De oorspronkelijke versie van Windows XP bevatte al een firewall, maar bijna niemand nam er kennis van. De redenen daarvoor waren het gebrek aan comfort en slechts een matige reeks functies. Met Service Pack 2 heeft Microsoft de firewall opgewaardeerd en nieuwe functies toegevoegd. Het instellen van de firewall is echter niet zo triviaal als het op het eerste gezicht lijkt. In het volgende artikel geven we hulp en advies bij het instellen en aanpassen van de firewall.

Bescherming tegen wat?

Wie al een “vreemde” firewall zoals ZoneAlarm of Sygate gebruikt, zal zich zeker afvragen of hij nu op Microsofts toevoeging moet vertrouwen. Een tip vooraf: overstappen is niet nodig. Producten van derden bieden nog altijd meer comfort en ook bescherming.

De Windows firewall sluit alle poorten en verbindingspogingen (bijvoorbeeld ook ping) van buitenaf af. Binnenkomende gegevens die niet zijn opgevraagd, worden door de firewall weggegooid. Bovendien heeft Microsoft het zo gemaakt dat systemen al door de firewall worden beschermd wanneer de netwerkstack wordt geactiveerd. Zonder overeenkomstige uitzonderingen is de computer dus goed beschermd tegen aanvallen van buitenaf.

Uitgaande verbindingen worden daarentegen niet consequent geblokkeerd – anders dan bij conventionele applicatiefirewalls. Als u met ZoneAlarm en Co. expliciet uitgaande rechten aan elke toepassing moet toekennen, vereist de Windows-firewall dit alleen wanneer een toepassing een poort als server opent, d.w.z. wacht op de ontvangst van gegevens. Uitgaande communicatie zoals surfen of e-mail wordt daarentegen niet geblokkeerd.

Waar is wat?

Het controlecentrum van de firewall is het overeenkomstige pictogram in het configuratiescherm.

Het eerste tabblad toont 3 bedrijfsmodi van de firewall.

Naast Actief en Inactief is er ook de bedrijfsmodus “Geen uitzonderingen toestaan”. In deze bedrijfsmodus worden alle uitzonderingen die de gebruiker achteraf heeft gedefinieerd genegeerd. Deze modus is bijvoorbeeld geschikt als de notebook is aangemeld op een openbare hotspot.

Fig. 1: De firewall heeft 3 bedrijfsmodi

Op het tabblad “Uitzonderingen” somt de firewall alle filterregels op die van toepassing zijn op alle netwerkverbindingen die door de firewall worden beschermd.

Fig. 2: Programma’s en diensten vermeld onder Uitzonderingen zijn van toepassing op alle beschermde adapters

Het 3e tabblad “Geavanceerd” biedt verdere opties. Bovendien kunt u hier bepalen welke netwerkverbindingen überhaupt onder de firewall vallen. Vóór Service Pack 2 moest dit worden gedefinieerd in de eigenschappen van de betreffende netwerkverbindingen. Als u hier een verbinding deactiveert, wordt deze volledig genegeerd door de firewall.

Afb. 3: Onder Geavanceerd kunt u ook bepalen welke verbindingen door de firewall worden beschermd.

Als een verbinding door de firewall wordt beschermd, wordt dit – zoals voorheen – aangegeven door het slotsymbool.

Afb. 4: Alle verbindingen zijn beschermd door de firewall

Uitzonderingen instellen

Als een toepassing zoals een FTP-server een verbinding tot stand wil brengen, meldt de firewall dit met een berichtendialoog:

Fig. 5: Waarschuwingsdialoog van de firewall

U kunt kiezen uit 3 opties. Als u nu klikt op Blijven blokkeren of Niet langer blokkeren, noteert de firewall dit in de uitzonderingen. Figuur 2 ziet er dan als volgt uit voor “Niet meer blokkeren”.

Fig. 6: Nieuwe vermelding toegevoegd.

De truc zit hem hier echter in de details. Zoals in de afbeelding te zien is, is het testprogramma “The Personal FTP Server” toegevoegd aan de lijst van uitzonderingen en geactiveerd (herkenbaar aan het vinkje). Dit betekent dat het programma altijd toegang heeft.

Er wordt echter geen aparte lijst bijgehouden van welke programma’s altijd geen toegang hebben tot het internet (=blijven blokkeren). Indien de vraagdialoog in fig. 5 was beantwoord met “Blijven blokkeren”, zou het resultaat er als volgt uitzien:

Fig. 7: Ditmaal is het programma geblokkeerd, alleen het vinkje is niet aanwezig.

U moet dus heel voorzichtig zijn onder Uitzonderingen wanneer u hier iets wijzigt, want de toestemmingen en verboden worden in een gemeenschappelijke lijst bijgehouden. Als u veel toepassingen hebt toegestaan of verboden, wordt het geheel snel onoverzichtelijk.

Op dit punt wil ik u twee veiligheidstips geven:
1. de Windows Firewall maakt geen checksum voor de toegestane programma’s om ze ondubbelzinnig te identificeren. Met de Windows firewall is het dus denkbaar dat de gebruiker een toepassing “toestaat”, maar dat deze later wordt vervangen door een Trojan, enz. Windows beperkt alleen de bestandsnaam en het pad.

Bovendien kan een programma zichzelf ook passende rechten verlenen via een in het systeem beschikbare API, op voorwaarde dat het ingelogde account daartoe gemachtigd is. Aangezien veel thuisgebruikers als beheerder op het systeem werken, levert dit nog een veiligheidsrisico op. Er zijn al wormen in omloop die de firewall gewoon onder een beheerdersaccount uitschakelen.

Via de knoppen “Programma” of “Poort” kan men ook eigen uitzonderingen als vrijgave of blokkering definiëren. Men moet dus eerst wachten op een vraag van het systeem.

Welke programma’s welke poorten nodig hebben, is te vinden op pagina’s als

• http://www.iana.org
• http://ports.tantalo.net
• Het artikel 842242 in de MS KB

Uitzonderingen voor slechts één verbinding

De lijst met uitzonderingen op het 2e tabblad geldt voor alle verbindingen die onder de firewall vallen (te zien op het 3e tabblad). Als u echter alleen voor een specifieke verbinding een uitzondering wilt toestaan, moet u een andere manier kiezen.

Selecteer eerst de verbinding in kwestie en selecteer dan rechts Instellingen.

Afb. 8: Gemaakte instellingen gelden nu alleen voor de “vpn tunnel” verbinding.

Onder Diensten kunt u bestaande diensten selecteren of nieuwe toevoegen via Bewerken.

Fig. 9: Uitzonderingen die slechts voor één verbinding gelden

Onder Toevoegen zijn de volgende opties beschikbaar:

Fig. 10: Eigen uitzondering instellen

U kunt alleen de poort en het protocol opgeven. Als u voor een geval meerdere poorten nodig hebt, moet u meerdere uitzonderingen toevoegen. Dit dialoogvenster weet niet hoe u toepassingen kunt opgeven – zoals bij de algemene uitzonderingen. Als u niet altijd hetzelfde IP krijgt van een DHCP-server, kunt u ook “localhost” invoeren voor Name. Bovendien kunt u hier ook het volledige subnet invoeren. Deze invoer geldt voor netwerken uit het adresbereik 192.168.1.1 tot 192.168.1.x:

192.168.1.0/24 (24 is de gestandaardiseerde verkorte vorm voor subnetmasker 255.255.255.0).

Het tabblad ICMP biedt nog meer opties:

Fig. 11: ICMP-instellingen voor professionals

Probleemgeval bestand en printer delen

Op veel systemen is het delen van bestanden en printers als algemene uitzondering ingesteld, anders werkt een lokaal netwerk niet meer.

Opmerking: Als u het delen van bestanden en printers niet nodig hebt voor een lokaal netwerk, moet u dit uitgeschakeld laten onder Uitzonderingen.

Fig. 12 Bestands- en printerdeling uitschakelen indien niet nodig

Echter, aangezien de uitzondering op het 2e tabblad van toepassing is op alle bewaakte verbindingen (zie Fig. 3), zou het delen van bestanden en printers ook van buitenaf toegankelijk zijn via het internet. Dit is zelfs het geval als een inbelverbinding wordt gebruikt voor internettoegang.

Om dit te voorkomen heeft Microsoft de toegang beperkt tot het eigen subnet. U kunt dit als volgt controleren: Selecteer het delen van bestanden en printers op het 2e tabblad en klik vervolgens op Bewerken.

Afb. 13: De bestands- en printerdeling bewerken

In het volgende dialoogvenster worden de vrijgegeven poorten van de bestands- en printerdeling weergegeven.

Fig. 14: Poorten voor bestands- en printerdeling

Nu kunt u met “Gebied wijzigen” de gebieden weergeven waarop de uitzondering van toepassing is.

Afb. 15: Gebied wijzigen

Helaas zijn hier 2 problemen mee.

Zoals PC-Welt naar verluidt in een test ontdekte, is de bescherming hier onder bepaalde omstandigheden niet effectief en staan de bestands- en printershares dan open voor webverbindingen. Zie ook Heise Security.

Daarnaast kan de bescherming ook worden omzeild als de provider een verkeerd subnetmasker doorgeeft.

Addendum: 24.12.2004

De patch KB886185 verhelpt het beveiligingslek. De patch wordt hier ook in detail beschreven.

Om het mogelijke beveiligingsgat zonder de patch te omzeilen zijn er 3 oplossingen.

Oplossing 1 – Bescherm de netwerkkaart niet tegen de firewall.

Als u uw netwerkkaart niet gebruikt voor inbellen (bijvoorbeeld internettoegang via een USB DSL-modem of ISDN-adapter), kunt u de LAN-verbinding uitsluiten van bescherming door de firewall.

Schakel eerst het delen van bestanden en printers in het algemeen uit (fig. 12).

Verwijder vervolgens de LAN-verbinding uit de bescherming van de firewall. Dit betekent dat alle regels van de firewall niet langer van toepassing zijn. De LAN-verbinding heeft nu weer toegang tot het netwerk.

Fig. 16: LAN-verbinding niet beschermen

Deze procedure wordt echter niet aanbevolen, want hoewel wormen het systeem niet meer van buitenaf kunnen binnendringen, kunnen zij zich intern verspreiden.

Oplossing 2: Bereiken specificeren

Voer voor elk van de 4 poorten in figuur 15 het volgende in het gebied van de door de gebruiker gedefinieerde lijst in:
192.168.1.0/24
Afhankelijk van het adresbereik voor uw eigen netwerk, moet u het eerste IP-bereik aanpassen. In het voorbeeld worden lokale IP’s van 192.168.1.1 tot 192.168.1.255 gebruikt. U kunt zien welk IP-bereik uw computer gebruikt via Start-> Uitvoeren-> CMD en hier met IPconfig. De 24 is de korte vorm van het subnetmasker 255.255.255.0.

Oplossing 3: Bestands- en printerdeling alleen voor de netwerkadapter

De 3e oplossing is naar mijn mening de betere. Schakel het delen van bestanden en printers als algemene uitzondering uit.

Fig. 17: Bestands- en printerdeling algemeen uitschakelen

Schakel vervolgens over naar het 3e tabblad van de firewall en stel 4 eigen uitzonderingen in voor alleen de LAN-verbinding, die staan voor het delen van bestanden en printers.

Fig. 18: Instellingen voor de LAN-verbinding

Voeg in het volgende dialoogvenster uitzonderingen toe voor de UDP-poorten 137 en 138 en de TCP-poorten 139 en 445.

Afb. 19: Poort specificeren

De voltooide instelling zou er dan zo uit moeten zien:

Fig. 2o: Het resultaat

Eventueel moet onder ICMP een of andere functie (bijv. echo toestaan) worden geactiveerd, als netwerktoepassingen dat vereisen.

De derde methode heeft het voordeel ten opzichte van de eerste dat de LAN-adapter ook algemeen beschermd blijft tegen andere aanvallen en serverpoorten.

Boekhouding

De firewall kan ook loggen wat werd geblokkeerd of toegestaan. De benodigde opties hiervoor zijn te vinden onder Advanced -> Security Settings.

Fig. 21: Logging

Het verstrekken van de instellingen met en zonder groepsbeleid

Binnen een Active Directory kan de firewall van de clients handig worden geregeld via groepsbeleid. In artikel 600339 in de TechNet database beschrijft Microsoft de mogelijke configuratie via groepsbeleid.

Wie geen group policies gebruikt, vindt in hetzelfde artikel wat hij zoekt. Met behulp van een antwoordbestand kunnen de parameters van de firewall al tijdens de installatie worden gedefinieerd.

Het artikel in de TechNet database beschrijft in detail hoe het servicepakket binnen een domein via groepsbeleid kan worden aangestuurd. Een aparte sectie behandelt ook de besturing van de firewall.

Problemen veroorzaakt door de firewall

Een veel voorkomend probleem in netwerken is dat de computer niet meer zichtbaar is. In dit geval moet men voor de LAN-verbinding onder de geavanceerde instellingen voor ICMP het item“Inkomend echo verzoek toestaan” activeren (fig. 11). Ook gedocumenteerd in het WinTotal tip-archief.

Onder KB entry 875357 beschrijft Microsoft mogelijke problemen veroorzaakt door de firewall. Deze doen zich meestal voor wanneer programma’s bepaalde netwerkpoorten nodig hebben, maar de firewall deze niet vrijgeeft. Aangezien de Windows firewall niet zo transparant is als andere firewalls, merkt de gebruiker de poortverzoeken van de toepassingen niet op. Het artikel beschrijft hoe de problemen kunnen worden opgespoord en hoe de uitzonderingen handmatig kunnen worden ingesteld.

Het artikel 842242 noemt ook enkele programma’s bij naam die speciale machtigingen vereisen.

Een volledig artikel over de firewall is ook te vinden in het Microsoft Download Centre.

On-board of product van derden?

Als u tot nu toe een firewall hebt gebruikt, hoeft u zeker niet over te stappen op de eigen oplossing van XP. De meeste producten bieden zonder uitzondering een betere bescherming dan Microsofts eigen ontwikkeling. Aangezien vooral niet-professionals potentieel slachtoffer zijn van aanvallen, is het project “eenvoudige firewall voor iedereen” mislukt. Ik adviseer de mondige gebruiker om na te gaan of hij of zij niet iets veiligers voor zichzelf doet met producten als het toegankelijke ZoneAlarm, Sygate of een andere software firewall. De Windows firewall is echter beter dan geen bescherming. En de ervaring met veel virussen leert dat het merendeel van de PC’s niet goed beschermd is.

Als u zonder de Windows firewall van Windows XP met SP2 kunt, hoeft u alleen de dienst Windows firewall/gemeenschappelijk gebruik van de internetverbinding uit te schakelen onder Administrative Tools -> Services. Dit betekent echter ook dat elk gebruik van de gedeelde internetverbinding niet meer werkt. Als u niet zonder deze functie kunt, moet u ten minste de firewall op “inactief” zetten. In de regel mogen de firewall van derden en de inactieve Windows-firewall niet met elkaar in conflict komen.

Ten slotte kunt u de bewaking van de firewall in het Beveiligingscentrum uitschakelen als het product van derden geen integratie in het Beveiligingscentrum ondersteunt.