kun je beleidsconfiguraties voor SELinux downloaden, voor diverse Linux-distributies.

Je doet er hoe dan ook goed aan de toegang tot poorten, vooral van buitenaf, geregeld te controleren. Een snelle poortcontrole voor één poort voer je uit via www.grc.com/x/portprobe=<poortnummer> of je laat in één keer alle poorten tussen 0 en 1055 scannen via ShieldsUP! 

Surf hiervoor naar de site van ShieldsUP, druk op Proceed en op All Service Ports. Een groen blokje betekent een stealth-poort, blauw is gesloten en rood is open. Stealth is nog iets veiliger dan gesloten, omdat die poort dan helemaal niet op binnenkomende datapakketten reageert. Let onder meer op poorten 22 (ssh) en telnet (23), aangezien hackers die graag in het vizier nemen.

©PXimport

In de afbeelding hierboven zie je dat poort 81 tijdens onze tests openstond. Dat kwam doordat we in onze router een portforwarding-regel hadden gedefinieerd die alle verkeer voor poort 81 naar een ip-camera doorstuurde. Nu is portforwarding nooit de veiligste oplossing, maar al helemaal niet als je er geen ip-filtering op toepast, zodat alleen bekende ip-adressen toegang krijgen. Een veel robuustere oplossing is via VPN (zoals OpenVPN), maar dit valt buiten de context van dit artikel.

Een snelle poortscan van buitenaf met een tool als ShieldsUP! is zeker zinvol, maar er zijn nog grondigere manieren om te testen hoe solide het poortbeheer van je router is. Dat kan bijvoorbeeld door (tijdelijk) de wan-poort van een tweede router aan een lan-poort van je buitenste router te koppelen. Vervolgens koppel je een pc aan die buitenste router en scan je de wan-zijde van de binnenste router met behulp van een securityscanner als het multiplatform Nmap, eventueel via de grafische interface Zenmap. 

Hiermee kun je grondig alle 65536 tcp- en udp-poorten testen. Overigens kun je ook de lan-kant van de router testen (die heeft wellicht een poort open staan voor lokaal beheer). Een volledige scan uitvoeren van een compleet subnet kan bijvoorbeeld met het commando:

nmap -sS -sU -T4 -A -v 192.168.0.0.24

©PXimport

Kwetsbaarheidsscanners

Hoewel Nmap ook als kwetsbaarheidsscanner kan fungeren dankzij de ingebouwde NSE (Nmap Scripting Engine) zijn er nog diverse andere securityscanners en je doet er goed aan ook zulke scans af en toe uit te voeren.

De Linux-distributie speciaal om penetratietests mee uit te voeren, Kali Linux, bevat de rubriek Vulnerability Analysis met onder meer de scanner Nikto, die je met een eenvoudig commando kunt uitvoeren:

nikto -h <ip-adres_of_hostnaam>

En als je toch een ‘pentester’ als Kali hebt geïnstalleerd, laat zeker niet na ook andere tools uit deze distributie op je servers los te laten.

Een andere scanner voor Linux is OpenVAS (Opensource Vulnerability Assessment System). De eerste setup voer je uit met de opdracht openvas-setup, waarna duizenden NVT’s (Network Vulnerability Test) worden opgehaald.

Nog een andere degelijke kwetsbaarheidsscanner is Nessus, de Essentials-versie is na registratie gratis voor het scannen van maximaal 16 ip-adressen. De tool, die ook de WinPcap-driver installeert, werkt aan de hand van duizenden plug-ins die elk naar een ander potentieel veiligheidslek speuren.

Via de webinterface (standaard op https://localhost:8834) roep je Nessus op en na een succesvolle registratie worden de plug-ins gedownload, een proces dat best lang kan duren. De bediening is bedrieglijk eenvoudig. Je geeft het gewenste scanbereik aan evenals de gewenste plug-ins (een selectie die je trouwens in een scanprofiel kunt bewaren. De kunst is de plug-ins doordacht te selecteren, aangezien een scan erg intensief kan zijn, vooral omdat Nessus een potentiële kwetsbaarheid daadwerkelijk tracht te exploiteren. Na afloop krijg je een uitgebreid scanrapport.

©PXimport

Router-instellingen

De router is al enkele keren ter sprake gekomen, wat niet vreemd is waar het de gateway van en naar je netwerk en servers is. Er noemen als eerste toch wat voor de hand liggende beveiligingsmaatregelen:

- controleer regelmatig op firmware-updates;

- gebruik een eigen en stevig wachtwoord;

- stel wifi in met WPA2 (of WPA3) en AES;

- schakel remote beheer, WPS en bij voorkeur ook uPnP uit (zeker aan de wan-zijde).

Zoals eerder vermeld vermijd je ook het gebruik van portforwarding, tenzij eventueel in combinatie met een strikte ip-filtering. Verder stel je de router zo in dat die niet op wan-pings reageert. De betere routers bieden tevens bescherming tegen diverse aanvallen, zoals DoS- en SYN Flood-aanvallen.

Het is wellicht ook beter om niet de standaard dns-servers van je internetprovider te gebruiken, maar servers die iets meer veiligheid bieden, zoals ondersteuning van DNSSEC en door het blokkeren van hostnamen op een actuele backlist. Degelijke alternatieven zijn Quad 9 (9.9.9.9 en 149.112.112.112) en Cloudflare (1.1.1.1 en 1.0.0.1). Via www.routersecurity.org/testdns.php vind je (online) tools om na te gaan welke dns-servers daadwerkelijk gebruikt worden.

Gebruik je de standaardrouter van je internetprovider, overweeg die te vervangen door een andere router of je plaatst er een tweede router achter. Zoals eerder vermeld, is het wellicht ook mogelijk de standaard routerfirmware door alternatieven als OpenWrt of DD-WRT te vervangen, aangezien die meer (beveiligings)functies bevatten. Sommige fabrikanten (zoals Linksys) voorzien sommige routers zelfs standaard van zulke firmware.

Netwerkisolatie

We raden je tevens aan je (thuis)netwerk te segmenteren, en wel zo dat het subnet met je servers of IoT-apparaten niet zomaar toegang krijgt tot het andere subnet waaraan je andere netwerkapparaten zijn gekoppeld (zoals pc’s en mobiele apparaten). Er bestaan verschillende mogelijkheden voor netwerkisolatie, maar die zijn niet allemaal even veilig. We gaan er hier niet van uit dat je netwerkapparatuur VLAN’s ondersteunt en dus kijken we naar alternatieven.

De eenvoudigste manier is door een gastnetwerk te creëren, een functie die je bij de meeste (thuis)routers aantreft. Schakel bij voorkeur de volgende opties uit:

- Allow guests to acces my local network;

- Allow guests to see each other;

- Access Intranet;

- Enable routing between zones.

En schakel de volgende opties juist in:

- Wireless client isolation;

- Internet Access only.

©PXimport

Een betere oplossing, die wel wat lastiger te configureren is, is het inzetten van een tweede of zelfs een derde router (vaak los je hiermee ook het probleem van een ondermaatse wifi-verbinding op als de router in de meterkast staat).

In een scenario met één extra router verbind je de secundaire, binnenste router via de wan-poort met een lan-poort op je primaire router. Stel het wan-verbindingstype van je secundaire router in op automatische configuratie via DHCP, zodat het wan-ip-adres door de DHCP-server van de primaire router wordt toegekend. Wat de lan-instellingen op je secundaire router betreft, gebruik je een ander ip-segment dan dat van je primaire router. Ook op deze router activeer je de DHCP-server.

Pc’s en mobiele apparaten koppel je aan je secundaire router, terwijl je servers en IoT-apparaten met je primaire router verbindt.

Drie routers

Je zult merken dat de apparaten van je buitenste subnet de toestellen van het binnenste niet zomaar kunnen benaderen, maar het omgekeerde kan nog steeds. Geef je de voorkeur aan twee volledig gescheiden subnetten, dan heb je nog een derde router nodig. Hierbij vertak je de primaire router via de lan-poorten rechtstreeks naar de andere twee routers, een zogenoemde Y-opstelling. Daar kijken we tenslotte nog even naar.

Voor het eerste binnenste subnet ga je op dezelfde manier te werk als bij de tweevoudige routeropzet, zodat het wan-ip-adres van de tweede router door de DHCP-service van de eerste router wordt toebedeeld. Ook de derde router configureer je zo, waarbij je er wel voor zorgt dat het lan-ip-adres weer in een ander subnet terechtkomt. Je servers en IoT-apparaten breng je in één van beide subnetten onder (die kun je wellicht van vaste ip-adressen voorzien zodat je hier de DHCP-service kunt uitschakelen).

Wil je servers absoluut via portforwarding van buitenaf bereikbaar maken, dan zul je merken dat dit met deze constructie niet zonder meer gaat. In dat geval moet je een dubbele portfowarding instellen: eerst op je primaire router naar het wan-ip-adres van je andere router en vervolgens op deze router naar je eigenlijke server.

Om dat te vermijden kun je eventueel de DMZ-functie in je primaire router inschakelen, waar je vervolgens alleen het wan-ip-adres van de andere router invult. In dit geval moet je alleen nog portforwarding-regels instellen op deze laatste router. Deze opzet is wel iets minder veilig en kunnen we dus niet van harte aanbevelen.

©PXimport

Open je dagelijks meerdere keren dezelfde webpagina's of webapps, dan is het handig om alles op één plek te bundelen. Een persoonlijk dashboard in je browser, via een extensie of een webapp, biedt precies dat: overzicht en snelheid. Zo'n dashboard opent automatisch bij het starten van je browser of bij een nieuw tabblad. Je bepaalt zelf waar je tools, links, feeds of widgets komen.

Nieuw tabblad

Vrijwel alle browsers laten je in zekere mate zelf bepalen wat je ziet bij het openen van een nieuw tabblad of bij het opstarten van de browser.

We nemen eerst Chrome als voorbeeld. Klik op het plusje Nieuw tabblad en vervolgens op het potloodicoon rechtsonder. In het bijbehorende venster kun je het thema aanpassen. Er is ook de optie Een afbeelding uploaden. Je kiest hier ook of je snelkoppelingen wilt tonen. Met het plusknopje op de pagina voeg je snelkoppelingen toe, en als je met de muis over een snelkoppeling beweegt, kun je deze bewerken of verwijderen. Je kunt ook Meest bezochte sites inschakelen om snel naar vaak bezochte pagina's te gaan.

De mogelijkheden in Firefox zijn vergelijkbaar. Klik rechtsonder een nieuw tabblad op het tandwielpictogram om de achtergrond aan te passen, eventueel met een eigen afbeelding. Je kunt snelkoppelingen, ook in meerdere rijen, activeren en met Snelkoppeling toevoegen extra links aanmaken. Via Meer instellingenbeheren stel je Nieuwe tabbladen in op bijvoorbeeld Lege pagina, voor wie het graag minimalistisch houdt.

Startpagina

Je kunt je browser meestal zo instellen dat bij het opstarten dezelfde pagina verschijnt als bij een nieuw tabblad, maar dat hoeft niet. We tonen kort hoe je dit instelt in Chrome en Firefox.

In Chrome ga je naar Instellingen / Bij opstarten. Daar kies je De pagina Nieuw tabblad openen, Doorgaan waar je gebleven was of Een specifieke pagina of reeks pagina's openen. Klik op Huidige pagina's gebruiken om alle momenteel geopende tabbladen opnieuw te openen bij het opstarten. Of kies Een nieuwe pagina toevoegen en geef een url op, ook een lokale html-pagina is mogelijk via file:///\<volledig\_pad>, bijvoorbeeld file:///C:/users/toon/mijndashboard.htm.

In Firefox regel je dit via Instellingen / Startpagina. Bij Startpagina en nieuwe vensters kies je Firefox-startpagina (standaard), Lege pagina of Aangepaste URL's. Hier kun je meerdere url's invoeren, gescheiden door een pijpje |. Je kunt ook kiezen voor Huidige pagina gebruiken of Bladwijzer gebruiken.

Wil je een eigen html-pagina met bijvoorbeeld eigen links, dan kun je deze aanmaken in Kladblok of Notepad++, al werkt het vaak eenvoudiger met Microsoft Word. Kies hier in het menu Beeld de optie Weblay-out bij Weergeven en bewaar de pagina via Opslaan als / Webpagina (*.htm, *.html) (zie kader Eigen dashboards).

Lees ook: Hoe gaan populaire browsers om met je privacy?

Tabliss

Met de standaardfuncties van je browser kun je het uiterlijk en de inhoud van een nieuw tabblad maar beperkt personaliseren. Wil je meer, dan heb je al snel een extensie of web-app nodig. We stellen een handvol van deze tools voor, elk met een eigen focus.

We beginnen met de gratis opensource-extensie Tabliss, voor Firefox- en Chromium-browsers.

Na je bevestiging is Tabliss meteen actief bij het openen van een tabblad of bij het starten van je browser. Je krijgt dan een aangepaste pagina te zien. Standaard wisselt de achtergrondfoto elk kwartier, met beelden uit de Unsplash-collectie. Via de knopjes onderaan in het midden kun je pauzeren of meteen naar de vorige of volgende foto gaan.

Beweeg je muis naar de linkerbovenhoek voor extra knoppen: één om widgets te tonen of te verbergen, en één voor een schermvullende foto.

Via het tandwielpictogram stel je alles verder in. Zo kun je andere fotobronnen kiezen of ook afbeeldingen uploaden. Je kiest uit zo'n 15 widgets, waaronder Weather en Quotes, die je allemaal verder kunt instellen. Er is ook een Todo-widget voor eenvoudig taakbeheer en een Quick links-widget voor eigen snelkoppelingen.

Tabliss gebruikt de synchronisatie van je browser om instellingen tussen apparaten te kopiëren, indien deze is geactiveerd en ook extensies worden gesynchroniseerd. Bij Chrome bijvoorbeeld doe je dit via Instellingen / Jij en Google, waar je ook Extensies inschakelt bij Gegevens synchroniseren.

Eigen dashboards

De eenvoudigste manier om een eigen browser-dashboard te maken, is wellicht een zelfgemaakte html-pagina. Hoe zo'n html-code voor een basisontwerp met links er bijvoorbeeld kan uitzien, zie je hieronder.

Je kunt dit uiteraard verder uitbreiden en verfraaien met html, css, JavaScript en JSON, zodat je bookmarks en instellingen lokaal in je browser worden opgeslagen. Via deze link vind je een eenvoudige, kant-en-klare html-pagina waarin je een achtergrondafbeelding (via een afbeeldings-url), versleepbare snelkoppelingen en rss-feeds kunt instellen. Voel je vrij om hier zelf verder aan te knutselen.

Wat gevorderde gebruikers kunnen ook een eigen dashboard hosten, bijvoorbeeld op basis van Dashy. Deze tool gebruikt een eenvoudig YAML-configuratiebestand waarmee je zelf indelingen, pictogrammen, groepen en functies bepaalt. Dashy werkt in je browser, als statische site of via een Docker-container.

Verwar deze tool trouwens niet met de browserextensie Dashy New Tab Dashboard (voor Chromium-browsers). Hiermee stel je een fraai dashboard samen met tegels die je zelf groepeert en van links voorziet.

Voorbeeld html-code voor een basisontwerp met links.

Momentum

Wanneer je de browserextensie Momentum installeert (voor Firefox en Chromium-browsers), kun je je aanmelden met een account, eventueel via Google of Apple, om je dashboardinstellingen met andere apparaten te synchroniseren. Zonder account blijven alle gegevens lokaal. Momentum is helaas alleen beschikbaar in het Engels.

Bij elk nieuw tabblad krijg je een mooie achtergrondfoto te zien, eventueel met instelbare achtergrondgeluiden, samen met een inspirerend citaat en een klok.

Linksonder open je het instellingenpaneel, waar je meteen merkt dat er veel opties zijn. Sommige vereisen extra machtigingen of helaas een Plus-account (circa 40 USD per jaar), bijvoorbeeld voor het uploaden van eigen foto's of het toevoegen van eigen citaten en taaklijsten.

Centraal staat het focusveld waarin je dagelijks één hoofddoel noteert, dat je bij elk nieuw tabblad telkens onder ogen krijgt. Via een ingebouwde site-blocker kun je specifieke sites van het type sociale media of nieuws tijdelijk laten blokkeren. Je kunt ook een eenvoudige todo-lijst toevoegen of integreren met tools als Todoist of Trello. Verder zijn er een instelbare zoekbalk, een linkbalk met snelkoppelingen naar je favoriete sites en verschillende widgets, onder meer voor het weer en citaten. Het is ook mogelijk om de eerstvolgende gebeurtenissen uit je gekoppelde Google-agenda te tonen.

Infinity New Tab

Ook het gratis Infinity New Tab is een browserextensie, bruikbaar in Firefox en Chromium-browsers. Standaard zie je een fraaie achtergrondfoto, inclusief een instelbare zoekbalk. Je kunt kiezen uit Bing, Google of DuckDuckGo, maar ook andere zoekmachines toevoegen. Daaronder verschijnt een reeks snelkoppelingen in tegelvorm naar populaire websites. Je kunt eigen snelkoppelingen toevoegen en de tegelindeling aanpassen, ook door ze te verslepen. Widgets als Weer, Taken, Notities en Geschiedenis verschijnen eveneens als tegels en kun je hier beheren en aanvullen. Via Toevoegen / Applicatie kun je nog andere widgets toevoegen.

Vind je al deze tegels wat te druk, dan schakel je tijdelijk over naar een soberdere weergave via Instellingen / Minimalistische modus. Ook de achtergrondfoto kun je uitgebreid instellen: je kiest uit diverse online bronnen, met focus op bepaalde kleuren of labels, of gebruikt eigen foto's. Je stelt ook een verversingsfrequentie in en kunt de foto dimmen of vervagen.

Meld je je aan bij Infinity (klik op het knopje rechtsboven en dan op Ik), dan bewaar je je instellingen online. Zo kun je data exporteren, importeren en synchroniseren tussen apparaten. Houd er rekening mee dat de Infinity-servers mogelijk op Chinese infrastructuur draaien.

Start.me

De focus van Start.me, beschikbaar voor Firefox- en Chromium-browsers, ligt sterk op informatie en overzicht. Je hebt hiervoor een account nodig en de bijbehorende extensie uit de Chrome Web Store. Wanneer je de tool de eerste keer opstart, doorloop je enkele stappen voor personalisatie, waarbij je je naam en land invult en aangeeft of de tool je browserfavorieten mag importeren.

Je eerste startpagina wordt automatisch aangemaakt. Naast een widget voor weer en nieuws (met instelbare rss-feeds) zie je hier thematisch gegroepeerde populaire sites en een aanpasbare zoekbalk. Via de knop +Widget toevoegen voeg je extra widgets toe, zoals Notities, Taken of Insluiten. Met die laatste toon je de inhoud van een webpagina of video via <embed>- of <iframe>-code.

Er zijn nog zo'n tien andere widgets, zoals Fotogalerij, Google Kalender, Google Taken en Aandelenkoersen, maar deze zijn enkel beschikbaar in de Pro-versie (24 euro per jaar). Deze versie verwijdert ook advertenties en laat je een onbeperkt aantal startpagina's aanmaken. De gratis versie beperkt je tot drie. Je kunt een pagina volledig zelf opbouwen of starten vanuit een sjabloon, met keuze uit ongeveer 190 thema's. Elke pagina verschijnt dan als een tabblad binnen de startpagina.

Symbaloo

Met Start.me benaderen we al de pure online startpagina's: webdiensten waarmee je een gepersonaliseerde openingspagina maakt met snelkoppelingen, feeds en widgets, waarbij alles via je account in de cloud wordt opgeslagen en geladen. Typische voorbeelden zijn Protopage en Symbaloo, die beide (ook) zonder browserextensie werken. We lichten kort deze laatste toe.

Je maakt eerst een gratis account aan zodat je instellingen online bewaard en gesynchroniseerd worden. Daarna begin je met een leeg raster of kies je uit enkele kant-en-klare sjablonen. Elk vakje is een tegel die je zelf toevoegt, met een url, kleur en pictogram naar keuze. Deze tegels groepeer je in zogeheten webmixen, elk rond een ander thema. Je kunt je webmixen ook delen met anderen.

Symbaloo biedt bovendien een online bibliotheek met duizenden thematische webmixen die je meteen kunt toevoegen en aanpassen. Er zijn ook browserextensies beschikbaar om de tool verder uit te breiden.

Symbaloo blijkt vooral populair in het onderwijs, maar uiteraard kunnen zulke startpagina's ook handig zijn voor thuis of op kantoor. In de gratis versie kunnen advertenties opduiken, maar betaalde abonnementen schakelen deze uit.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we binnen een bepaald thema naar zulke deals. Ben je op zoek naar betaalbare slimme verlichting voor jouw woonkamer of tuin? Vandaag hebben we vijf interessante modellen voor je gespot.

Philips Hue White and Color Ambiance Festavia

Met dit slimme lichtsnoer van twintig meter kun je een tuin of kamer sfeervol verlichten. Vanuit de Philips Hue-app stuur je de 250 leds aan. Bepaal welke kleuren en scènes je wilt weergeven, waarbij je fraaie tinten in elkaar laat overlopen. Pas verder het dimniveau en de helderheid aan. Dankzij de lengte creëer je opvallende effecten op de gevel of binnenmuur. Daarnaast hang je het snoer net zo makkelijk in een flinke kerstboom. De zwarte kabel valt in dat geval niet op. De configuratie is niet moeilijk, want het verlichtingssysteem communiceert via bluetooth rechtstreeks met een smartphone.

Je kunt de Philips Hue White and Color Ambiance Festavia ook op een geschikte bridge aansluiten. Dat heeft als voordeel dat je de lampjes overal op afstand kunt bedienen. Bovendien laat je de lampjes eventueel met andere slimme apparaten samenwerken. Je gebruikt de lichtslinger zowel binnen als buiten, want de leds zijn weerbestendig. Naast deze uitvoering van twintig meter is er tegen een meerprijs ook een lichtslinger van veertig meter (500 leds) te koop.

Philips Hue White GU10 (2-pack)

Deze slimme spotjes zijn een goed alternatief voor 'domme' ledspots of energieslurpende halogeenlampjes. Ze passen in een standaard GU10-fitting, waardoor je alle oude ledspots een-op-een kunt vervangen. Zeker wanneer je meerdere lampjes combineert, is de opbrengst van 400 lumen per stuk behoorlijk fel. De kleurtemperatuur voor wittinten loopt tot 2700 kelvin. Deze lamp ondersteunt geen kleurenweergave.

De Philips Hue White GU10 communiceert via bluetooth met de Philips Hue-app op je smartphone. Selecteer vervolgens de gewenste helderheid of kies een mooie lichtscène. Zo bevat de app schema's die je helpen om je beter te concentreren of te relaxen. Houd er wel rekening mee dat het bereik van bluetooth beperkt is. Als je de slimme ledspots alsnog vanaf elke plek wilt bedienen, kun je de Philips Hue Bridge overwegen. Hierop sluit je tot vijftig geschikte lampen aan. Je hebt dan ook toegang tot meer functies, zoals geofencing. Kom je 's avonds bijvoorbeeld laat thuis, dan springen de ledspots vanzelf aan.

WiZ A60 (2-pack)

Gebruik deze betaalbare verlichtingsset voor bestaande lampen. Je draait de E27-fitting gewoon in de armatuur van bijvoorbeeld een vloer-, bureau- of tafellamp. Via de WiZ Connected-app verbind je beide peertjes rechtstreeks met jouw wifi-netwerk. Het gebruik van een bridge is dus niet nodig, terwijl je de lampen vanaf overal ter wereld kunt bedienen. Is er geen draadloos netwerk beschikbaar? Geen probleem, want als alternatief stuur je ze via een bluetooth-verbinding aan.

In de app kies je tussen zo'n zestien miljoen kleuren, al kun je ook een warme wittint selecteren. Ook kun je effecten en routines instellen. De lichtsterkte van 806 lumen is voor een doorsnee (woon)kamer ruimschoots voldoende. Nuttig om te weten is dat dit WiZ-product met verschillende smarthomeplatformen overweg kan, waaronder Google Home en Apple HomeKit. Je schaft de twee E27-lampen tegen een kleine meerprijs eventueel inclusief afstandsbediening aan. Hiermee switch je eenvoudig tussen vier vooraf geprogrammeerde scènes en dim de verlichting.

Lees ook: 10 vragen over slimme verlichting

Twinkly Light Tree 3D

Deze lichtgevende kerstboom maakt van jouw tuin een heuse bezienswaardigheid. Met een mast en haringen zet je de slinger met 750(!) ledlampjes stevig vast. Prik vervolgens de bijgesloten stekker in het stopcontact om deze vier meter hoge kerstboom te verlichten. Je kunt als alternatief ook een uitvoering van drie meter of zelfs zes meter kopen. Het product voldoet aan de eisen van de IP44-norm en kan een spatje regen dus prima verdragen.

Zodra de mast eenmaal staat, gebruik je de Twinkly-app op je smartphone om de verlichting te configureren. Dat werkt via een rechtstreekse bluetooth- of wifiverbinding. Je hebt hierbij keuze tussen alle kleuren van de regenboog, maar je kunt desgewenst ook voor warm wit licht kiezen. In de app staan er tientallen fraaie (knipperende) lichteffecten voor je klaar. Bovendien creëer je eventueel ook eigen effecten. Vind je de lampjes te fel, dan verlaag je de helderheid ervan. Stel verder een tijdschema in. Een leuke optie is dat de Light Tree 3D optioneel met andere Twinkly-verlichtingssystemen samenwerkt.

TP-Link Tapo L630 (4-pack)

Voeg met dit prijsvriendelijke 4-pack in één klap kleurenverlichting toe aan bijvoorbeeld je plafond of keuken. Wie niet zoveel lampjes nodig heeft, kan ook een 2-pack overwegen. De TP-Link Tapo L630 heeft een gangbare GU10-fitting, waardoor je oude spotjes in huis eenvoudig kunt vervangen. In de behuizing bevindt zich een wifi-adapter. Hierdoor verbind je de lampen rechtstreeks met het draadloze thuisnetwerk. In tegenstelling tot veel andere slimme verlichtingssystemen heb je dus geen bridge of basisstation nodig.

De kleurtemperatuur loopt van 2200 tot 6500 kelvin, zodat je volop kunt variëren tussen koele en warme wittinten. Verder stel je net zo makkelijk een vrolijk kleurtje in, want je hebt keuze tussen zestien miljoen kleuren. De GU10-spotjes ondersteunen een behoorlijke lichtsterkte van maximaal 350 lumen, maar je kunt ze naar behoefte dimmen. Handig is dat je in de TP-Link Tapo-app desgewenst diverse schema's instelt. Op die manier springt de verlichting 's avonds vanzelf aan. Het is zelfs mogelijk om de lampen af te stemmen op de zonsopgang en -ondergang. Even geen smartphone bij de hand? Geen probleem, want je bedient de Tapo L630 net zo makkelijk met je stem. Dat werkt via Amazon Alexa of Google Assistent.