Of je nu een ftp-server, een mailserver, een webserver, of welke service dan ook hebt draaien … je wilt uiteraard vermijden dat personen toegang krijgen tot diensten en daemons waar je die liever buiten houdt. Dit moet je weten over je server beveiligen.

Wanneer je de infrastructuur opzet om services en applicaties aan te kunnen bieden, is je voornaamste zorg ongetwijfeld dat alles stabiel draait en dat de diensten goed bereikbaar zijn. Het veiligheidsaspect is vaak slechts een verre, tweede zorg en dat kan je vroeg of laat duur komen te staan. We bekijken hier enkele veiligheidsaspecten die je het best al voor of tijdens het opzetten van je services ter harte neemt.

We gaan ervan uit dat je server deel uitmaakt van je thuisnetwerk, wat inhoudt dat de verbindingen van en naar je server via je router lopen. Het is dus evident dat je de configuratie van die router de nodige aandacht geeft. Uiteraard voorzie je je router van een eigen, complex wachtwoord en schakel je bij voorkeur ‘twijfelachtige’ diensten en functies als upnp, nat-pmp en wps uit.

UPnP-test

Je kunt wat upnp betreft ook een online test inzetten (via Proceed / GRC’s Instant UPnP Exposure Test). Schakel vooral ook de functie remote administration uit. Heb je dit absoluut nodig, probeer de verbinding dan te beperken tot https, stel een ander poortnummer in, beperk de connectie tot specifieke bron-ip-adressen en zorg voor een automatische time-out.

Controleer je router bovendien regelmatig op open poorten – op deze site vind je een reeks online testtools, van dns tot tcp en udp. Houd tevens de firmware up-to-date.

Twee routers

Het is niet verstandig om de machine waarop je publieke server draait zonder meer aan de router te koppelen, zoals je dat met de andere toestellen van je thuisnetwerk hebt gedaan. Je zou kunnen overwegen de servermachine in een DMZ van je router te plaatsen, maar dan moet je er wel voor zorgen dat de machine geheel gescheiden blijft van de rest van je netwerk en dat er ook een firewall actief is.

Een alternatief is een opzet met twee routers, waarbij je de tweede router via de wan-poort verbindt met een lan-poort van je ‘hoofdrouter’ (die aan het modem is gekoppeld) – en wel zo dat beide routers zich intern elk van een ander subnet bedienen. In deze opzet zijn toestellen die je aan de tweede router hebt gekoppeld, niet zonder meer bereikbaar vanaf de eerste router, wat maakt dat je je (publieke) servers het best aan de eerste router hangt.

Firewall instellen

Hierboven hebben we het al gehad over online testtools waarmee je onder meer kunt nagaan welke poorten allemaal van buitenaf bereikbaar zijn. Services die niet van buitenaf bereikbaar horen te zijn, kun je met behulp van een firewall blokkeren.

De meeste routers beschikken standaard over een ingebouwde firewallfunctie en dat geldt bijvoorbeeld ook voor een nas. Dat neemt niet weg dat je ook op je servermachine een (bijkomende) firewall kunt installeren – zelfs wanneer de serverapplicatie al in bepaalde beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

©PXimport

beveiligingsopties voorziet (zoals het beperken van de verbinding tot bepaalde bron-ip’s).

Idealiter stel je de firewall initieel zo in dat alle verbindingen worden geblokkeerd, waarna je alleen de noodzakelijke uitzonderingen toevoegt. Dat moet je bovendien zo specifiek mogelijk doen, overeenkomstig het principe van ‘least privilege’. Een regel als

geeft bijvoorbeeld elke bron MySQL-toegang tot de database, terwijl dat ongetwijfeld niet je bedoeling is. Je zou deze regel dus kunnen beperken tot iets als

(waarbij 12.34.56.78 het ip-adres is van de host die je toegang wilt verschaffen).

Er zijn verschillende (gratis) firewalls voor Linux-omgevingen beschikbaar, waaronder de gebruiksvriendelijke UFW Firewall, de ingebouwde iptables-interface en ConfigServer Security & Firewall.

Ssh-verificatie

Om je server remote te beheren, maak je bij voorkeur gebruik van een ssh-connectie. Deze verbinding is immers versleuteld. Dat is weliswaar ook het geval wanneer je je op basis van een wachtwoord aanmeldt, maar dit laatste heeft als nadeel dat brute-force-attacks mogelijk zijn. Dit laatste kun je wel tegengaan door gebruik te maken van bijvoorbeeld fail2ban. Deze tool zorgt ervoor dat ip-adressen worden geblokkeerd zodra die te vaak proberen in te loggen over ssh.

Een beter alternatief is echter dat je wachtwoordverificatie via ssh uitzet en alleen sleutelverificatie toelaat (ssh key authentication). Het genereren van een paar ssh-sleutels is zo gebeurd, waarna je de publieke sleutel maar naar je server hoeft over te brengen. Bijkomend kun je ssh ook op een niet-standaardpoort laten draaien. Dit heeft weliswaar meer weg van ‘security through obscurity’, maar kwaad kan het blijkbaar niet: onze eigen UFW Firewall registreerde op enkele dagen tijd 2883 pogingen om met standaardpoort 22 te verbinden, en slechts 10 op (de door ons effectief gebruikte) poort 2223.

Eventueel valt ook een dienst als Webmin te overwegen, althans via ssl. Webmin is een webinterface voor het beheer van Linux-machines die het handmatig aanpassen van configuratiebestanden grotendeels overbodig maakt. Hier vind je een overzicht van de beschikbare modules.

©PXimport

Audits en updates

We hebben het al gehad over online tools om na te gaan welke poorten en services er van buitenaf bereikbaar zijn, maar je doet er goed aan dat ook regelmatig te checken met (ingebouwde) tools als netstat. Zo kun je op Linux met

controleren welke poorten er door welke services gebruikt worden.

Als je de beveiliging van je server zeer serieus neemt, dan installeer je idealiter ook een heus ids (intrusion detection system). Zo’n ids kan ook op regelmatige tijdstippen een audit uitvoeren op bestandsniveau en je erop attenderen zodra een (systeem)bestand gewijzigd blijkt. Dat vergt weliswaar de nodige inspanning van jezelf als beheerder, gezien je bij elke legitieme aanpassing in principe een nieuwe ‘baseline’ hoort aan te maken. Een bekend opensource ids-pakket is Snort, beschikbaar voor Windows en Linux.

Vpn en ssl/tls

Om je van een veilige, versleutelde verbinding tussen een remote toestel en (de servers op) je thuisnetwerk te verzekeren, kun je van een vpn-verbinding gebruikmaken. Bij voorkeur op basis van OpenVPN of eventueel L2TP/IPSec. Het is perfect mogelijk zelf een vpn-server op te zetten, die dan eigenlijk fungeert als het centrale toegangspunt voor je netwerk.

We besteden hier echter geen verdere aandacht aan, omdat we dit eerder al gedaan hebben. De hele bundeling van artikelen is hier te vinden.

Overdag is de warme nog wel uit te houden – lekker in de schaduw met een koel drankje of een ijsje. Maar hitte die 's nachts blijft hangen, da's een ander verhaal. Daardoor verandert je slaapkamer al snel in een broeikas. Heb je geen airco in huis maar wil je niet de hele nacht woelen, zweten en wakker liggen? Met deze slimme tips overleef je zelfs de ergste plaknacht!

Lees ook, voor de volgende plaknachten: Houd je huis koel: de voor- en nadelen van airco in huis

☀️ Wat je overdag alvast kunt doen:

1: Houd zon en hitte buiten

Doe overdag de gordijnen dicht, zeker in kamers waar de zon vol op staat. Ook zonwering helpt om de warmte te weren. Geen dikke gordijnen of screens? Dan kan warmtewerende raamfolie een uitkomst zijn. Dat kaatst het zonlicht terug en voorkomt dat je slaapkamer verandert in een oven.

2: Kies licht en ademend beddengoed

Donkere stoffen houden warmte vast, lichte kleuren weerkaatsen juist. Kies daarom voor lichtgekleurde lakens van katoen of linnen. Die stoffen ademen beter en voelen minder klam aan als het warm is.

3: Kook niet binnen

Koken met oven of fornuis maakt het in huis alleen maar warmer. Eet dus licht en koud: een salade, wat fruit of brood met iets fris. Moet het warm zijn? Gebruik een airfryer of grillplaat buiten op het balkon of in de tuin. Of gooi gewoon de barbecue aan!

Lees ook: Dit zijn dé BBQ-trends voor 2025

🌘 Wat je 's nachts kunt doen

4: Laat het goed doorwaaien

Zodra het buiten afkoelt, zet je ramen en deuren tegen elkaar open. Zo ontstaat er luchtcirculatie en komt er koelere buitenlucht binnen. Sluit alles weer zodra het buiten warmer wordt of de zon opkomt. Zo blijft de koelere lucht langer hangen.

5: Drinken en douchen

Drink voldoende water, ook vlak voor het slapengaan. Dat helpt je lichaam afkoelen van binnenuit. Een lauwe douche doet ook wonderen. Te koud douchen werkt juist averechts: je lichaam gaat dan extra warmte produceren om te compenseren.

6: Koelen zonder ventilator

Geen ventilator in huis? Zet een paar kommen met ijskoud water in je slaapkamer. Dat helpt de luchtvochtigheid én de temperatuur te verlagen. Let wel op: niet naast je bed of bij stopcontacten. Een omgestoten bak water is geen pretje om 3 uur 's nachts.

7: Koelen mét ventilator

Heb je wel een ventilator? Zet er dan een schaal met ijswater of ijsblokjes voor. Zo blaast hij niet alleen warme lucht in het rond, maar verspreidt hij echte koelte. Zorg ook hier voor een veilige opstelling – water en elektriciteit blijven een slechte combinatie. Wat ook werkt, is een aantal (plastic) flessen voor 80 procent vullen met water en in de vriezer leggen. Haal deze edruit en zet ze voor je gaat slapen voor de draaiende ventilator.

©yulia_seraya

8: Hang een nat laken op

Hang een vochtig laken voor een open raam. De lucht die binnenkomt wordt daardoor vanzelf wat koeler. Zeker bij droge, hete lucht uit het zuiden kan dat net het verschil maken tussen woelen en slapen.

De meeste apparaten die je aansluit op je computer, kun je koppelen via bluetooth. Daarvoor moet deze technologie wel ingebouwd zijn in de pc, of je moet gebruikmaken van een usb-bluetooth-adapter. Op twee manieren kun je de pc koppelen met bluetooth-apparaten.

Stap 1: Via Instellingen

Eerst moet je het externe apparaat instellen, waardoor het zichtbaar wordt als het binnen bereik komt van de pc. Typ in het Windows-zoekveld het woord bluetooth, zodat je Bluetooth- en andere apparaatinstellingen kunt openen. Verifieer boven in dit scherm dat bluetooth aanstaat.

Klik nu op de knop Apparaat toevoegen. In het volgende venster selecteer je Bluetooth. Hierdoor zou in het volgende venster ieder apparaat moeten verschijnen waarvan bluetooth is ingeschakeld. Als het hier niet te zien is, moet je de handleiding van het apparaat controleren of de website van de fabrikant.

Selecteer het apparaat dat je wilt koppelen en volg alle instructies. Wanneer het proces voltooid is, klik je op Gereed. Als het goed is, wordt dit apparaat nu weergegeven als Gekoppeld. Om niet iedere keer naar het venster Instellingen te hoeven gaan, bestaan er enkele shortcuts.

In de bluetooth-instellingen zie je welke apparaten al gekoppeld zijn.

Stap 2: Via de taakbalk

Je kunt ook gebruikmaken van de taakbalk. Aan de rechterkant van de taakbalk vind je het bluetooth-pictogram. Mogelijk zit het onder de verborgen pictogrammen. Door op het pijltje te klikken, vouw je het menu open. Als je op dit pictogram klikt, zie je ook de verbonden apparaten. En via de knop Meer instellingen kom je bij de lijst van alle apparaten die je kunt verbinden.

In Windows 11 zijn deze instellingen samengevoegd in de Snelle instellingen, rechts van de taakbalk.

Stap 3: Snelkoppeling

Je kunt ook een eigen snelkoppeling maken om snel naar het Windows Instellingen-venster met de bluetooth-instellingen te gaan. Klik met rechts op het bureaublad en selecteer in het contextmenu de opdracht Nieuw / Snelkoppeling. Hierdoor opent een pop-up Snelkoppeling maken.

Op de plaats waar je de locatie van het item moet opgeven, typ of plak je %windir%\explorer.exe ms-settings:bluetooth. Klik op Volgende om de snelkoppeling een naam te geven, bijvoorbeeld Bluetooth. Bevestig met een klik op Voltooien. Hierdoor staat de snelkoppeling op het bureaublad. Om die koppeling snel beschikbaar te maken, kun je nog met rechts op deze snelkoppeling klikken en dan Aan start vastmaken kiezen.

Je kunt een snelkoppeling maken om snel naar de bluetooth-instellingen te schakelen.