‘Elke PC is welkom, tenzij hij rotzooi verspreidt’

Dagelijks loggen duizenden studenten en honderden medewerkers in op het computernetwerk van het Deltion College in Zwolle. Iedereen is welkom, zolang hun desktop of laptop geen malware verspreidt. Als het netwerk malware bespeurt, wordt de boosdoener automatisch in quarantaine gezet.

"De boel openhouden." Dat is volgens ict-manager Robert Vos in drie woorden de filosofie die het Deltion College hanteert bij de beveiliging van het computernetwerk. Bij de Zwolse mbo-instelling loggen dagelijks meer dan tweeduizend studenten vanaf vaste desktops en meer dan duizend studenten en medewerkers vanaf een laptop in op de bedrade en op de draadloze infrastructuur. Ze hebben daarmee toegang tot internet, de webgebaseerde leeromgeving N@Tschool en, binnenkort via desktopvirtualisatie, relevante onderwijstoepassingen.

Het ict-netwerk moet voor iedereen toegankelijk zijn, ongeacht of ze daarbij hun eigen notebook of een van school gebruiken, of aan een van de drieduizend vaste pc's werken. Omdat het tegelijkertijd wel de bedoeling is om alle malware buiten de deur houden, koos de school voor de oplossing Qmanage van Quarantainenet. "In eerste instantie zochten we de oplossing in NAC (network access control, red.)", vertelt netwerkbeheerder Hans Hoeven. "Maar daar verzandden we al gauw in allerlei regels, virusdefinities enzovoorts."

Honeypots

Hoeven en ict-manager Vos raakten gecharmeerd van de beveiligingsoplossing van de Enschedese leverancier. Quarantainenet installeerde zogenoemde Honeypots, speciale computers die ‘continu meeluisteren op het netwerk'. Zodra een virus wordt opgemerkt op het netwerk, zet het systeem de computer die het verspreidt direct in een afgeschermde omgeving. Vos: "Op deze manier heeft in principe iedereen toegang tot het netwerk, tenzij ze rotzooi verspreiden. We hebben er zelf nauwelijks werk aan."

Het netwerk weet aan de hand van het mac-adres welke pc rotzooi heeft verspreid, vertelt netwerkbeheerder Hoeven. Dat adres is het unieke identificatienummer dat elk apparaat heeft. Eenmaal in quarantaine kan het bewuste apparaat nog weinig kwaad. Een webpagina opent, toont wat er aan de hand is en informeert de gebruiker hoe hij het probleem kan oplossen. Zo kan de pc via een beperkte internetverbinding de benodigde software- en beveiligingsupdates downloaden. Als dat is gebeurd, mag het apparaat uit de quarantaine en kan de gebruiker zich weer aanmelden op het netwerk. Alleen als blijkt dat de machine voor de tweede keer rotzooi verspreidt, moet hij naar de servicedesk van het Deltion College worden gebracht. "Dat gebeurt eigenlijk vrijwel nooit", aldus Hoeven.

Binnen Qmanage bestaat bovendien een functionaliteit waarmee de beheerder per pc kan vastleggen in welke vlan-omgeving de machine zich moet aanmelden, vertellen de heren. Studenten zitten in een andere omgeving dan de docenten. Ook de ondersteunende diensten hebben hun eigen omgeving. Het juiste vlan wordt bepaald door de combinatie van -wederom- het mac-adres van de computer en de inloggegevens van de gebruiker. De leverancier kan al tijdens het implementatietraject mac-adressen in de toepassing zetten. "Een goede tip is dus om vooraf al een lijst te hebben van alle bekende mac-adressen. Dat scheelt later een hoop intikwerk", zegt ict-manager Vos.

Voordat Vos en Hoeven de quarantainesoftware op het netwerk installeerden, had de onderwijsinstelling geen enkele structurele beveiligingsoplossing. Toen de nieuwbouw van het college gereed was, in de zomer van 2008, besloten ze het pas aangelegde bedrijfsnetwerk te beveiligen. "De implementatie vond plaats door Imtech, de dienstverlener die al bij de aanleg van het netwerk was betrokken. Zij werkten ervoor nauw samen met de leverancier van de quarantaine-oplossing. De goede samenwerking heeft de soepele implementatie op het Deltion College erg geholpen."

Beide heren zijn erg te spreken over het traject dat leverancier en dienstverlener doorliepen. "Het is geweldig gegaan, zeker als je kijkt naar de grootte van het project. Er is geen enkele downtime geweest", besluit Vos.