Inbraakpogingen verijdelen

Als je met een breedbandverbinding op internet zit, stel je je pc open voor hackers. Een persoonlijke firewall moet je daartegen beschermen.

Het is ondertussen geen onbekend feit meer: Windows stelt zich op netwerkgebied wel heel erg vriendelijk op. Zowat iedereen mag namelijk binnen. En zelfs al dicht je de meest voor de hand liggende gaten, dan vinden hackers wel weer nieuwe. Dus is software van het type ‘personal firewall’ erg populair tegenwoordig. Zulke persoonlijke firewalls plaatsen sloten op alle mogelijke netwerkopeningen in Windows en waarschuwen je als iemand probeert gebruik te maken van zo’n opening. Je hebt vast al meermaals gelezen of gehoord dat breedbandverbindingen zoals Telenet of ADSL (Turbo Line) je pc vrijwel open bloot op het internet zetten. Wat is daar nu van aan en hoe bescherm je je daartegen?

Poorten
Het internet is een computernetwerk dat gebruik maakt van het protocol tcp/ip. Dat was trouwens oorspronkelijk het netwerkprotocol voor Unix-systemen. Om systemen met elkaar te laten babbelen via het internet, moeten er zijn die een dienst aanbieden en andere die een dienst willen gebruiken. De dienstaanbieders noemen we servers en de dienstgebruikers zijn clients. Een computer kan tegelijk diensten aanbieden en andere diensten gebruiken, dus tegelijk meerdere client- en serverfuncties hebben lopen. In een tcp/ip-netwerk kunnen in totaal 65.536 verschillende diensten lopen en voor elke dienst werd een zogenaamde tcp-poort gereserveerd. Men is indertijd gewoon beginnen nummeren bij poort 1 en heeft daar een van de toen meest gebruikte diensten aan toegewezen. Tegenwoordig zijn er een aantal poorten of diensten erg bekend: zo hebben we poort 21 voor ftp (bestandenoverdracht), poort 23 voor telnet (terminalsessies), poort 25 voor smtp (e-mailtransmissie), poort 80 voor http (webpagina’s) en poort 110 voor pop3 (afhalen van e-mail). Er zijn er in totaal zo’n duizend vastgelegd, maar dit zijn de bekendste voor eindgebruikers. Dat betekent natuurlijk dat er nog ruim 64.000 poorten zijn die niet vastgelegd zijn. Die kunnen bepaalde programma’s of jijzelf gebruiken voor allerlei uiteenlopende doeleinden. Goede doeleinden, maar helaas ook minder goede. Denk maar aan het beruchte Back Orifice. Dat is een programma dat zichzelf op jouw systeem probeert te installeren en je hele desktop op afstand laat bedienen door een hacker. Back Orifice gebruikt daar standaard de tcp-poort met nummer 31.337 voor, maar de hacker kan daarvan afwijken en een andere poort kiezen als hij wil. Windows gooit zelf de deur wagenwijd open voor hackers via poort 139: die gebruikt Windows namelijk om er NetBEUI over te versassen en NetBEUI is immers het netwerkprotocol waarmee Windows-pc’s in werkelijkheid met elkaar babbelen om gegevens uit te wisselen. Als je dus je bestanden- of printerdeling hebt aanstaan in Windows, kan een hacker dus via het internet en poort 139 aan al je gedeelde systeembronnen! Dat kun je zien op een van de illustraties bij dit artikel.

Zoeken
Als een hacker een systeem uitgekozen heeft waarop hij wil inbreken (of dat althans wil proberen), dan moet hij eerst uitvissen welke diensten er op dat systeem draaien. Daarvoor gebruikt hij een zogenaamde poortscanner. Die loopt gewoon alle poorten van 1 tot 65.535 af en kijkt voor iedere poort na of er een dienst op draait. Zo ja, kan hij proberen via die dienst in je systeem in te breken. Hoe dat inbreken precies in zijn werk gaat, verschilt van dienst tot dienst. Soms is het niet de bedoeling in te breken, maar wel je systeem te doen crashen. Dat kan soms als er expres verkeerd geformatteerde informatie naar een bepaalde dienst gestuurd wordt. In het beste geval stopt die ene dienst dan met werken, maar in het slechtste geval kan de hele pc crashen. Zulke vormen van internetvandalisme die de werking van je systeem proberen in het gedrang te brengen, heten ‘Denial of Service Attacks’ of kortweg DoS-aanvallen.

Afsluiten
Firewallsoftware verhindert dit soort vandalisme. Die zorgt ervoor dat als iemand van buitenaf een van jouw poorten probeert te contacteren, dat er dan niet geantwoord wordt. De andere kant denkt dan dat die poort niet in gebruik is en dus ook niet kan dienen om in te breken of voor vandalisme. De firewall kan jou dan wel nog melden dat er zo’n contactpoging is geweest en op welke poort. Je kunt overigens zelf ook een poortscanner gebruiken om te kijken welke poorten je eigen systeem zoal vrijgeeft. Er zijn een aantal poortscanners op internet die dat voor je kunnen nagaan zonder dat je zelf op zoek moet gaan naar de juiste software. Wij vinden die van GRC een hele leuke. De gulden regel in verband met afsluiten is: in principe moet alles dicht, behalve dat waarvan je uitdrukkelijk wenst dat het open is. Als je je op je eigen pc een dienst ter beschikking wil stellen (zoals een eigen webserver), dan moet je natuurlijk zorgen dat die poort beschikbaar is.

Firewallconfiguratie
De methode van Microsoft is dat ze alles open zetten, behalve waarvan je uitdrukkelijk zegt dat het gesloten moet zijn. Dat is niet veilig. De veilige methode sluit alles af en opent dan een voor een de poorten die je open wil hebben. Bij de meeste firewallproducten hoef je niet veel in te stellen. De meeste hebben een makkelijke schuifregelaar waarmee je de beveiliging van ‘niets’ over ‘laag’ naar ‘midden’ tot ‘hoog’ kunt zetten. Een hoge beveiliging zal je systeem potdicht draaien en helemaal niets toestaan. Het middelste niveau van beveiliging zal alles dichtdraaien behalve standaardpoorten voor veelgebruikte diensten zoals 21 (ftp), 23 (telnet), 25 (smtp) en 80 (http). Hoe lager je de beveiliging schroeft, hoe opener je systeem zal zijn. De firewallsystemen laten je ook toe van een standaardinstelling bepaalde poorten toch te openen of bepaalde diensten om te leiden. Kwestie van uitproberen en de documentatie of hulpschermen goed doornemen. De meeste programma’s stellen je echter in staat om te starten met een standaardinstelling (gewoonlijk een middenniveau van beveiliging) waarbij voor de opengelaten poorten toch logbestanden bijgehouden worden van wie er toegang toe vroeg en wat er precies gedaan werd. Later kun je dan meer gefundeerde beslissingen nemen over wat je precies wil veranderen aan die standaardinstellingen terwijl je toch vanaf het begin beveiligd bent.

De vijand binnenin
Een probleem met firewallsoftware is dat ze beveiligen tegen inbraak, maar niet noodzakelijk tegen uitbraak. Daarmee bedoelen we dat firewalls gewoonlijk niet verhinderen dat een applicatie op jouw systeem probeert contact te leggen met een server ergens op internet. Zelfs als dat wel kan, kan een vandaal die beperking vaak nog omzeilen door zijn applicatie ‘iexplore.exe’ of ‘netscape.exe’ te noemen, want voor deze programmanamen worden immers vaak veel grotere vrijheden verleend. Firewallsoftware zou zich daartegen kunnen proberen te wapenen door te eisen dat zulke applicaties met grote vrijheden alleen maar vanaf bepaalde plaatsen kunnen draaien. Zo kun je alleszins al voorkomen dat een of andere vandaalprogramma zich zomaar voordoet als een legitieme applicatie.

Telenet en Turbo Line
Van Telenet is bekend dat ze de onderste duizend tcp-poorten blokkeren zodat je zelf geen internetservers kunt draaien. Bij ADSL (Turbo Line) doet men dat niet. Wat Telenet doet is in feite goed voor de beveiliging, want het betekent ook dat hackers niet aan je pc kunnen via die geblokkeerde poorten. Lezers met een Telenet-verbinding zullen zien, als ze ‘Shields UP!’ uitproberen, dat zij ook zonder firewall al vrij goed beveiligd zijn. Dat is niet zo bij een ADSL-verbinding, waar er echt tweewegverkeer mogelijk is. Daar zal ‘Shields UP!’ dan ook probleemloos tonen dat hun systeem zo lek is als een zeef.