Netwerkbeveiliging voor beginners: in 8 stappen veiliger netwerken

Een perfect veilige netwerkomgeving bestaat niet. Zodra een systeem bereikbaar is, is het in principe ook kwetsbaar. Dat betekent niet dat je de hoop moet opgeven, maar dat er werk aan de winkel is. Wil je jouw VPS of serveromgeving zo veilig mogelijk maken, maar weet je niet waar te beginnen? Zet dan deze 8 praktische stappen richting een veiliger netwerk.

Waarom netwerkbeveiliging?

Jouw server, online omgeving of VPS is niet alleen voor jou bereikbaar, maar ook voor de rest van de wereld. Helaas heeft niet iedereen goede bedoelingen. Zodra je live gaat beginnen de pogingen om automatisch in te loggen, malware te plaatsen en dataverkeer af te luisteren.

Netwerkbeveiliging is daarom geen luxe, maar een noodzaak. Je hebt het nodig om jouw gegevens, gebruikers en omgeving te beschermen tegen bots, scanners en kwaadwillenden. Gelukkig is het niet moeilijk om een goede basisbeveiliging op te zetten. Met deze 8 stappen scherm je jouw omgeving af van de meeste risico’s.

1. Basisbeveiliging regelen

Basisbeveiliging van een netwerkomgeving lijkt veel op inbraakpreventie in een woning. Een huis beveilig je met goed hang- en sluitwerk op deuren en ramen. Een online omgeving bescherm je op vergelijkbare wijze: door ingangen af te schermen en toegang te beveiligen met sterke wachtwoorden of sleutels.

Gebruik sterke wachtwoorden

Is jouw wachtwoord ‘qwerty123’? Dan gebruik je het meest voorkomende wachtwoord in Nederland. Samen met de nummers twee en drie (‘qwerty1’ en ‘123456’) is het in minder dan 1 seconde te kraken. Wachtwoorden blijven essentieel voor de beveiliging van computers. Gebruik altijd sterke wachtwoorden van minstens 12 tekens met hoofdletters, kleine letters, cijfers en symbolen.

Log in met SSH-sleutels

Is jouw server beveiligd met SSH (zie stap 3)? Gebruik dan een SSH-sleutel (SSH key) in plaats van een wachtwoord. Deze bestaat uit twee delen: een publieke sleutel (public key) op de server en een privésleutel (private key) op jouw apparaat. Probeer jij in te loggen? Dan controleert de server met zijn public key of jouw private key klopt. Wachtwoorden zijn niet meer nodig, jouw sleutels doen het werk.

Een SSH-sleutel maak je op Linux, macOS en Windows 10 of 11 (via PowerShell) aan met het commando ‘ssh-keygen’.

Minimaliseer toegang

Sluit alle vormen van toegang die niet strikt nodig zijn af. Schakel overbodige diensten en functies uit. Geef gebruikers alleen toegang tot wat ze écht nodig hebben. Verwijder ongebruikte accounts en beperk publieke of open onderdelen van je server zoveel mogelijk. Een paar vaste handelingen zijn: FTP uitzetten en vervangen door SFTP, SMTP/POP3/IMAP afsluiten (tenzij je een klassieke mailserver beheert) en CUPS (de Linux printservice) uitzetten.

2. Firewall instellen

Een firewall is vaagjes vergelijkbaar met een portier. Beide bepalen wie er naar binnen mag, waar ze naartoe kunnen en grijpen in bij verdachte activiteiten. Maar net als een echte portier werkt de firewall alleen goed als er duidelijke instructies zijn. Zorg daarom dat je firewall precies weet welk verkeer is toegestaan, en blokkeer alles wat overbodig of onbekend is.

Zet alleen noodzakelijke poorten open

Een firewall controleert het dataverkeer dat je server binnenkomt en kan poorten afsluiten waarover dat verkeer loopt. Blokkeer bij voorkeur alle poorten standaard, tenzij je ze echt nodig hebt. De meest voorkomende poorten zijn:

• 22 - SSH: Voor beheer op afstand via Secure Shell. Zorg voor sterke authenticatie of gebruik SSH-sleutels.
• 80 - HTTP: Voor onversleutelde websites. Alleen gebruiken om verkeer door te sturen naar poort 443.
• 443 - HTTPS: Voor versleutelde websites. Onmisbaar bij gebruik van een SSL-certificaat.
• 53 - DNS: Voor servers die domeinnamen omzetten (alleen nodig bij eigen DNS-hosting).
• 21 – FTP: Verouderd protocol voor bestandsuitwisseling. Gebruik liever SFTP (op poort 22) en sluit poort 21 af.
• 25 – SMTP: Voor het verzenden van e-mail. Vaak geblokkeerd door hostingproviders vanwege spamrisico’s.
• 3306 – MySQL: Voor externe toegang tot je database. Deze staat vaak per ongeluk open.

Let op: bots en geautomatiseerde aanvallen scannen deze standaardpoorten veelvuldig. Als je ze openzet, zorg dan altijd voor sterke wachtwoorden, versleuteling en toegangsbeperkingen.

Gebruik ufw of iptables

Linux regelt netwerkverkeer en routering standaard met iptables. Deze krachtige tool geeft je volledige controle over wat je toelaat of blokkeert en maakt geavanceerde configuraties mogelijk, zoals NAT, rate-limiting en verbindingstracking.

Voor beginners is ufw (Uncomplicated Firewall) aan te raden. Deze gebruiksvriendelijke ‘voorkant’ voor iptables is standaard beschikbaar op Ubuntu en andere Debian-gebaseerde Linuxversies. Met ufw kun je zonder ingewikkelde commando’s poorten openen, sluiten of beperken.

3. Beveilig de SSH-toegang

SSH biedt een veilige manier om op afstand toegang te krijgen tot de command-line van je server. Maar als je deze verbinding niet goed beschermt, kunnen de gevolgen groot zijn. Zorg daarom dat accounts die via SSH mogen inloggen altijd beveiligd zijn met sterke wachtwoorden of – beter nog – een SSH-sleutel (zie stap 1).

Beperk het aantal inlogpogingen

Installeer daarnaast een tool zoals fail2ban (of gebruik iptables) om brute-force aanvallen af te weren en het aantal inlogpogingen te beperken. Zo voorkom je dat kwaadwillenden eindeloos wachtwoorden kunnen proberen.

Geef root geen SSH-toegang

Sta niet toe dat root via SSH kan inloggen. Open /etc/ssh/sshd_config en zet daar ‘no’ achter ‘PermitRootLogin’. Je kunt nog steeds root-taken via SSH uitvoeren als gewone gebruiker met sudo-rechten. Dit is veiliger omdat je de root-machtigingen op deze manier zo veel mogelijk beperkt.

4. Updates & softwarebeheer

Zorg dat zowel jouw besturingssysteem als de applicaties die je draait up-to-date zijn. Regelmatig gebruik van ‘apt update && apt upgrade’ (Debian/Ubuntu) of ‘yum update’ (CentOS) beschermt jouw systeem tegen bekende beveiligingsproblemen en bugs.

Verwijder daarnaast alle services en software die je niet gebruikt. Hoe minder er draait, hoe kleiner het aanvalsoppervlak en hoe lager het risico.

5. Versleuteling van verkeer

Versleutel al het verkeer van en naar jouw server door HTTP (Hypertext Transfer Protocol) te vervangen door HTTPS (Hypertext Transfer Protocol Secure). HTTPS beschermt de gegevensstroom tussen jouw server en de gebruiker, zodat deze niet kan worden afgeluisterd of gemanipuleerd.

SSL-certificaat aanvragen

Je kunt eenvoudig (en gratis) een SSL-certificaat aanvragen via een dienst als Let’s Encrypt. Moderne webservers zoals Apache, Nginx of Caddy kunnen dit certificaat standaard gebruiken.

Oude en onveilige protocollen uitschakelen

Zorg er ook voor dat je server oude en onveilige protocollen zoals TLS 1.0 en 1.1 uitschakelt, en verkeer via HTTP automatisch doorstuurt naar HTTPS.

6. Logging en monitoring

Installeer log-analysetools zoals fail2ban, logwatch of goaccess om inzicht te krijgen in wat er op je server gebeurt. Monitor actief op ongebruikelijke activiteiten, zoals mislukte inlogpogingen, port scans of onverwacht veel dataverkeer, zodat je snel kunt ingrijpen bij verdachte situaties of mogelijke aanvallen. Laat fail2ban of logwatch automatisch een bericht naar je sturen als jouw aandacht vereist is.

7. Gebruik de beveiligingsopties van jouw host

Hoe beter jouw host, hoe meer diensten die biedt voor de beveiliging van jouw server, VPS of online omgeving. TransIP heeft bijvoorbeeld een geïntegreerde VPS-firewall die standaard uitgaat van gesloten poorten. Bij deze host krijg je ook DDoS-bescherming en wordt er automatisch gescand op kwetsbare services zoals NTP, SNMP en RPC portmapper. Loop na welke diensten jouw host biedt, en maak er gebruik van om jouw netwerkomgeving goed af te schermen.

8. Gebruik een VPN (Virtual Private Network)

Met behulp van een VPN kun je jouw VPS of server benaderen zonder deze open te zetten naar internet toe. In plaats van een login via SSH, kom je dan binnen via een privé VPN-verbinding, wat de aanvalsmogelijkheden drastisch verlaagt.

Veilig openbaar netwerken

Maak je vaak verbinding met jouw VPS of server via openbare netwerken? Overweeg dan om je eigen verkeer te versleutelen via een commerciële VPN. Je voorkomt dat andere gebruikers op het openbare netwerk eenvoudig het dataverkeer van en naar jouw server kunnen zien.

Server-to-server VPN

Beheer je meerdere, gekoppelde servers (of VPS’en)? Dan is het verstandig om een server-to-server VPN op te zetten. De servers zijn dan onderling via VPN verbonden, waardoor ze zich kunnen gedragen alsof ze zich in één intern netwerk bevinden. Dit maakt het mogelijk om serververkeer te scheiden van openbaar internetverkeer. Je kunt onder meer de volgende tools en protocollen hiervoor gebruiken:

• WireGuard: Lichtgewicht, snel en modern. Ondersteunt zowel point-to-point als mesh-opstellingen.
• OpenVPN: Traditionele VPN met veel configuratieopties.
• IPsec site-to-site: Betrouwbare en veelgebruikte standaard voor vaste tunnels.
• Tailscale of ZeroTier: Mesh VPN’s die makkelijk te beheren zijn en automatisch peer-to-peer verbindingen opzetten.

Hoe veilig is jouw netwerk?

Klassieke IT-wijsheid stelt dat de enige echt veilige computer uitstaat, in een kluis zit en begraven is in een betonnen bunker op de bodem van de oceaan. Dat maakt het – zacht gezegd – wat lastig om er gebruik van te maken. Als je deze 8 stappen volgt, blijft er natuurlijk risico bestaan, maar dan heb je het wel tot een minimum beperkt. Wil je nog net een stapje verder gaan? Vraag ons om hulp, wij denken graag mee over cybersecurity.