Verantwoording – Infrastructuur, Beveiliging & Hosting

Infrastructuur en systeembeheer

SchorelWeb.NL draait volledig in eigen beheer. Wij maken gebruik van een dedicated server gehuurd bij OVHcloud. Deze server is unmanaged, wat betekent dat wij het volledige systeembeheer zelf uitvoeren. De server draait onder Debian/Linux (stable) en is voorzien van een hosting controlpanel, aangevuld met diverse performance- en security-tweaks.

Wij maken gebruik van Cloudflare, maar kunnen binnen zeer korte tijd overschakelen naar onze eigen nameservers. Ook deze zijn volledig in eigen beheer en draaien op Virtual Private Servers (VPS’en) in Amsterdam, Los Angeles en Phoenix. Deze VPS’en zijn zeer betaalbaar (minder dan € 20,00 per jaar) en draaien al meerdere jaren stabiel en naar volle tevredenheid.

Daarnaast is er een aparte VPS die fungeert als Backup-MX. Deze is iets minder strikt geconfigureerd dan de primaire mailserver, zodat e-mail alsnog wordt geaccepteerd wanneer de hoofdmailserver tijdelijk onbereikbaar is of te streng filtert. Hierdoor gaat er geen e-mail verloren.

Op onze dedicated server draaien momenteel een handjevol websites, namelijk:

Omdat SchorelWeb.NL ook de e-mail host voor mijn gezin, heeft ieder gezinslid een eigen subdomein binnen SchorelWeb.NL. Hierdoor kan ieder gezinslid zelf een onbeperkt aantal e-mailadressen en aliassen aanmaken en verwijderen, automatische antwoorden instellen en dit alles beheren binnen zijn of haar eigen subdomein.

Website- en malwarebeveiliging

Alle websites die gehost worden op de dedicated server worden actief gecontroleerd op malware en kwetsbaarheden met ImunifyAV. Dit systeem detecteert en verwijdert kwaadaardige scripts, webshells en geïnfecteerde bestanden, en helpt misbruik van gecompromitteerde websites te voorkomen.

E-mailbeveiliging en spamfiltering

E-mail wordt gecontroleerd op virussen met ClamAV en op spam met Rspamd en Easy Spam Filter (ESF). Hierbij wordt intensief gebruikgemaakt van diverse Realtime Block Lists (RBL’s) zoals SpamCop, Spamhaus en andere reputatiediensten om bekende spam- en malwarebronnen te blokkeren.

Daarnaast wordt gebruikgemaakt van moderne e-mailauthenticatiemechanismen zoals:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication, Reporting & Conformance)

Deze technieken voorkomen spoofing en verbeteren de betrouwbaarheid en afleverbaarheid van e-mail.

SSL/TLS en encryptie

Alle websites en diensten worden beveiligd met SSL/TLS-certificaten, uitgegeven via Let’s Encrypt. Waar mogelijk wordt HSTS (HTTP Strict Transport Security) toegepast om te forceren dat browsers uitsluitend versleutelde verbindingen gebruiken. Dit beschermt tegen afluisteren en man-in-the-middle-aanvallen.

Firewalling en IP-reputatie

Voor de firewalling van zowel de dedicated server als de VPS’en wordt gebruikgemaakt van ConfigServer Security & Firewall (CSF), waarbij onder andere AbuseIPDB wordt geraadpleegd voor IP-reputatiecontrole.

Daarnaast wordt gebruikgemaakt van IP-blocking clustering, waardoor een IP-adres dat op één dedicated server of VPS wordt geblokkeerd, automatisch en vrijwel direct wordt geblokkeerd op alle overige systemen binnen het cluster. Dit verhoogt de bescherming tegen brute-force aanvallen, spam, malware en andere vormen van misbruik.

DDoS-bescherming

Door het gebruik van Cloudflare wordt verkeer gefilterd en beschermd tegen DDoS-aanvallen op DNS-, HTTP- en netwerklaag. Daarnaast wordt server-side rate limiting en firewalling toegepast om misbruik van services te voorkomen.

De dedicated server bevindt zich bovendien achter meerdere actieve hardwarematige firewalls binnen het netwerk van OVHcloud. Dit betekent dat bij directe aanvallen op de server zelf, OVHcloud automatisch overgaat tot DDoS-mitigatie op netwerk- en infrastructuurniveau. Volumetrische aanvallen worden hiermee afgevangen voordat deze de server bereiken.

Monitoring en beschikbaarheid

De infrastructuur wordt actief gemonitord met Uptime Kuma en LibreNMS. Hiermee worden uptime, serverbelasting, netwerkverkeer, services en hardwarestatus continu gecontroleerd, zodat eventuele problemen snel worden gedetecteerd en verholpen.

Back-ups en offsite opslag

Er worden regelmatige back-ups gemaakt van websites, databases en configuraties. Deze back-ups worden zowel lokaal als offsite opgeslagen op aparte systemen en/of locaties, zodat data beschermd is tegen hardwarestoringen, menselijke fouten en security-incidenten.

Daarnaast wordt gebruikgemaakt van RAID-opstellingen op zowel de dedicated server als op de hosts waarop de Virtual Private Servers (VPS’en) draaien. Dit verhoogt de beschikbaarheid en beschermt tegen dataverlies bij hardwaredefecten.

DNS- en transportbeveiliging

Vrijwel alle diensten op zowel de dedicated server als de Virtual Private Servers zijn voorzien van uitgebreide beveiligingsmaatregelen, waaronder:

  • DNSSEC voor DNS-integriteit en authenticiteit
  • TLSA (DANE) voor certificaatverificatie via DNS
  • TLS voor versleutelde netwerkcommunicatie
  • SPF, DKIM en DMARC voor e-mailauthenticatie en anti-spoofing
  • HSTS om versleutelde verbindingen af te dwingen

Logging en auditing

Systemen worden voorzien van uitgebreide logging en auditing, waaronder mail-logs, webserverlogs, firewalllogs en authenticatielogs. Deze logbestanden kunnen IP-adressen, tijdstippen, foutmeldingen en technische clientinformatie bevatten, zoals browser- en mailclient-identificatie.

Loggegevens worden uitsluitend verwerkt voor beveiliging, probleemoplossing, monitoring en het detecteren van misbruik of inbraakpogingen. Normale activiteiten worden niet langer bewaard; alleen gegevens van verdachte IP-adressen of verdachte clientgedragingen worden opgeslagen voor onderzoek. Alle overige identificerende gegevens worden binnen een beperkte periode geanonimiseerd.

Logbestanden worden niet langer bewaard dan strikt noodzakelijk. Overdag, tussen 06:00 en 23:59 uur, wordt de logrotate elke 2 uur uitgevoerd, waardoor logbestanden automatisch worden verwijderd of geanonimiseerd. Relevante loggegevens van verdachte activiteiten kunnen bij beveiligingsincidenten langer worden bewaard, zolang dit noodzakelijk is voor onderzoek en bewijsvoering.

Verwerking door derde partijen

Indien bepaalde loggegevens door externe partijen worden verwerkt, bijvoorbeeld Cloudflare voor DDoS-bescherming of andere monitoringdiensten, gebeurt dit uitsluitend binnen de grenzen van de wetgeving en AVG. Derden hebben enkel toegang tot de gegevens die noodzakelijk zijn voor het uitvoeren van hun dienst.

Wettelijke grondslag

De verwerking van loggegevens vindt plaats op basis van de volgende wettelijke grondslagen (AVG/Art. 6 GDPR):

  • Noodzakelijk voor de vervulling van een wettelijke verplichting (bijv. beveiliging en fraudepreventie)
  • Legitiem belang van de verwerkingsverantwoordelijke (SchorelWeb.NL) voor het waarborgen van de veiligheid, integriteit en beschikbaarheid van systemen en diensten
  • Noodzakelijk voor het opsporen en onderzoeken van misbruik of beveiligingsincidenten

Alle loggegevens worden veilig opgeslagen, en toegang is strikt beperkt tot geautoriseerd personeel. Gegevens die niet langer nodig zijn voor bovenstaande doeleinden worden zo snel mogelijk verwijderd of geanonimiseerd.



Copyright Gerrit Schorel :: SchorelWeb | PA11674 2007-2026 ©