image

Windows Firewall in XP

vrijdag 18 februari 2005, 16:23 door Redactie, 5 reacties

Een van de nieuwe security features in de eerste versie van Windows XP was de Internet Connection Firewall, ook wel ICF genoemd. Het betrof hier een zeer uitgeklede firewall die nauwelijks geconfigureerd kon worden en alleen maar inkomend verkeer tegenhield. Standaard stond de firewall bij Windows XP eigenaren ook niet ingeschakeld, waardoor wormen en ander digitaal gespuis nog steeds naar binnen konden. Na aanleiding van de Blaster worm besloot Microsoft Service Pack 2 uit te stellen en de update van nog meer security features te voorzien. Het resultaat was een iets uitgebreidere firewall, die dit keer standaard aanstond. Nog steeds blokkeert de Windows Firewall (die voorheen nog bekend stond als ICF) alleen het inkomende verkeer. Trojaanse paarden, dialers en andere rotzooi die het systeem hebben weten te infecteren, hebben dan ook vrijspel om met de buitenwereld contact te zoeken. (Maak kennis met de Windows Firewall)

Microsoft heeft dan ook laten weten dat de firewall in Service Pack 2 slechts basisbescherming biedt, en als gebruikers meer bescherming zoeken, ze een andere firewall moeten gebruiken en tevens de SP2 firwall moeten uitzetten. Dat neemt niet weg dat het beter is om de Windows Firewall te gebruiken dan helemaal niets.

Hoe goed is de Windows Firewall?
De Windows Firewall is dan niet van een commercieel niveau, je mag ervan verwachten dat het een aantal basistaken goed uitvoert. Dit artikel test de security van de firewall. Zo wordt er een stealth test, Advanced Port Scanner test en een Exploit test uitgevoerd. Tijdens de Stealth test wordt gekeken of de computer voor de buitenwereld zichtbaar is als er pakketjes naar TCP:1 poort op de machine wordt gestuurd. Een goede firewall zou het systeem niet tijdens deze verbinding moeten laten zien, iets wat de Windows Firewall ook prima doet.

Tijdens de Advanced Port Scan, die uit een TCP connect en TCP SYN scan bestaat, werd gekeken of open poorten op de computer voor een aanval gebruikt kunnen worden. De Windows Firewall weet een aantal poorten tijdens het scannen onzichtbaar te houden, maar bij het scannen van poort 135, 137, 138 en 139 ontvangt de scanner het bericht dat de poorten gesloten zijn, wat betekent dat die betreffende poort bestaat, en dus het systeem met dat IP bestaat. De TCP SYN scan doorstaat de Windows Firewall beter. Alle poorten worden netjes onzichtbaar voor de buitenwereld gehouden.

De exploit test kijkt, door onverwachte pakketten te sturen, hoe kwetsbaar de computer voor exploit aanvallen is. De meeste exploits in de test zijn denial of service aanvallen, die de firewall netjes weet af te slaan.

Kwetsbaar voor aanvallers
Een ander punt dat reden tot zorgen baart, is dat volgens sommige experts de API die voor het beheer van de Windows Firewall wordt uitgebruikt, door aanvallers kan worden uitgezet of aangepast. Firewall fabrikant ZoneLabs zou aan een update werken, waardoor de Windows Firewall standaard wordt uitgeschakeld als men ZoneAlarm installeert. Verwijdert men ZoneAlarm, dan wordt de Windows Firewall weer ingeschakeld, wat meteen een kwetsbaarheid laat zien. Als een installer namelijk de firewall kan uitschakelen, dan kan dit ook door een aanvaller gedaan worden, zo laat dit artikel weten.

Microsoft houdt echter vol dat haar firewall veilig is en dat als een aanvaller bij de API weet te komen er veel meer aan de hand is, en het systeem waarschijnlijk al succesvol is gecompromitteerd. Gebruikers die liever voor een alternatieve oplossing gaan, kunnen bijvoorbeeld uit een van deze gratis firewalls kiezen.

Volgens dit artikel is de Windows Firewall een goede tool. Het is eenvoudig van opzet en beschermt computers tegen inkomende verbindingen, waardoor het "aanvalsvlak" voor wormen en hackers aanzienlijk verkleind wordt.

Wat de Windows Firewall wel en niet doet (Informatie over Windows Firewall)



Wel Niet
Helpen voorkomen dat computervirussen en -wormen uw computer bereiken. Detecteren of uitschakelen van computervirussen en -wormen die reeds op de computer aanwezig zijn. U moet daarom ook antivirussoftware installeren en up-to-date houden om te voorkomen dat uw computer beschadigd raakt door virussen, wormen en andere beveiligingsrisico's en om te voorkomen dat uw computer virussen doorgeeft aan andere computers. Zie Veelgestelde vragen over antivirussoftware voor meer informatie.
Uw toestemming vragen om bepaalde verbindingsverzoeken te blokkeren of te deblokkeren. U weerhouden e-mailberichten met gevaarlijke bijlagen te openen. Open geen e-mailbijlagen van afzenders die u niet kent. Wees altijd voorzichtig, zelfs al kent en vertrouwt u de bron van het e-mailbericht. Als een bekende u een e-mailbijlage stuurt, moet u altijd goed naar het onderwerp kijken voordat u het bericht opent. Als het onderwerp onzin is of er op een andere manier verdacht uitziet, moet u altijd eerst contact opnemen met de afzender voordat u het bericht opent.
Een record (beveiligingslogboek) maken als u dat wilt. In het logboek wordt vastgelegd welke pogingen om verbinding met uw computer maken succes of geen succes hadden. Dit kan een handig hulpmiddel zijn bij het oplossen van problemen. Ongewenste of ongevraagde e-mail blokkeren. De geblokkeerde e-mail wordt niet in uw Postvak IN weergegeven. Dit kunt u ook in sommige e-mailprogramma's bewerkstelligen. Raadpleeg de documentatie van uw e-mailprogramma of zie Fighting Unwanted Spam voor meer informatie.

Concluderend
In het kader van "beter iets dan niets" volstaat de Windows Firewall prima. Zoals eerder gezegd raadt Microsoft gebruikers die meer security en opties zoeken een andere firewall aan. Een logische keuze, want de softwaregigant kan waarschijnlijk niet zonder de nodige rechtszaken een complete firewall van commercieel niveau in Windows verwerken. Dankzij Service Pack 2 staat de firewall nu standaard aan, waardoor talloze gebruikers beter beschermd zijn dan voorheen. Iets waar alle internetgebruikers van profiteren.


Handige documenten en artikelen over de Windows Firewall

Reacties (5)
18-02-2005, 21:27 door Anoniem
"In het kader van "beter iets dan niets" volstaat de Windows
Firewall prima."
Het is beter om geen firewall te hebben dan eentje waarvan
je denkt dat hij werkt maar dat toch eigenlijk niet doet.
Als je er geen eentje hebt, dan weet je in ieder geval waar
je aan toe bent. Met de ICF heb je geen flauw benul wat je
er van kunt verwachten.
19-02-2005, 03:00 door G-Force
En dan later maar klagen op de website van Security.nl dat de computer
geinfecteerd is geraakt...??? Beter een slechte Firewall aanzetten dan
helemaal niets, zou ik zeggen!
19-02-2005, 14:59 door Anoniem
wat de firewall niet kan? :S Wat denk je nou echt dat een
Firewall een Virusscanner is ofzo?:S
20-02-2005, 14:38 door Alain
Die firewall net als alle software firewalls kunnen niet de
functionaliteiten bieden van een hardware firewall.
Bovendien ieder stukje software / extra feature kan een
nieuwe mogenlijkheid geven om binnen te komen. Iets is beter
dan niets volstaat niet. Minder is meer volstaat een stuk
beter voor beveiliging.

Bovendien stopt firewall geen virussen hoogstens internet
wormen. Maar geen goed geschreven trojans (rootkits/spyware).
11-08-2006, 23:19 door Anoniem
Ik had Sygate en mijn buurman Norton. Na installatie van
SP2, dat de beveiliging
zou verbeteren,hebben we besloten, om de Windows firewall te
installeren.
Jammer dan na 2 weken, was het raak. Beide werden we besmet
met een
trojan backdoor wurm. De windows firewall was zelfs
uitgeschakeld.
Besloten, om bij beide maar snel Sygate te installeren. Tot
op heden geen
problemen na zo'n 4 maanden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.