In 13 stappen de ultieme firewall voor je pc

© PXimport

In 13 stappen de ultieme firewall voor je pc

Geplaatst: 29 april 2016 - 10:16

Aangepast: 14 december 2022 - 12:03

Redactie ID.nl

Om ongewenste toegang tot je computer te voorkomen, is het essentieel dat je gebruikmaakt van een firewall. Standaard zijn er firewalls ingebouwd in de router die je thuis hebt staan. Deze beheren echter alleen inkomende verbindingen, terwijl uitgaande verbindingen ook belangrijk zijn.

In dit artikel nemen we je mee in de wereld van firewalls. We bespreken eerst wat een firewall precies doet en hoe deze werkt en vervolgens gaan we zelf aan de slag met een firewall, namelijk de Comodo Firewall voor Windows. We laten zien hoe je deze optimaal kunt configureren en wat voor handige functies het programma allemaal heeft. Lees ook: 12 tips om je bestanden te beveiligen.

01 Wat doet een firewall?

Er zijn verschillende typen firewalls, maar voordat we daarover beginnen, is het misschien beter om eerst te kijken wat een firewall precies doet. Een firewall is de scheidingslaag tussen een intern netwerk en het internet. Zoals je misschien wel weet, communiceren computers met kleine pakketjes. De te versturen data wordt opgesplitst in die pakketjes en aan elk pakket wordt onder andere een IP-adres toegevoegd, dat aangeeft waar het pakket naartoe moet. Vervolgens wordt het pakket steeds naar een computer op het netwerk doorgestuurd, de juiste richting op, totdat het aankomt bij de bestemmingscomputer. Zo communiceren computers kort door de bocht.

Een firewall filtert inkomend en uitgaand verkeer op basis van een set regels, die vooraf gedefinieerd zijn door de netwerkbeheerder. Laten we als voorbeeld ftp nemen. Stel dat we dat hebben draaien op een bepaalde server in het netwerk. Ftp werkt standaard op poort 21. Een poort is simpelweg een getal om de service mee te identificeren. Zonder een firewall zou iedereen op poort 21 verbinding kunnen maken met onze server. Dat is een risico. Hoewel het zo is dat de ftp ongetwijfeld beschermd zal zijn met een gebruikersnaam en wachtwoord, krijgt een aanvaller zonder firewall de tijd om heel veel wachtwoorden te proberen. Bovendien kunnen er misschien kwetsbaarheden zijn in ftp, waardoor een aanvaller op afstand verbinding kan maken. Een firewall kan al deze kopzorgen voorkomen door toegang tot poort 21 op die server te blokkeren voor de buitenwereld.

 

© PXimport

01 De meest gebruikte firewall is de Windows Firewall, maar deze biedt alleen bescherming voor inkomende verbindingen.

02 Inkomend of uitgaand

Standaardfirewalls beschermen alleen inkomende verbindingen. Als je voor optimale veiligheid gaat, wil je echter misschien overwegen ook uitgaande verbindingen te beschermen. Dat is bijvoorbeeld nuttig om bij malware-infectie, te voorkomen dat malware communiceert met de buitenwereld om bijvoorbeeld nog meer malware te downloaden. Ook heb je misschien software waarvan je helemaal niet wilt dat die verbinding maakt met de buitenwereld. Dan is het nuttig uitgaande verbindingen achter een firewall te zetten.

De definitie van de moderne firewall is een stuk opgerekt. Een firewall gaat allang niet meer alleen maar over netwerkverkeer, maar veel meer over applicaties. Zo bevatten firewalls ook 'HIPS', zogenoemde Host Intrusion Prevention. HIPS handhaaft aan de hand van een set van regels wat een applicatie wel en niet mag doen, bijvoorbeeld bestanden lezen, bepaalde Windows-services activeren en meer. Het is als het ware een firewall tussen de applicaties die je uitvoert en het besturingssysteem.

 

© PXimport

02 De HIPS van Comodo controleert belangrijke activiteiten van het besturingssysteem, zoals de installatie van een driver.

03 Packet filtering

Er zijn verschillende soorten firewalls. De oudste en meest bekende is genaamd packet filtering. Deze werkt op de net beschreven manier, door een set regels, zoals de volgende: "Voor de server met IP-adres 192.168.1.4: blokkeer verkeer op poort 21 met de buitenwereld."

De firewall analyseert vervolgens elk inkomend en uitgaand internetpakket. Op het moment dat het ziet dat er een pakketje bestemd is voor de server op poort 21, zal het dat pakketje weggooien zodat het nooit aankomt bij de bestemming. Dit soort firewalls werd al bedacht in 1988, en vandaag de dag zijn er dan ook betere manieren om netwerkverkeer te filteren.

 

© PXimport

03 Een voorbeeld van een firewallregel, waarbij we in dit geval verkeer op poort 21, ftp dus, expliciet toestaan.

04 Stateful firewall

Een betere firewall dan packet filtering is de tweede generatie firewalls, de zogenaamde stateful firewall. Netwerkverkeer vindt vaak plaats op een set van bekende poorten. Als voorbeeld: ftp is vaak poort 21, SSH is vaak poort 22 en IMAP-verkeer is van oudsher poort 25. Bovendien is het zo dat er niet één pakketje komt. Als er een verbinding wordt opgezet, komt er een hele reeks aan pakketten op dezelfde poort gericht voor dezelfde server. Een stateful firewall gebruikt die twee aannames om beter het verkeer te filteren: het verzamelt pakketjes die bij elkaar horen en wacht totdat het genoeg pakketjes heeft om een beslissing te maken of het verkeer door mag of niet.

Is die beslissing eenmaal gemaakt, dan houdt de firewall de verbinding in de gaten en laat het automatisch pakketjes binnen die onderdeel uitmaken van die verbinding. Het houdt dus de staat van de verbinding bij, vandaar de naam stateful firewall. Het voordeel is efficiëntie: als de verbinding is opgezet, hoeft de firewall alleen te controleren of de pakketjes uitmaken van een bestaande verbinding. Dat werkt nu eenmaal sneller dan voor elk pakketje een set regels door te nemen.

 

© PXimport

04 Verkeer over bijvoorbeeld FTP of SFTP wordt een keer aan het begin gecontroleerd en daarna doorgelaten door een stateful firewall.

05 Application layer firewall

Vandaag de dag maken we gebruik van firewalls op applicatieniveau. Dat betekent dat de firewall voor elke applicatie bepaalt of er een verbinding gemaakt mag worden en wat voor verbindingen acceptabel zijn. Hiervoor wordt een grote database geraadpleegd met regels voor de firewall, zodat je zelf niet zo veel meldingen te zien krijgt. Een moderne firewall biedt inzicht in wat er draait op je computer en hoe vertrouwd die processen zijn, en geeft je de mogelijkheid om processen veilig uit te voeren.

 

© PXimport

07 Een voorbeeld van een Comodo-melding, waarbij het in dit geval vraagt of Spotify verbinding mag maken.

Waarom niet Windows Firewall?

De Windows Firewall beschermt prima tegen aanvallen, maar biedt standaard geen bescherming als een programma verbinding wil maken met het internet, de zogenaamde uitgaande verbindingen. Het is wel mogelijk om dat in te stellen, maar de Windows Firewall heeft niet de mogelijkheid om je meldingen te geven als een programma een uitgaande verbinding wil opzetten. Dat betekent dat je dus steeds zelf de Windows Firewall moet openen, het betreffende programma moet selecteren en de regel moet toevoegen en opslaan. Dat is natuurlijk niet erg praktisch. Ook geeft de Windows Firewall geen inzicht in netwerkactiviteiten en mist het meer geavanceerdere functies (zoals HIPS en een sandbox), die bijvoorbeeld moderne firewalls en ook de Comodo Firewall wel hebben.

 

© PXimport

07 Uitgaande verbindingen van de Windows Firewall moet je handmatig programma voor programma toevoegen.

06 Comodo Firewall installeren

We gaan aan de slag met de firewall van Comodo. Deze kan erg goed zelf geconfigureerd worden en biedt zowel controle over inkomende als uitgaande verbindingen. Dat is een extra niveau van veiligheid dat de Windows Firewall niet biedt (zie ook het kader). Je kunt de Comodo-firewall hier downloaden. Vervolgens ga je naar Products / Internet Security Software en dan bevindt zich onderaan de optie Comodo Firewall. Klik erop en klik daarna op de groene knop Free firewall download. Voer het gedownloade bestand uit en klik bij de taal op OK. Klik onderaan op Installatie aanpassen en vink hier Installatie COMODO GeekBuddy uit.

De Chromodo-browser hebben we wel nodig voor de virtuele desktop later. Klik daarna op Terug. Je kunt opnieuw op Volgende klikken, het invoeren van je e-mailadres is niet nodig. Comodo wil helaas zijn eigen Chromodo-browser standaard maken, dus vink alles op de nu verschenen pagina uit om hier geen last van te hebben. Je kunt daarna opnieuw op Volgende klikken. Opnieuw kun je bij de volgende stap de twee vinkjes uitzetten. Hoewel de bovenste met betrekking tot Comodo's DNS-server nog vrij nuttig kan zijn, hebben we dat toch liever niet en vinken we die uit, net als die eronder over de zoekmachine. Klik op OK en installeren waarna de installatie gestart wordt. Na installatie wordt Comodo direct gestart en na korte tijd zal het programma vragen de computer opnieuw op te starten. Het is een goed idee dat inderdaad te doen.

 

© PXimport

06 GeekBuddy hebben we niet nodig en kun je gerust uitvinken.

07 Comodo Firewall gebruiken

Het eerste wat Comodo na het opnieuw opstarten vraagt, is om je huidige locatie te kiezen: thuis, op het werk of in een publieke ruimte. In ons geval zijn we thuis aan het werk, dus kiezen we voor de optie met het huis. Elke keer als je verbinding maakt met een nieuw netwerk, zal Comodo deze vraag stellen. Het onderscheid hiertussen is belangrijk: als je thuis bent, ben je over het algemeen in een veiligere omgeving dan op het werk en al helemaal dan in een publieke ruimte. Hierdoor kan Comodo goed bepalen of het bijvoorbeeld mediaverkeer zal toelaten. In het venster van de bedankmelding, kun je rechtsonder kiezen voor Dit venster niet opnieuw tonen.

Comodo Firewall zal nu elke keer een melding weergeven als een programma verbinding probeert te maken met het internet of een bepaalde actie wil uitvoeren die opvallend is, mits het programma niet voorkomt in de database van Comodo. Gelukkig heeft Comodo een zeer grote database van bekende programma's, dus zoveel meldingen zou je niet moeten krijgen. In het begin vind je de meldingen die je wel krijgt wellicht vervelend, maar op deze manier bouw je wel een profiel op waarin je alle programma's de juiste rechten geeft. Op onze computer viel het aantal programma's dat een melding genereerde reuze mee. Op het moment dat er nu bijvoorbeeld malware binnenkomt, is het wat eenvoudiger te herkennen en kun je de verbinding preventief blokkeren, als deze door de antivirus wel werd doorgelaten. Hiermee voorkom je dat de malware andere malware downloadt: het kan dan niet met de buitenwereld communiceren.

08 Virtuele Desktop gebruiken

De Comodo Firewall heeft als extra een ingebouwde virtuele desktop. Hiermee wordt het mogelijk om in een veilige omgeving op het internet te surfen met een beschermde browser, zonder dat daar andere processen bij kunnen. Om deze functie te gebruiken, open je het Comodo Firewall-hoofdscherm via het startmenu van je computer, of via een snelkoppeling die op je bureaublad geplaatst is bij de installatie. Klik onderaan op de optie Virtuele Desktop. Het kan zijn dat er een melding verschijnt om Silverlight even te installeren. Klik op Ja om dat te doen en vervolgens op Akkoord en installeren. Na de installatie opent zich de virtuele desktop.

Met de groene pijl rechtsboven kun je wisselen tussen je eigen bureaublad en zo programma's in de beveiligde omgeving starten. Klik op de C links onderaan en kies voor je favoriete browser om op internet te surfen. Comodo filtert automatisch advertenties en controleert of de webpagina die je bezoekt, wel veilig is. Om de virtuele desktop weer te verlaten, klik je rechtsonder op het kruisje. Alle browsergegevens worden vervolgens gewist en niets is opgeslagen.

 

© PXimport

08 Klik op de C linksonder om een beveiligde browser te starten.

09 Bescherming tegen (D)DoS-aanvallen

Een DDoS-aanval staat voor een (distributed) denial of service-aanval. Nu is dit voor de gemiddelde gebruiker geen echt gevaar, maar als je een server draait op je computer, kan Comodo Firewall je beschermen tegen een aantal DDoS-aanvalstechnieken. Een voorbeeld van een DDoS-aanval is het versturen van veel neppe internetpakketjes. Comodo kan deze automatisch weggooien, zodat je er geen last van hebt. Een andere aanvalsvector is door gefragmenteerde internetpakketten te versturen. De gegevens in een internetpakket hebben een bepaalde grootte, die jouw computer overeenkomt met elke andere computer waarmee het verbinding maakt.

Een aanvaller kan zijn verkeer door een router leiden met een kleinere grootte, waardoor alle pakketjes in die router opgesplitst moeten worden. Jouw computer ontvangt dan extra veel pakketjes, wat dus kan resulteren in een DoS-aanval, maar ook in een tragere internetverbinding. Ook is er nog ARP-spoofing, dat gebruikt wordt om een DoS-aanval te veroorzaken.

Om jezelf hiertegen te beschermen, open je de Comodo-interface en klik je op de schakelaar linksboven, waarna je een aantal mooie metertjes ziet. Klik op Firewall dat nu is verschenen. Op het scherm dat opent, bevinden zich de opties die we zoeken bij Geavanceerde Taken. Specifiek kun je dan de volgende opties inschakelen: Blokkeer gefragmenteerd IP verkeer, Protocol-Analyse en anti-ARP spoofing inschakelen.

 

© PXimport

09 Zorg ervoor dat de onderste drie opties zijn aangevinkt voor net even wat extra bescherming tegen (D)DoS-aanvallen.

10 Programma's beheren

In de Comodo-firewall kun je zelf beheren welke programma's wel en geen toegang krijgen tot internet. Om dat te doen, ga je naar de Comodo-interface en klik je rechtsboven op Taken. Vervolgens ga je naar Open geavanceerde instellingen. Er opent zich een nieuw venster op het tabblad Firewall Instellingen. Klik links in het menu op Applicatieregels. Hier zie je alle regels die er zijn gemaakt voor de tot nog toe uitgevoerde software op je computer. Om een programma aan te passen, dubbelklik je erop.

Een voorbeeldregel is "Toestaan IP Uit Van MAC Naar MAC Alle Waar Protocol is Alle". In dit geval betekent dat dat dit programma met alle adressen (Van MAC Naar Mac) op alle protocollen (Waar Protocol is Alle) mag communiceren op een uitgaande verbinding (Toestaan IP Uit). Om de regel aan te passen, dubbelklik je erop. Je kunt nu bijvoorbeeld bij Actie de communicatie van het programma blokkeren, bij Protocol de verbinding bijvoorbeeld beperken tot TCP als je weet dat het programma alleen daar gebruik van maakt en bij Richting kiezen of de regel van toepassing is op Inkomend of Uitgaand verkeer of beide. Je kunt nieuwe regels toevoegen door onderaan op het grijze pijltje te klikken, waarna de opties Toevoegen, Bewerken en Verwijderen verschijnen.

Je kunt op eenzelfde manier de instellingen voor HIPS beheren, dat waarschijnlijk de meeste meldingen zal weergeven. Krijg je vaak van een programma meldingen en weet je dat het programma veilig is, dan kun je dat in HIPS aangeven als volgt: ga in het venster Geavanceerde Instellingen naar Defense+, klap daarna HIPS uit en ga naar HIPS Regels. Om een programma toe te staan, dubbelklik je erop. In het nieuwe venster klik je op Gebruik aangepaste regels en kies je voor Toegestane Applicatie om geen meldingen meer te tonen en het programma te vertrouwen.

 

© PXimport

10 Heb je een vertrouwd programma waar Comodo toch steeds meldingen over blijft geven? Selecteer dan bij Gebruik aangepaste regels de optie Toegestane Applicatie.

11 Netwerkverbindingen beheren

Comodo heeft een firewall killswitch: deze kan per direct al het netwerkverkeer van en naar je computer blokkeren. Dat is handig op het moment dat je bijvoorbeeld bent geïnfecteerd, om te voorkomen dat er andere malware binnenkomt of dat er gegevens weglekken. Om deze killswitch in te schakelen, open je de Comodo-interface en ga je rechtsboven naar Taken / Geavanceerde Instellingen / Firewall Taken. Kies hier voor Stop netwerkverbinding. Comodo blokkeert direct al het netwerkverkeer, zodat er niets meer in of uit kan. Je kunt vervolgens op Herstel netwerkverbinding klikken om de internetverbinding weer actief te maken als je eenmaal de infectie het hoofd hebt geboden.

Interessant is de functie om actieve verbindingen in te zien in je computer. Op deze manier krijg je een goed inzicht wat er allemaal gebeurt op de achtergrond en wat voor processen allemaal internettoegang hebben en waarmee ze verbonden zijn. Om te bekijken welke processen er actieve verbindingen hebben, ga je opnieuw naar het takenscherm en klik je bij Algemene Taken op Actieve verbindingen. Je ziet nu gegroepeerd op proces elke verbinding met het IP-adres, het protocol en de hoeveelheid data die over en weer verzonden wordt. Als je met de rechtermuisknop op een verbinding klikt, kun je kiezen voor Verbinding verbreken.

 

© PXimport

11 Een druk op de knop en al het netwerkverkeer is gestopt.

12 Reputatiescan

Comodo houdt een database van programma's bij op zijn server, waarin onder meer firewallregels staan voor de vertrouwde programma's die vaak voorkomen bij andere computers. Het is mogelijk om te controleren wat er nu actief is op je computer en of er mogelijk niet-vertrouwde processen aanwezig zijn. Om te zien wat er nu actief is op je computer, ga je naar Taken en klik je op Zandbak Taken. Vervolgens ga je naar Bekijk actieve processen. Je ziet nu een lijst van actieve processen, voor elk proces zie je achteraan een waardering: Vertrouwd of Onbekend. Vertrouwde processen zijn herkend door Comodo en daar hoef je je geen zorgen over te maken. De onbekende processen vereisen wat meer aandacht.

Het is handig om bijvoorbeeld de procesnaam op te zoeken in een zoekmachine en te kijken wat er naar voren komt. Het is bovendien mogelijk om met de rechtermuisknop op een proces te klikken en te kiezen voor Spring naar folder, zodat je weet waar het proces vandaan komt. Een alternatief is om een Waarderingsscan uit te voeren. Dit kun je doen door terug naar het hoofdvenster te gaan en weer op Taken te klikken. Vervolgens kies je voor Algemene Taken en klik je op Scan. Elk bestand wordt nu gecontroleerd op vertrouwdheid met de Comodo-servers.

 

© PXimport

12 In de zogenaamde Waarderingsscan kun je precies zien welke bestanden wel en niet herkend zijn en daarop actie ondernemen.

13 Zandbak

De Comodo-firewall bevat een zandbak, ook wel sandbox, waarin je programma's in een veilige omgeving kunt uitvoeren, zodat ze geen schade kunnen aanrichten aan je eigen computer. Om een programma in de zandbak uit te voeren, zoek je de map op waar de snelkoppeling of het uitvoerbestand (.exe) zich bevindt. In Windows 10 doe je dat door in het startmenu met de rechtermuisknop op een programma te klikken en te kiezen voor Bestandslocatie openen. Vervolgens opent er zich een venster van de Windows Verkenner met het programma gemarkeerd. In oudere Windowsversies rechtsklik je op het programma en kies je Eigenschappen, waarna je de locatie van het bestand afleest. Zoek deze locatie dan op in de Verkenner.

Rechtsklik op het programma en kies voor Start in COMODO Zandbank. Het programma opent zich en wat opvalt is dat er een groene rand om het programma zit, dat aangeeft dat het programma in de zandbak draait. Comodo virtualiseert onderdelen van het besturingssysteem en presenteert die aan het programma, zodat er niets kan gebeuren.

Zoals we net al lieten zien, controleert Comodo elk proces op of het vertrouwd is of niet. Comodo heeft beide functies samengevoegd, waarmee het mogelijk wordt automatisch niet-vertrouwde programma's in de sandbox uit te voeren, dat is de zogenaamde Auto-Zandbakfunctie. Je kunt deze inschakelen door naar het hoofdscherm te gaan en bij Auto-Zandbak op Uitgeschakeld te klikken en daarna voor Ingeschakeld te kiezen. Je kunt hem verder configureren door op Auto-Zandbak te klikken. Standaard worden nu niet-herkende applicaties in de zandbak geplaatst. Je kunt toepassingen handmatig altijd in de sandbox laten starten door onderaan op het pijltje te klikken en voor Toevoegen te kiezen. Vervolgens kun je bij Doel achteraan op Selecteren klikken en kiezen om een bestand of gestart proces in de zandbak uit te voeren. Klik ten slotte op OK om de regel op te slaan en toe te passen.

Heb je net malware uitgevoerd in de zandbak? Ruim dan achteraf even op, zodat de zandbak weer 'schoon' is. Dit kun je doen door op het hoofdscherm van Comodo te kiezen voor Taken en vervolgens Zandbak Taken. Als je dan klikt op Reset Zandbak, worden alle gegevens in de sandbox verwijderd en begin je weer van vooraf aan.

 

© PXimport

13 Met Auto-Zandbak ingeschakeld voeg je een extra beveiligingslaag toe waarmee niet-herkende applicaties in een afgesloten omgeving uitgevoerd worden.

Deel dit artikel
Voeg toe aan favorieten