Of je nu een ftp-server, een mailserver, een webserver, of welke service dan ook hebt draaien … je wilt uiteraard vermijden dat personen toegang krijgen tot diensten en daemons waar je die liever buiten houdt. Dit moet je weten over je server beveiligen.

Wanneer je de infrastructuur opzet om services en applicaties aan te kunnen bieden, is je voornaamste zorg ongetwijfeld dat alles stabiel draait en dat de diensten goed bereikbaar zijn. Het veiligheidsaspect is vaak slechts een verre, tweede zorg en dat kan je vroeg of laat duur komen te staan. We bekijken hier enkele veiligheidsaspecten die je het best al voor of tijdens het opzetten van je services ter harte neemt.

We gaan ervan uit dat je server deel uitmaakt van je thuisnetwerk, wat inhoudt dat de verbindingen van en naar je server via je router lopen. Het is dus evident dat je de configuratie van die router de nodige aandacht geeft. Uiteraard voorzie je je router van een eigen, complex wachtwoord en schakel je bij voorkeur ‘twijfelachtige’ diensten en functies als upnp, nat-pmp en wps uit.

UPnP-test

Je kunt wat upnp betreft ook een online test inzetten (via Proceed / GRC’s Instant UPnP Exposure Test). Schakel vooral ook de functie remote administration uit. Heb je dit absoluut nodig, probeer de verbinding dan te beperken tot https, stel een ander poortnummer in, beperk de connectie tot specifieke bron-ip-adressen en zorg voor een automatische time-out.

Controleer je router bovendien regelmatig op open poorten – op deze site vind je een reeks online testtools, van dns tot tcp en udp. Houd tevens de firmware up-to-date.

Twee routers

Het is niet verstandig om de machine waarop je publieke server draait zonder meer aan de router te koppelen, zoals je dat met de andere toestellen van je thuisnetwerk hebt gedaan. Je zou kunnen overwegen de servermachine in een DMZ van je router te plaatsen, maar dan moet je er wel voor zorgen dat de machine geheel gescheiden blijft van de rest van je netwerk en dat er ook een firewall actief is.

Een alternatief is een opzet met twee routers, waarbij je de tweede router via de wan-poort verbindt met een lan-poort van je ‘hoofdrouter’ (die aan het modem is gekoppeld) – en wel zo dat beide routers zich intern elk van een ander subnet bedienen. In deze opzet zijn toestellen die je aan de tweede router hebt gekoppeld, niet zonder meer bereikbaar vanaf de eerste router, wat maakt dat je je (publieke) servers het best aan de eerste router hangt.

Firewall instellen

Hierboven hebben we het al gehad over online testtools waarmee je onder meer kunt nagaan welke poorten allemaal van buitenaf bereikbaar zijn. Services die niet van buitenaf bereikbaar horen te zijn, kun je met behulp van een firewall blokkeren.

De meeste routers beschikken standaard over een ingebouwde firewallfunctie en dat geldt bijvoorbeeld ook voor een nas. Dat neemt niet weg dat je ook op je servermachine een (bijkomende) firewall kunt installeren – zelfs wanneer de serverapplicatie al in bepaalde beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

©PXimport

beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

Idealiter stel je de firewall initieel zo in dat alle verbindingen worden geblokkeerd, waarna je alleen de noodzakelijke uitzonderingen toevoegt. Dat moet je bovendien zo specifiek mogelijk doen, overeenkomstig het principe van ‘least privilege’. Een regel als

geeft bijvoorbeeld elke bron MySQL-toegang tot de database, terwijl dat ongetwijfeld niet je bedoeling is. Je zou deze regel dus kunnen beperken tot iets als

(waarbij 12.34.56.78 het ip-adres is van de host die je toegang wilt verschaffen).

Er zijn verschillende (gratis) firewalls voor Linux-omgevingen beschikbaar, waaronder de gebruiksvriendelijke UFW Firewall, de ingebouwde iptables-interface en ConfigServer Security & Firewall.

Ssh-verificatie

Om je server remote te beheren, maak je bij voorkeur gebruik van een ssh-connectie. Deze verbinding is immers versleuteld. Dat is weliswaar ook het geval wanneer je je op basis van een wachtwoord aanmeldt, maar dit laatste heeft als nadeel dat brute-force-attacks mogelijk zijn. Dit laatste kun je wel tegengaan door gebruik te maken van bijvoorbeeld fail2ban. Deze tool zorgt ervoor dat ip-adressen worden geblokkeerd zodra die te vaak proberen in te loggen over ssh.

Een beter alternatief is echter dat je wachtwoordverificatie via ssh uitzet en alleen sleutelverificatie toelaat (ssh key authentication). Het genereren van een paar ssh-sleutels is zo gebeurd, waarna je de publieke sleutel maar naar je server hoeft over te brengen. Bijkomend kun je ssh ook op een niet-standaardpoort laten draaien. Dit heeft weliswaar meer weg van ‘security through obscurity’, maar kwaad kan het blijkbaar niet: onze eigen UFW Firewall registreerde op enkele dagen tijd 2883 pogingen om met standaardpoort 22 te verbinden, en slechts 10 op (de door ons effectief gebruikte) poort 2223.

Eventueel valt ook een dienst als Webmin te overwegen, althans via ssl. Webmin is een webinterface voor het beheer van Linux-machines die het handmatig aanpassen van configuratiebestanden grotendeels overbodig maakt. Hier vind je een overzicht van de beschikbare modules.

©PXimport

Audits en updates

We hebben het al gehad over online tools om na te gaan welke poorten en services er van buitenaf bereikbaar zijn, maar je doet er goed aan dat ook regelmatig te checken met (ingebouwde) tools als netstat. Zo kun je op Linux met

controleren welke poorten er door welke services gebruikt worden.

Als je de beveiliging van je server zeer serieus neemt, dan installeer je idealiter ook een heus ids (intrusion detection system). Zo’n ids kan ook op regelmatige tijdstippen een audit uitvoeren op bestandsniveau en je erop attenderen zodra een (systeem)bestand gewijzigd blijkt. Dat vergt weliswaar de nodige inspanning van jezelf als beheerder, gezien je bij elke legitieme aanpassing in principe een nieuwe ‘baseline’ hoort aan te maken. Een bekend opensource ids-pakket is Snort, beschikbaar voor Windows en Linux.

Vpn en ssl/tls

Om je van een veilige, versleutelde verbinding tussen een remote toestel en (de servers op) je thuisnetwerk te verzekeren, kun je van een vpn-verbinding gebruikmaken. Bij voorkeur op basis van OpenVPN of eventueel L2TP/IPSec. Het is perfect mogelijk zelf een vpn-server op te zetten, die dan eigenlijk fungeert als het centrale toegangspunt voor je netwerk.

We besteden hier echter geen verdere aandacht aan, omdat we dit eerder al gedaan hebben. De hele bundeling van artikelen is hier te vinden.

Nog geen jaar na de vorige uitvoering brengt Apple een nieuwe iPad Air uit. De veranderingen zijn dan ook niet heel groot, want het enige verschil is dat de tablet nu is voorzien van een M3-processor in plaats van een M2-processor. Blijft de iPad Air hiermee een aanrader? Wij hebben hem voor je getest.

De nieuwe iPad Air laat zich kort omschrijven: Apple heeft de M2-chip vervangen door een M3. Dat is geen groot probleem: Apple gaf de iPad Air vorig jaar een update waarmee deze qua functionaliteit vrijwel identiek was aan de iPad Pro van het jaar daarvoor en je net als bij de Pro kon kiezen uit twee formaten. Uiterlijk is er geen verschil met de vorige generatie iPad Air: de aluminium tablet is nog steeds verkrijgbaar in een 11- en 13inch-variant, waarbij je kunt kiezen uit dezelfde vier kleuren als vorig jaar. De bouwkwaliteit van de aluminium behuizing is uitstekend.

©Jeroen Boer - ID.nl

De iPad Air ziet er hetzelfde uit als de variant van vorig jaar.

Er is overigens wel een heel een klein verschil waardoor je aan de buitenkant kunt zien dat je de nieuwste iPad Air van de M3-generatie in handen hebt. Apple heeft de aanduiding 'iPad Air' namelijk van de achterkant verwijderd. 

©Jeroen Boer - ID.nl

Het enige verschil is dat er geen 'iPad Air' meer op de achterkant staat.

Qua aansluitingen vind je onderop een usb-c-poort die je behalve voor opladen ook kunt gebruiken voor het aansluiten van een beeldscherm. De aan-uitschakelaar is voorzien van een goedwerkende vingerafdrukscanner. Dat is wel de enige manier van biometrische identificatie; in tegenstelling tot iPhones of de iPad Pro ontbreekt de soms nog wat sneller werkende gezichtsherkenning.

©Jeroen Boer - ID.nl

De iPad Air heeft een usb-c-poort die je gebruikt om de tablet op te laden.

Hoge meerprijzen

De prijzen beginnen bij 719 euro voor het 11inch-model terwijl de 13inch-uitvoering bij 969 euro begint. Voor dat geld krijg je 128 GB opslag. Alle varianten hebben dezelfde M3-processor in combinatie met 8 GB RAM. Wil je 256 GB opslag, dan betaal je 130 euro meer, terwijl de volgende stappen naar 512 GB of 1 TB je ieder nog eens 250 euro kosten. Afhankelijk van je opslagwensen wordt de iPad dus al snel een heel stuk duurder. Daarnaast kun je nog kiezen voor een 5G-variant, waarvoor je 170 euro meer betaalt. Deze variant is voorzien van een ingebouwde e-sim; er is geen fysieke simkaartslot.

Scherm zonder ProMotion

De iPad Air heeft precies hetzelfde scherm als vorig jaar en dat betekent een 11- of 13inch-scherm dat gebruikmaakt van een IPS-paneel. Het scherm combineert goede kleuren met een prima contrast en een helderheid die hoog genoeg kan. Wat we wel jammer vinden, is dat Apple de toch best prijzige iPad Air niet voorziet van een scherm met een hogere verversingssnelheid dan 60 Hz. Zo'n hogere verversingssnelheid die Apple 'ProMotion' noemt zou zeker in combinatie met de stylus waarschijnlijk een vloeiender ervaring opleveren. 

Nog snellere processor

De snellere processor is het belangrijkste verschil met zijn voorganger, en de chip die we al kennen uit andere Apple-producten stelt niet teleur. De M3-processor is in benchmarks op single-coregebied ongeveer 18 procent sneller dan de M2, terwijl de multicore-prestaties zo'n 25 procent hoger liggen. In de benchmark Geekbench 6 zet de iPad een Single-Core Score van 3063 punten neer, terwijl de Multi-Core Score 11.914 punten bedraagt.

De vernieuwde iPad Air is in theorie dus nog iets soepeler in bijvoorbeeld grafische toepassingen, al is de M4-chip in de iPad Pro nog een stukje sneller. Het is gissen waarom Apple nog voor de in andere producten uitgefaseerde M3 koos; misschien hadden ze er nog veel van liggen of wil het bedrijf genoeg onderscheid met de iPad Pro houden. Uiteindelijk maakt het ook weer niet zo heel veel uit, want in de praktijk zijn zowel de vorige als de huidige variant van de iPad Air gewoon snel. De accuduur van de geteste 11inch-uitvoering is erg goed en komt bij normaal gebruik zoals browsen in de buurt van de door Apple geclaimde 10 uur.

Vernieuwd toetsenbord

De iPad Air is compatibel met Apples beste stylus: de Pencil Pro. Deze stylus (149 euro) is druk- en kantelgevoelig en detecteert bovendien of je de stylus draait. Hierdoor kun je in tekenapps als Procreate bijzonder realistisch tekenen. De stylus wordt gekoppeld en opgeladen door hem magnetisch aan de zijkant te plakken, waarmee dit in de praktijk een prettige accessoire is. De iPad Air is trouwens ook compatibel met de goedkopere Apple Pencil usb-c, die minder mogelijkheden heeft en opgeladen wordt met een usb-c-kabel. Als je wilt tekenen, dan raden we je de Pencil Pro aan.

©Jeroen Boer - ID.nl

De Pencil Pro plak je magnetisch aan de zijkant om hem op te laden.

We kregen van Apple ook het vernieuwde Magic Keyboard voor de iPad Air, dat uiteraard ook compatibel is met de iPad Air met M2-processor. Ten opzichte van het vorige Magic Keyboard dat oorspronkelijk voor de oudere generatie iPad Pro was ontworpen, krijg je een rij functietoetsen. Hierdoor kun je de iPad nog beter als laptopvervanger gebruiken.

Ten opzichte van het Magic Keyboard voor de huidige iPad Pro ontbreekt helaas de achtergrondverlichting in de toetsen en de aluminium polssteun, terwijl de prijs van het toetsenbord met 329 euro niet veel lager is. Het is daarnaast jammer dat het toetsenbord er alleen nog in een witte variant is. Dat is toch vlekgevoeliger dan een zwarte uitvoering. 

©Jeroen Boer - ID.nl

Het vernieuwde Magic Keyboard heeft nu functietoetsen.

Conclusie

De iPad Air met M2-processor was een prima tablet, en dat geldt ook voor deze opvolger met een nog snellere chip. Je krijgt met deze iPad Air veel kracht in handen en je kunt dezelfde geavanceerde Pencil Pro gebruiken als op de iPad Pro. Ten opzichte van die iPad Pro zit het belangrijkste verschil 'm in het scherm, want de nog duurdere iPad Pro heeft een oledscherm met hoge verversingssnelheid. Daar moet je wel een paar honderd euro meer voor neertellen, waardoor deze iPad Air een interessante optie blijft voor wie een iPad met lekker veel kracht zoekt.

Bij ID.nl zijn we dol op kwaliteitsproducten waar je niet de hoofdprijs voor betaalt. Daarom speuren we een paar keer per week binnen een bepaald thema naar zulke deals. Dit keer hebben we vijf DAB+-radio's voor je gevonden die je ook nog eens heel makkelijk meeneemt, op vakantie bijvoorbeeld.

Digitale radio via DAB+ (Digital Audio Broadcasting) biedt een helder en storingsvrij radiosignaal, met een steeds groter zenderaanbod. Dat maakt het luisteren een stuk aangenamer. Dankzij modellen met ingebouwde accu of batterijen ben je niet gebonden aan een stopcontact. Voeg daar een netstroomaansluiting aan toe en je hebt een toestel dat net zo makkelijk op de camping als op het aanrecht in de keuken dienst kan doen.

Denver DAB-18 Radio DAB+

De Denver DAB-18 is een compacte DAB+/FM-radio die een retro uiterlijk combineert met moderne functionaliteit. De geïntegreerde Bluetooth-functie maakt het mogelijk om draadloos muziek te streamen vanaf je smartphone of tablet. Daarnaast beschikt de radio over een AUX-ingang voor het aansluiten van externe apparaten. Met de dubbele alarmfunctie en snoozefunctie is de DAB-18 ook geschikt als wekkerradio. Het dimbare lcd-display toont duidelijk informatie over zenders en instellingen. De radio werkt zowel op netstroom als op 4 C-batterijen. Met 20 voorkeuzezenders (10 DAB+ en 10 FM) heb je snel toegang tot je favoriete stations.

Audizio Milan

De Audizio Milan is een compacte draagbare DAB+/FM-radio. De Milan biedt zowel DAB+ als FM-ontvangst, waardoor je kunt genieten van een breed scala aan radiostations met heldere geluidskwaliteit. Dankzij de Bluetooth-functionaliteit kun je draadloos muziek streamen vanaf je smartphone of tablet. Met de ingebouwde 2000mAh-accu heb je genoeg stroom voor zo'n 10 uur luisterplezier, en kan de radio via usb worden opgeladen. Het 2,4-inch kleurendisplay toont duidelijk informatie over zenders en instellingen.

Grundig DTR 4500 BT DAB

De Grundig DTR 4500 BT DAB heeft Bluetooth 5.0-functionaliteit en kun je naast het luisteren naar DAB-stations ook gebruiken om te streamen vanaf je smartphone of tablet. De radio beschikt over een 2.0 stereo luidsprekersysteem met een totaal vermogen van 10 watt RMS. Het 2,4-inch kleurendisplay biedt duidelijke informatie over zenders en instellingen, en de helderheid is in drie stappen aan te passen. Hoewel de DTR 4500 BT DAB geen ingebouwde accu heeft, kan hij natuurlijk wel gewoon op netstroom worden aangesloten.

Lenco PDR-040EF Bambus

De Lenco PDR-040EF Bambus is gemaakt van echt bamboe en gerecycled ABS met tarwevezel, wat niet alleen een mooie uitstraling geeft, maar ook bijdraagt aan duurzaamheid. Met Bluetooth 5.0-functionaliteit kun je eenvoudig muziek streamen vanaf je smartphone of tablet. De radio beschikt over een 3 watt RMS luidspreker en een passieve basradiator. De ingebouwde 2000mAh accu biedt tot 16 uur afspeeltijd via Bluetooth en tot 12 uur via FM of DAB+, waardoor je de hele dag kunt genieten van je favoriete muziek, zowel thuis als onderweg. Daarnaast is de radio uitgerust met een klok- en alarmfunctie, een 3,5 mm hoofdtelefoonaansluiting en een telescoopantenne.

Kenwood CR-M30DAB-R

Deze compacte Kenwood kan overweg met FM-radio en DAB+. De radio beschikt over Bluetooth-functionaliteit, waardoor je draadloos muziek kunt streamen vanaf je smartphone of tablet. Dankzij de geïntegreerde oplaadbare batterij kun je tot 7 uur genieten van je favoriete muziek zonder dat je een stopcontact nodig hebt. Daarnaast is de radio voorzien van een helder LCD-scherm dat informatie over zenders en instellingen duidelijk weergeeft. Met de mogelijkheid om zowel op netstroom als op de interne accu te werken, kun je de CR-M30DAB op verschillende manieren gebruiken.