Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

De firewall: digitale fortificatie

Wie zijn computer aansluit op het Internet, kan daarmee verbinding leggen met computers over de hele wereld. Echter, al die computers kunnen dan net zo goed een verbinding leggen met deze computer. Bij bedrijven is het al langer gebruikelijk om het interne netwerk te beschermen door de Internet-aansluiting via een firewall te laten verlopen, maar ook voor individuele gebruikers kan dit interessant zijn.

Inhoudsopgave

Hoe werkt een firewall

De term ``firewall'' is al veel ouder dan de computer. Het Nederlandse woord er voor is ``brandmuur''. Deze wordt in de bouw gebruikt om er voor te zorgen dat brand aan de ene kant van de muur niet over kan slaan naar de andere kant. In de PC-wereld wordt de term firewall gebruikt om een computer aan te duiden die er voor zorgt dat ongewenst verkeer van buitenaf niet zomaar het lokale netwerk op kan, en dat gebruikers binnen het lokale netwerk niet zomaar alles naar buiten kunnen sturen.

Netwerkverkeer

Pakketjes

Om te kunnen begrijpen wat een firewall nu precies doet, moeten we eerst kijken wat voor soort verkeer er nu precies een netwerk in en uit kan gaan. In principe bestaat alle Internet-verkeer uit IP-datagrammen. Dit zijn kleine pakketjes met informatie die van computer naar computer verstuurd worden. Elke computer heeft een eigen uniek adres, het IP-adres. In een IP-datagram staat dan ook alleen het IP-adres van zender en ontvanger.

Poorten

Omdat computers op het netwerk onderscheid moeten kunnen maken tussen verschillende soorten informatie (bijvoorbeeld een connectie met een WWW-server en een mailserver die op dezelfde computer draaien), wordt gebruik gemaakt van poorten. Zo gebruikt WWW-verkeer bijvoorbeeld poort 80. Een computer die dus een pakketje ontvangt waarin staat dat het voor poort 80 bestemd is, zal de informatie uit het pakketje dan ook doorgeven aan de Webserver.

TCP en UDP protocollen

Er zijn hiervoor twee protocollen, TCP en UDP. Het TCP-protocol is het bekendste (vandaar ook wel de naam TCP/IP-netwerk voor een netwerk dat op Internet-technologie is gebaseerd). Het is betrouwbaar, redelijk snel en wordt voor de meeste toepassingen, zoals WWW, e-mail en inloggen op computersystemen gebruikt. Daarnaast is er ook UDP, een snellere maar minder betrouwbare variant van TCP. UDP wordt meestal gebruikt voor zaken als Realaudio of video, omdat hierbij snelheid belangrijker is dan een enkele storing of een gemist beeldje.

Zowel TCP- als UDP-verbindingen worden opgezet door IP-pakketjes heen en weer te sturen, met in elk pakketje een stukje informatie uit de communicatie. Een firewall moet dus zowel TCP- als UDP-verkeer weten af te handelen. Dit verkeer kan zowel van een van de ``eigen'' computers komen als van een onbekende computer op het Internet.

Filteren

Een firewall controleert inkomend en uitgaand Internet-verkeer door het te filteren. Hiertoe heeft de firewall een lijst met regels. Op deze lijst staat een patroon waarmee een bepaalde soort verkeer herkend kan worden, met daarbij de gewenste aktie. Een regel kan bijvoorbeeld zijn ``alle inkomende TCP-verbindingen voor poort 80 op een lokale computer moeten worden geweigerd.'' Met deze regel kunnen computers van buiten het netwerk geen verbindingen leggen met Webservers binnen het netwerk, omdat Webservers informatie versturen vanaf poort 80.

Ook kan worden gefilterd op het IP-adres van de afzender. Hiermee kan bijvoorbeeld een hacker die probeert in te breken eenvoudig worden geweerd: voeg de regel ``alle inkomende IP-datagrammen van IP adres 192.168.45.90 weigeren'' toe en hij zal op geen enkele computer achter de firewall worden toegelaten, ongeacht welk programma of welk protocol hij gebruikt.

De beheerder van de firewall moet voor elk protocol (zoals HTTP, SMTP of IRC) bepalen of het doorgegeven moet worden of niet. Hij kan er voor kiezen om alles door te geven, en vervolgens alle gevaarlijke protocollen afzonderlijk nagaan en weigeren, of hij kan alles afsluiten en alleen datgene doorgeven wat echt nodig is. Bedrijven maken vaak gebruik van de laatste optie. Zo kunnen medewerkers vaak alleen informatie van het Web ophalen, maar geen verbindingen leggen voor IRC of ICQ, of hun eigen Webservers installeren.

Proxy

Naast een goede firewall is ook een proxy essentieel. Vaak is dit dezelfde fysieke computer als de firewall. De proxy server is een soort doorgeefluik. Als de firewall geen verkeer van binnen naar buiten het netwerk toestaat, moeten de gebruikers met de proxy communiceren om met de rest van het Internet te kunnen werken.

Met de combinatie firewall/proxy wordt het vrij moeilijk voor een aanvaller om binnen te dringen. De enige computer in het netwerk waar hij verbinding mee kan leggen, is de firewall, en deze laat slechts enkele soorten informatie door, en dan ook nog eens alleen via de proxy. De aanvaller kan dus op geen enkele manier een verbinding leggen met een computer van een gebruiker binnen het lokale netwerk, ook al heeft deze gebruiker tientallen servers op zijn computer draaien. Dit biedt dus bijvoorbeeld bescherming tegen programma's als NetBus of BackOrifice, omdat de inbreker nu geen verbinding meer kan leggen met de geïnfecteerde computer.

Ook kan op deze manier het WWW-verkeer worden gefilterd. De firewall zorgt er voor dat niemand direct Webpagina's van Internet kan ophalen (met een regel als ``weiger alle uitgaand verkeer naar poort 80 van een willekeurige computer''). Gebruikers moeten dus via de proxy pagina's ophalen. De proxy kan dan weer toegang tot specifieke sites blokkeren (bijvoorbeeld porngorafische sites) en kan veelgevraagde pagina's lokaal bewaren zodat het opvragen veel sneller gaat.

Thuisgebruikers

Steeds meer mensen maken gebruik van een kabelmodem om op Internet te komen. Het is dan vaak interessant om binnenshuis een lokaal netwerk aan te leggen, met één computer die 24 uur per dag aan staat en via de kabelmodem op Internet aangesloten zit. De andere computers kunnen dan via deze computer het Internet op. Zij maken gebruik van IP masquerading, een techniek waarbij meerdere PC's gebruik kunnen maken van het ene IP adres dat bij de direct aangesloten computer hoort.

De computer die dan 24 uur per dag met het Internet verbonden is, kan nu dienst doen als firewall. Zo'n firewall zal weinig restricties opleggen aan wat de gebruikers op het lokale netwerk kunnen doen. Bescherming tegen ongewenst verkeer van buitenaf is dan veel belangrijker. Zo kan zo'n firewall bijvoorbeeld alle verkeer naar poort 31337 op een lokale computer blokkeren, om zo BackOrifice (dat van deze poort gebruik maakt) te weren.

De firewall zelf moet wel tegen een stootje kunnen. Veel mensen gebruiken daarom een besturingssysteem als Linux op de firewall-computer. Dit besturingssysteem is erg stabiel en beschikt over vele uitgebreide tools om firewalls (en proxies) mee op te zetten.

Voor Windows 95/98 en NT zijn er ook diverse firewall produkten verkrijgbaar. Voor de thuisgebruiker zonder eigen netwerk kan het toch interessant zijn om zo'n firewall te installeren, al was het maar om Winnuke, Back Orifice en andere inbraakpogingen en pesterijen tegen te kunnen gaan. Helaas zijn niet alle firewall-produkten voor Windows even stabiel en uitgebreid als die voor Linux.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
16 december 2016