Rijksuniversiteit Groningen
Rugbalk
Reacties op DEZE pagina Abonneren op email bij wijziging 23 Jan 2003

Middeleeuwse Geschiedenis?

ICT en security

Frank Brokken f.b.brokken@rc.rug.nl

Vorige maand was ik weer eens in Chepstow, op de grens van Engeland en Wales. Hier bevindt zich het kasteel dat het oudste stenen fort is van Engeland.

Chepstow Castle

        Hoewel ik jaren geleden Chepstow al eens had bezocht, was deze keer minstens zo interessant: mijn vriend Larry Moran is Amerikaan, maar verblijft een groot deel van het jaar in Engeland, waar hij 'tourguide' is bij een reisorganisatie. Het aardige is dat hij vanwege die functie veel en boeiend kan vertellen over de geschiedenis van Engeland en Wales.

Stel je voor dat je zo rond de tijd van Willem de Veroveraar in de buurt van Chepstow woont. Je verzamelt een aantal kornuiten om je heen en besluit de fortificatie van de kasteelheer die zich in Chepstow heeft gevestigd maar eens stevig aan te pakken. Dat valt dan nog niet mee, maar 't is niet ondoenlijk: de afgebeelde schets geeft weer hoe dat kasteel er rond 1100 uit heeft gezien:

Chepstow 1: The first Castle (1067-1075)

Direct wordt duidelijk dat de klus niet eenvoudig is: aan de noordkant bevinden zich steile rotsen en daar kom je met je manschappen niet goed tegenop. Verder is er iets van een slotgracht, met een versterkte muur. Wanneer je al kans ziet om daar doorheen te komen, dan wacht je ongetwijfeld een beschieting vanaf de muur aan de zuidkant. Bovendien kunnen de verdedigers zich ook nog eens terugtrekken in de 'grote toren' die centraal in de fortificatie staat.
Hoewel lastig in te nemen, moeten de bewoners van het fort zich hebben gerealiseerd dat ze zich in een boeiende periode in de geschiedenis bevonden, en dat wat rond 1100 adequaat leek ruim honderd jaar later in hoge mate ontoereikend zou kunnen zijn. De latere bewoner, Roger Bigod III, heeft de fortificatie dan ook behoorlijk uitgebreid. Links (oost) en rechts (west) van de grote toren zijn belangrijke uitbreidingen van het oorspronkelijke fort gerealiseerd:

Chepstow 4: Roger Bigod III (1270-1300)

Het fort anno 1300 biedt aan de oostkant een aantal zware en versterkte torens, met een extra muur en torens op de plaats waar het fort anno 1100 z'n oostelijke grens had. De noordkant blijft verdedigd door de natuurlijke barričre in de vorm van de rivier en de steile rotsen en ook aan de westkant is er het een en ander bijgebouwd.
Het bijzondere van de constructie aan de westkant is dat het een val is. Let op de meest westelijke (rechter) toren: geen bijzonder indrukwekkende constructie. Maar de zuidwestelijke toren domineert via een halfopen constructie de binnenplaats, en potentiële aanvallers die via de westelijke poort binnenkomen worden daar verrast door een sterke verdediging die vanuit de zuidwestelijke toren niet naar buiten, maar juist naar binnen is gericht. De aanvallers komen op de binnenplaats, waar ze zonder verdere dekking kunnen worden beschoten. Ze staan dan letterlijk voor schut.

Doel van dit soort fortificaties is te voorkomen dat de aanvaller zich toegang verschaft tot de grote toren, waar de kasteelheer is gehuisvest. Het is niet onmogelijk voor een aanvaller om de toren te bereiken, maar 't wordt hem niet makkelijk gemaakt: overal zijn versperringen, lastig te nemen barričres en uitnodigende aanvalsroutes die de aanvaller bij nader inzien in een `no way out' positie brengen. Er kunnen prachtige parallellen worden getrokken tussen de manier waarop deze middeleeuwse forten zijn geconstrueerd en de manier waarop we tegenwoordig denken over computerbeveiliging.

Belangrijk is dat je daarbij het perspectief niet uit het oog verliest: waar het om gaat is uiteindelijk de beveiliging van de computer of werkstation, net zoals alles om de `grote toren' draait in het kasteel van Chepstow.

  • Zo'n muur om een fort lijkt dan veel op een firewall: je komt er niet zomaar doorheen.
  • Een binnenplaats die omgeven is door versterkte torens lijkt op een `gedemilitariseerde zone': wie die zone passeert wordt ongetwijfeld opgemerkt en bij een volgende verdedigingslinie gestopt.
  • De hoge torens op de hoekpunten van een fort geven de verdedigers de gelegenheid om zo snel mogelijk te constateren dat er iets bijzonders aan de hand is. Binnen computers doen we dat door 'logfiles' (vaak automatisch) te inspecteren, en door 'portsentries' te installeren: programma's die kunnen controleren of van buitenaf wordt geprobeerd in te breken in onze computer.
  • Maar misschien graaft de aanvaller wel een ondergrondse gang, om zo ongemerkt in het fort binnen te dringen. De moderne variant: de 'root-kit' die het de `hacker' mogelijk maakt om via een achterdeurtje ongezien toegang te krijgen tot onze computer. Wij kunnen daar iets tegen ondernemen: 'file integrity testers' kunnen worden ingezet om te controleren of onze systeem- en andere software door een hacker is aangetast.
  • Wellicht zijn niet alle toegangspoorten tot het kasteel goed afgesloten, waardoor de aanvaller gewoon binnen kan komen. De parallel: onnodige 'services' op je computer installeren: mailservers, ftp-servers, telnet-servers zijn allemaal voorbeelden van toegangsroutes die bij de meeste computers onnodig zijn, en dus niet zouden moeten zijn geďnstalleerd. Soms is dat wel zo, zonder dat je je daar nou zo bewust van bent.
  • Bij de constructie van een fort wordt er dan ook naar gestreefd om het aantal toegangspoorten te minimaliseren. Elke poort is weer een zwakte in het fort, waarop een aanvaller (voorzien van een goede stormram) zijn aanval kan concentreren. Ook hier vinden we een analogie: bij een recent uitgevoerde 'portscan' op een local area network bleek dat er veel computers waren die (onnodig) toegangsroutes naar 'de buitenwereld' open hadden staan. Zo'n portscan kan eenvoudig worden uitgevoerd (neem desgewenst hierover contact met mij op), terwijl de oogst altijd de moeite waard is.
  • Maar werkelijk het stomste wat onze kasteelheer kan doen is natuurlijk de sleutel van zijn kasteel aan de wilgen buiten het fort hangen. De parallel: je username en password onder je toetsenbord plakken, of een makkelijk te raden password hanteren of je username en password onversleuteld intypen voor een agenda- of ftp-server of bij een telnet-verbinding. Da's natuurlijk vragen om moeilijkheden. Uiteindelijk ben je zelf altijd de belangrijkste schakel in de beveiliging van je eigen computer.
    Uiteindelijk is niets bestand tegen een domme kasteelheer, nietwaar?

Wie wil er nou iets leren van de geschiedenis? Keer op keer lijkt dat niet of nauwelijks te gebeuren. Terwijl de parallellen toch zo voor de hand liggen. Computer- en internet-beveiliging krijg je niet cadeau. 'Het netwerkbeheer' kan flinke stenen bijdragen: gelaagde verdedigingslinies, slimme methoden om aanvallers te laten struikelen, virus scanners, noem maar op.

Wat is middeleeuwse geschiedenis toch een leuk vak.

Tenslotte, laat je niet in slaap sussen door een gevoel van schijnveiligheid. In de vorige Pictogram richtte ik me op het gebruik van PGP. Zoals dat een goed evangelist betaamt heb ik het PGP-evangelie ook uitgebreid in mijn vrienden- en kennissenkring verspreid.
Vorige week is de laptop van een van mijn vrienden gestolen. Dat is vervelend, maar gelukkig had hij inmiddels alle gevoelige informatie met PGP versleuteld. De tijdsinvestering om met PGP te leren werken betaalt zich zo wel heel concreet terug. Reken maar dat dat de nodige slapeloze nachten heeft voorkomen.

Zoals altijd: aarzel niet om contact met mij of de overige leden van de security kerngroep op te nemen bij vragen, opmerkingen of onduidelijkheden: www.rug.nl/rc/organisatie/pictogram/archief/security.

Begin pagina


index Pictogram  2