op mijn site
Updated: 14-02-2009
Kees Moerman
Firewall configuratie
Wat is een firewall (brandmuur?)? Een soort filter op je internetverbinding die bekijkt welke pakketten wel naar binnen (of buiten) mogen, en welke niet. Op die manier kan je 'aanvallen' van buitenaf afweren, en met sommige firewalls ook voorkomen dat bijvoorbeeld door virus besmette programma's van binnenuit zo maar data gaan versturen. De fire wall kan in je ADSL/kabelmodem zitten, en dus gedeeld worden met al je PC's op je huisnetwerk, of per PC geïnstalleerd zijn, of beiden. Bij mij draaien fire walls ook op de PC's: alleen deze kunnen namelijk zien welk programma data wil verzenden, daar kan ik dus per programma aangeven of ze wel of niet internet 'op mogen'. Inkomend verkeer wordt voornamelijk door de firewall in de ADSL- of kabel-modem/router gefilterd, uitgaand verkeer op de betreffende PC's (verderop meer hierover).
Welke firewall? Een site met testresultaten is die van Matousec. En, volgens een artikel uit de 'CHIP' van november 2008 is op dit moment de gratis Comodo firewall de beste 'freeware' keuze, zij het dan dat het ook de moeilijkst te gebruiken is (Engels, plus erg technisch). Betere bescherming dan de Windows ingebouwde fire wall! Comodo heeft ook een virusscanner (optioneel, over te slaan bij installatie), maar daarvan weet ik de kwaliteit niet (gebruik al Avast). Ik gebruik Comodo op mijn laptop (die ook aan onbekende netwerken moet kunnen koppelen); mijn desktop zit altijd al achter de firewall in de router, en heeft volgens mij wel genoeg aan de Windows Vista fire wall (die in advanced mode ook heel wat mogelijkheden heeft).
Wel moet je een firewall zorgvuldig instellen, zeker in combinatie met een ADSL- of ander netwerk-modem. Anders heb je geen idee waarom en waar wat niet meer doorkomt... of juist wel, van buitenaf door onbevoegden (zie ook de sectie op de algemene internet page over ADLS modems). Een site die daarbij kan helpen is PortForward.com. Op deze site veel informatie over welke programma's welke poorten gebruiken, zoals MSN, eMule, en Quake. Een andere site over fire walls is FireWalling.com, over het opzetten en instellen van fire walls.
Om te checken of de computer goed beveiligd is: klik eens op de ShieldsUp link op www.grc.com/default.htm (ergens halverwege de pagina, onder kopje 'Hot Spots'). Hier is ook meer informatie over computerbeveiliging te vinden. Of kijk op Insecure.org: informatie over Computer Security, Nmap, Port Scanner, Exploit World, Exploits, Hacking, ...
Zelfs als routers geen expliciete firewall hebben, bieden ze vaak al bescherming; mits je de router niet zo instelt dat deze alle inkomende requests automatisch doorstuurt naar een van de aangesloten computers (wat meer uitleg hierover op mijn 'servers'-pagina).
Voorbeeld PC fire wall: Kerio Personal Fire Wall
Naast een firewall in je router of modem kan je ook op je PC een firewall installeren. Op Windows Millenium PCs gebruikte ik (naar volle tevredenheid) Kerio Personal Firewall 2.1.5 (kerio-pf-215-en-win.exe, 2.1 Mbyte). Gratis voor privé, niet-commercieel gebruik. Waarom: beter instelbaar dan Zone Alarm, met name voor lokale netwerken. En, je kan precies zien wat op welke poort gebeurt, en door welk programma (wat op een centrale firewall bijvoorbeeld op de router niet kan). Moet je alleen wel weten wat dat allemaal inhoud...Je kan op een PC-firewall bijvoorbeeld zorgen dat Outlook Express geen web pages of externe Java scripts kan openen: geef hem alleen toestemming voor poort 25 (SMTP) en 110 (POP3) (of 143:IMAP), en misschien 119 (NNTP, voor als je nieuws/discussiegroepen gebruikt). Dat is alles wat nodig is voor mail. Niet stiekem ook nog vanuit mailtjes virussen of wormen binnenhalen... Mijn instellingen kan je in de tabel hieronder vinden.
Voor beginners raad ik ZoneAlarm aan, nu ook in een Vista compatible versie (7.1, andere OS's gebruik 7.0). Op oude PC's gebruikte ik versie 2.6 (zonalm26.exe), flexibel en krachtig.
Kerio Firewall voorbeeld-instellingen
Deze tabel is een beschrijving van de oude configuratie van mijn Kerio fire wall (kijk bij details voor veel gebruikte poortnummers). De lijst is nogal verouderd, maar geeft het idee denk ik nog steeds goed weer (op dit moment gebruik ik geen Kerio meer, maar Comodo). Regels worden van boven naar beneden gecheckt, zodra er een gevonden wordt wordt deze geselecteerd en wordt er niet meer verder gezocht. Volgorde is dus van belang! Vergeet daarnaast niet de Microsoft netwerkking tab in te vullen met de waardes voor je lokale netwerk! Heb ik staan: IP/mask 10.0.0.0/255.255.255.0, plus IP address 127.0.0.1 (localhost: de machine zelf).
| On? |
Actie |
Naam van de regel |
Programma |
Protocol |
Local ports |
Remote address:port |
| 1-2 Intern soms nuttig (NetBIOS), maar zeker niet naar buiten open zetten, dan kan iedereen bij je spullen! Maar... dit wordt bij mij al afdoende door het modem afgedicht. | ||||||
| - | ok | Trusted Inbound NetBIOS TCP UDP | any | UDP+TCP in | 137-139 | [local network]:[any] |
| - | ok | Trusted Outbound NetBIOS TCP UDP | any | UDP+TCP out | [any] | [local network]:137-139 |
| 3-5 DNS: de vertaling van naam naar IP addresses. Gedeeltelijk in het modem (naar de HCC DNS), maar een extra DNS van XS4ALL toegevoegd (wordt vaak bijgewerkt, heb ik begrepen). Maar: verder geen onbetrouwbare DNS'en toestaan! | ||||||
| + | ok | DNS in modem | any | UDP in/out | [any] | 10.0.0.138:53 |
| + | ok | Secundary DNS (XS4All) | any | UDP in/out | [any] | 194.109.6.66:53 |
| + | BLOCK | Other DNS (blokked) | any | UDP+TCP in/out | [any] | [any]:53 |
| 6-8 Protocollen voor zaken als het 'pingen' van de computers | ||||||
| + | ok | Outgoing PING command or reply | any | ICMP out: [0] Echo Reply, [8] Echo Request | [any] | [any]:[any] |
| + | ok | Incoming ICMP0/3/8/11 (tracert/ping) | any | ICMP in: [0] Echo Reply, [3] Destination Unreachable, [8] Echo Request, [11] Time Exceeded | [any] | [any]:[any] |
| + | BLOCK | Other ICMP | any | ICMP in/out: others | [any] | [any]:[any] |
| 9 Alle andere niet-TCP/UDP protocollen: blokken! Toch eens kijken wat IGMP is. Maar nog nooit nodig gehad: uit dus. | ||||||
| + | BLOCK | IGMP and other non TCP/UDP | any | IGMP in/out | [any] | [any]:[any] |
| 10 DHCP is de toewijzing van IP nummers aan de computers, en wordt vaak door je ADSL modem/router gedaan. | ||||||
| + | ok | DHCP (Dynamic Host Configuration Protocol) | any | UDP in/out | 68 | [any]:67 |
| 11 Local loopback is het 'interne' adres op je computer, handig als je twee programma's op dezelfde PC hebt draaien die onderling met TCP/IP willen communiceren (bijvoorbeeld een lokale web-server samen met Internet Explorer), maar ook wel voor b.v. zelftest gebruikt. | ||||||
| + | ok | Local Loopback | any | UDP+TCP in/out | [any] | 127.0.0.1:[any] |
| 12 Verder mogen van mij alle programma's op mijn lokale netwerk vrij onderling met elkaar praten | ||||||
| + | ok | Local programs | any | UDP+TCP in/out | [any] | [local network]:[any] |
| 13 Waarom dit? Weet niet meer. | ||||||
| + | BLOCK | Windows Verkenner | ...ndows\explorer.exe | UDP+TCP in/out | [any] | [local network]:[any] |
| 14 Deze hoeft niet naar buiten het lokale netwerk te kunnen. Wat deet'ie ook al weer? | ||||||
| + | BLOCK | Microsoft QMgr | ...windows\loadqm.exe | TCP out | [any] | [any]:[any] |
| 15 ??? SpeedLan.com ??? | ||||||
| + | BLOCK | SSDP Service on Windows Millennium | ...system\ssdpsrv.exe | UDP in | [any] | 169.254.56.68:[any] |
| 16 Internet explorer mag naar buiten! maar alleen voor de protocollen gebruikt voor web-pages, en voor ftp. | ||||||
| + | ok | Internet Explorer | ...lorer\iexplore.exe | TCP out | [any] | [any]:20, 21, 80, 443, 3128, 8000, 8080 |
| 17 OK, en m'n zoontje mag er ook mee chatten | ||||||
| + | ok | Internet Explorer voor chat Joshua | ...lorer\iexplore.exe | TCP out | [any] | 213.73.255.254:6667 |
| 18-20 Outlook Express mag mail en news ophalen, maar zeker niet zomaar allerlei internet-content! | ||||||
| - | ok | Outlook Express | ... express\msimn.exe | UDP out | [any] | [any]:[any] |
| + | ok | Outlook Express | ... express\msimn.exe | TCP out | [any] | [any]:25, 110, 119 |
| + | BLOCK | Outlook Express | ... express\msimn.exe | TCP out | [any] | [any]:80 |
| 21-22 FTP: File Transfer Protocol. Gebruik ik voor het uploaden van mijn web pages | ||||||
| + | ok | WS_FTP 95 | ...s_ftp\ws_ftp95.exe | TCP out | [any] | [any]:21 |
| + | ok | WS_FTP 95 | ...s_ftp\ws_ftp95.exe | TCP in | [any] | [any]:[any] |
| 23 Ad-Aware is een (goede) spy-ware scanner | ||||||
| + | ok | Ad-aware 6 core application | ...are 6\ad-aware.exe | TCP out | [any] | [any]:[any] |
| 24 Waarom wil Windows naar buiten als ik apparaatbeheer start? Doet'u maar niet... | ||||||
| + | BLOCK | Windows Catalogus-registratie | ...\system\sucatreg.exe | any | [any] | [any]:[any] |
| 25 Voor QuickTime video | ||||||
| + | ok | QuickTime Player-programma | ...uicktimeplayer.exe | TCP out | [any] | [any]:80 |
| 26-27 Ik wil ook soms mijn eigen FTP-server (CesarFTP) kunnen draaien, zodat ik vanaf andere computers bij mijn files kan. Intern mag alles (maar wordt al door regel 12 afgedekt), extern ben ik wat meer restricted. Poort 21 voor binnenkomende commando's, regel 27 voor uitgaand datatransfer. Zie ook Servers. | ||||||
| + | ok | FTP Server | ...esarftp\server.exe | TCP in | 21 | [any]:[any] |
| + | ok | FTP Server | ...esarftp\server.exe | TCP out | [any] | [any]:[any] |
| 28-31 De kinderen zijn gek op MSN. Met deze instellingen lijkt het te werken, zelfs de web cam (behalve audio?) | ||||||
| + | ok | Messenger TCP out | ...senger\msnmsgr.exe | TCP out | [any] | [any]:[any] |
| + | ok | Messenger UDP at 6901 | ...senger\msnmsgr.exe | UDP in/out | [any] | [any]:9, 6901, 7001 |
| + | ok | Messenger TCP1080 in | ...senger\msnmsgr.exe | TCP in | 1080 | [any]:[any] |
| + | ok | Messenger to firewall? | ...senger\msnmsgr.exe | UDP in/out | [any] | 10.0.0.138:[any] |
| 32 eDexter is ondersteuning voor mijn ad-killing methode via de HOSTS file (zie mijn Virusscanners sectie) | ||||||
| + | BLOCK | eDexter | ...dexter\edexter.exe | TCP in | 80 | [any]:[any] |
| 33 VNC wordt gebruikt om een computer op afstand te besturen | ||||||
| + | ok | vncviewer | ...tvnc\vncviewer.exe | TCP in/out | [any] | [any]:[any] |
| 34 Alternatief voor Internet Explorer: Mozilla | ||||||
| + | ok | Mozilla | ...ozilla\mozilla.exe | TCP out | [any] | [any]:80, 119, 443, 1080, 3128, 8000, 7070, 8080 |
| 35 Windows Media Player, voor b.v. internet radio | ||||||
| + | ok | Windows Media Player | ...layer\wmplayer.exe | UDP+TCP out | [any] | [any]:80, 554, 1755, 8080 |
| 36 Geen idee... Wat moet'ie daar nu weer? | ||||||
| + | BLOCK | Messenger for local? | ...senger\msnmsgr.exe | UDP+TCP out | [any] | 10.0.0.201:[any] |
| 37 Tibia, een multi-player game op het internet, waar m'n kids heel wat uren rondbrachten | ||||||
| + | ok | Tibia Player | ...es\tibia\tibia.exe | TCP out | [any] | [any]:7171 |
| 38 Voor automatische upload van gewijzigde web pages | ||||||
| + | ok | Perl Command Line Interpreter | c:\perl\bin\perl.exe | TCP in/out | [any] | [any]:20-21 |
| 39 Onderstaande IP is geen normaal IP
adres, maar een broadcast die wordt gebruikt door UPnP (Universal
Plug and Play). Meer info op bijvoorbeeld het help.lockergnome.com
forum. |
||||||
| + | BLOCK | Windows Verkenner | ...ndows\explorer.exe | UDP out | [any] | 239.255.255.250:[any] |
Sorry, ik weet het, is nog wat beknopt. En wat verouderd: is in
de tussentijd trouwens ook bijvoorbeeld nog Mozilla FireFox
bijgekomen (web browser ipv Internet Explorer, veel veiliger), zie
instellingen van Internet Explorer. Plus Mozille Thunderbird, een
email/news reader in plaats van Outlook Express (idem, zie aldaar
voor instellingen). Maar bovenstaande tabel moet het idee wel
weergeven.
Voorbeeld modem/router firewall: de SpeedTouch
Als voorbeeld de SpeedTouch, zoals ik vroeger in dienst had. Ook al is het verborgen: het SpeedTouch 510 modem/router heeft ook firewall mogelijkheden, al gebruik ik die maar gedeeltelijk. Nadeel: is niet via de web-interface in te stellen (moet via een telnet tekst-scherm, of via de initialisatiefile), dus is lastiger in gebruik; en de bijhorende web-pagina's en het forum lijken verdwenen te zijn, al is de documentatie nog wel on-line.
Ik had alleen de standaard fire wall instellingen actief op de
SpeedTouch, plus (sorry, even wat technische kreten) het
dichtzetten voor TCP en UDP voor de poorten gebruikt voor file
sharing en rpc (Remote Procedure Call; hiermee kunnen andere
computers op afstand programma's bij je uitvoeren), in het gebied
135-139 (RPC - NetBIOS, lees
hier waarom). Ik ben nog
aan het experimenteren met andere instellingen: voor NT en XP poort
445
is vermoedelijk ook relevant. Heb ik gedaan door in de
configuratiefile in de sectie [ pfirewall.ini ] de
volgende regels op te nemen (zie de
documentatie):
rule create chain=forward index=1 srcintfgrp=wan prot=udp
dstport=135 dstportend=netbios-ssn action=drop
rule create chain=forward index=2 srcintfgrp=wan prot=tcp
dstport=135 dstportend=netbios-ssn action=drop
Nu is het overigens wel zo dat als er geen default server is ingesteld de kans dat van buitenaf binnenkomende pakketten verder komen dan de router niet zo groot omdat de router niet weet naar welke computer de pakketten heen moeten, zie ook mijn modem en router page.
