Hier kunt u bepalen hoe de firewall het verkeer op uw computer regelt als deze is aangesloten op een netwerk. U vindt er ook geavanceerde opties om de beveiliging aan te passen, zodat u deze helemaal kunt afstemmen op uw eigen beveiligingsbehoeften of uw netwerkconfiguratie.
De informatie op het tabblad Beveiliging houdt rechtstreeks verband met de bescherming tegen aanvallen op het netwerk die BullGuard Firewall biedt. De opties op dit tabblad bieden u de middelen om de aanvalsdetectie van de firewall aan de specificaties van uw netwerk aan te passen.
Firewall-regels blijven toepassen nadat BullGuard is afgesloten: Hierdoor blijft de firewall actief als de hoofdtoepassing wordt afgesloten. Dit kan tot problemen leiden met toepassingen die niet op de applicatielijst staan en toch toegang tot het netwerk proberen te krijgen.
Omdat BullGuard is afgesloten en de firewall alleen nog op de achtergrond actief is, wordt er geen gebruikersinterface geladen en krijgt u pop-upvragen van de firewall niet te zien.
Omdat u weinig tijd hebt om de pop-upvragen te beantwoorden en u ze door het ontbreken van de interface niet kunt zien, voert de firewall de standaardactie uit en worden programma's geblokkeerd als ze niet op de applicatielijst staan. Als de applicatielijst correct is samengesteld, zal de firewall de benodigde toepassingen niet blokkeren.
Aanvaldetectie inschakelen: Hiermee kunt u de blokkade van netwerkaanvallen door de BullGuard Firewall in- of uitschakelen. Wij adviseren u om deze optie altijd ingeschakeld te laten.
Aanpassing van programma's detecteren: Met behulp van deze functie kan BullGuard zien of een programma op de applicatielijst is gewijzigd. Het zal u dan vragen of u de toepassing wilt blijven toestaan of deze wilt blokkeren.
Deze optie is bijzonder nuttig als u wilt voorkomen dat gekaapte applicaties zonder uw toestemming verbinding maken met het internet. Dit werkt het beste in combinatie met de realtime scanner van het antivirusprogramma, omdat beveiligingslagen worden aangemaakt die de veiligheid van uw computer optimaliseren.
De firewall detecteert ook pogingen tot wijziging van een programma dat verbinding met internet zoekt, en vraagt u of u dat wilt toestaan of weigeren. Let erop dat softwareupdates kunnen leiden tot wijziging van uitvoerbare bestanden (zoals de periodieke Windows-updates), en in dergelijke gevallen moet u de gewijzigde bestanden blijven toestaan.
Aanvalsdetectie
De aanvalsdetectie vormt het hart van de firewall.
Instellingen aanvalsdetectie
BullGuard blokkeert allerlei soorten netwerkaanvallen. Specifieke netwerkvereisten en configuraties van apparatuur kunnen er echter toe leiden dat bepaalde van het internet afkomstige informatie een 'vals alarm' veroorzaakt. Daarom kunt u de aanvalsparameters van de firewall aanpassen aan de eigenschappen van uw netwerk.
De knop Configureren voor detectie van Poortscans, Enkelvoudige poortscans en Denial-of-Service aanvallen: Hiermee kunt u de gevoeligheid van de firewall voor dit soort aanvallen aanpassen.
Geavanceerde ARP-beschermingsinstellingen configureren: Hiermee kunt u de gevoeligheid van de aanvalsdetector voor ARP-scans aanpassen.
Vertrouwde hosts uitsluiten van aanvalsdetectie: Alle IP-adressen in de lijst met vertrouwde hosts worden uitgesloten van de controles van de aanvalsdetectie.
Indringers uitsluiten gedurende (seconden): bij iedere gedetecteerde aanval kunt u het IP-adres van de aanvaller gedurende een bepaalde periode door de firewall laten uitsluiten.
Soorten aanvallen
Poortscans detecteren: hiermee kan de firewall een poortscan detecteren; dit is niet echt een aanval, maar een actie die vaak voorafgaat aan een aanval en waarbij wordt gezocht naar open poorten op uw computer.
Enkelvoudige poortscans detecteren: A type of attack that tries to see what ports are open on the target computer. Not an attack by itself, but a common action preceding an attack.
Denial-of-Service (DoS)-anvallen: Hiermee kan de firewall een type aanval detecteren en verhinderen waarbij netwerkdiensten en -bronnen onbereikbaar worden voor de gebruikers. Er zijn verschillende manieren om een DoS- of DDoS (Distributed Denial of Service)-aanval uit te voeren: Teardrop-aanvallen, ICMP-aanvallen, Nuke-aanvallen en gedistribueerde aanvallen. Deze aanvallen zijn herkenbaar aan bepaalde signalen: slechte netwerkprestaties, geen toegang tot netwerkbronnen (servers, printers, gedeelde bestanden, netwerktools en -toepassingen), trage computers. Soms veroorzaakt een DoS-aanval een hoge CPU-activiteit, waardoor het besturingssysteem vastloopt.
IP-adresbedrog detecteren: Detecteert en blokkeert netwerkpakketten van aanvallers die proberen zich voor te doen als legitieme computers door het IP-adres van de bron van de netwerkpakketten te vervalsen.
Diefstal IP-adres detecteren: Beschermt uw computer tegen aanvallers die IP-adressen uit het netwerk kopiëren om het besturingssysteem te laten vastlopen of crashen. Ze kunnen de aangevallen computer ook de toegang tot de netwerkbronnen of -diensten ontzeggen door valse ARP-pakketten te verzenden, waarmee ze in feite de 'identiteit' van de aangevallen computer stelen.
ARP-scans detecteren:: Hiermee detecteert de firewall ARP-scans, waarbij de aanvaller zich voordoet als een andere computer of server en zo het doelwit probeert te verleiden tot het sturen van informatie. Dit soort aanvallen leidt tot vertraging bij de gegevensoverdracht of het uitvallen van diensten op de aangevallen apparatuur als gevolg van de ARP-vervalsing. Belangrijke en vertrouwelijke gegevens (chats, e-mails) kunnen zo worden onderschept.
Gefragmenteerde ICMP-aanval: de firewall detecteert aanvallers die proberen de beveiliging te omzeilen door het verzenden van gefragmenteerde ICMP-pakketten.
Gefragmenteerde IGMP-aanval: de firewall detecteert aanvallers die proberen de beveiliging te omzeilen door het verzenden van gefragmenteerde IGMP-pakketten.
Korte fragmenten-aanval: Zorgt ervoor dat de firewall de pakkettypes herkent die worden gebruikt bij DoS-aanvallen. De pakketten zijn met opzet kleiner gemaakt dan de normale pakketten, zodat ze niet worden ontdekt door de beveiligingssystemen (hardware- of software-firewalls).
1234-aanval: hiermee kan de firewall een type ICMP-aanval detecteren waarbij foutieve ICMP-tijdstempels worden verstuurd.
Overlappende fragmenten-aanval: De firewall voorkomt dat de aanvaller gefragmenteerde pakketten kan sturen met elkaar overlappende informatie in de hoop het systeem te verzwakken en kwetsbaar te maken voor een aanval. Deze aanpak wordt vaak gehanteerd bij een Teardrop-aanval.
WinNuke-aanval: Deze optie beschermt uw computer tegen een aanval waarbij een OOB-pakket (Out of Band) wordt verstuurd, wat leidt tot een vergrendeling van de computer en een BSOD (Blue Screen of Death). Deze aanval beschadigt geen gegevens op de harde schijf, maar alle gegevens die niet voor de aanval waren opgeslagen, gaan verloren. Dit type aanval was kenmerkend voor oudere Windows-versies (Windows 95, oude NT-versies en Windows 3.11).
Teardrop-aanval: Hiermee voorkomt de firewall dat een aanvaller elkaar overlappende fragmenten van aangepaste lengte stuurt. Een fout in het TCP-protocol zorgde ervoor dat die pakketten niet goed werden verwerkt. Deze aanval is kenmerkend voor Windows 3.11, 95 en oude versies van Windows NT en Linux.
Nestea-aanval: Beschermt uw computer tegen een specifieke aanval op Linux-netwerken, die lijkt op een teardrop-aanval. Dit type aanval maakt misbruik van een fout in de defragmentatie van netwerkpakketten bij oudere versies van Linux.
Ice Ping-aanval: Optie die de firewall laat detecteren of Windows fouten maakt bij de verwerking van ICMP-pakketten die in een groot aantal kleine fragmenten zijn opgedeeld. Meestal loopt de computer vast bij het combineren van de kleinere pakketjes.
Opentear-aanval: de firewall beschermt uw computer tegen een type aanval waarbij vanaf willekeurige vervalste IP-adressen allerlei poorten op de doelcomputer worden bestookt met gefragmenteerde UDP-pakketten, waardoor de besturingssystemen Windows 95, 98, NT 2000 vastlopen.
IGMPSYN-aanval: zorgt dat de firewall deze bekende denial-of-service-techniek het hoofd biedt.
Misvormde IP-opties: De firewall voorkomt dat een aanvaller een pakket stuurt met een groot veld IP-adresopties en zo een bufferoverschrijding veroorzaakt in de TCP/IP-stack. Dit maakt het mogelijk kwaadaardige code uit te voeren op de doelcomputer en leidt tot veel netwerkactiviteit en zeer traag netwerkverkeer.
Moyari13-aanval: Beschermt uw computer tegen een type ICMP-aanval waarbij de aanvaller een illegaal ICMP-tijdstempel verstuurt. Na ontvangst van dit pakket crasht de computer en reageert het netwerk niet meer. Dit wordt gebruikt tegen Windows 95/98.
FAWX-aanval: hiermee kan de firewall een type IGMP denial of service-aanval voorkomen waardoor besturingssystemen als Windows 95, 98 of NT vastlopen.
FAWX2-aanval: de firewall beschermt uw systeem tegen een type aanval waarbij willekeurige junkpakketten poort 139 bestoken, wat leidt tot een blauw scherm in Windows 95, 98 of 2000.
KOX-aanval: met deze optie kan de firewall een type IGMP denial of service-aanval detecteren waardoor besturingssystemen als Windows 95, 98 of NT vastlopen.
Aanvalsdetectieparameters
Hier kunt u de gevoeligheid van de firewall voor poortscans, enkelvoudige poortscans en Denial-of-Service-aanvallen verfijnen. Het gaat als volgt:
Hoe gevoeliger de firewall, hoe sneller er een waarschuwing verschijnt en het IP-adres van de aanvaller wordt uitgesloten voor de standaard uitsluitingsperiode (300 seconden), al neemt de kans op een 'vals alarm' ook toe.
Hoe minder gevoelig de Firewall, hoe langer het duurt voordat een aanvalswaarschuwing wordt gegeven, zodat de kans op een 'vals alarm' nagenoeg nihil is. Een te lage beveiliging kan echter de integriteit van de computer in gevaar brengen.
De standaardinstelling van de firewall biedt een evenwicht tussen een robuuste beveiliging en een gering aantal gevallen van vals alarm, waarbij het netwerkverkeer nauwelijks hinder ondervindt. Door de permanente filtering van het netwerkverkeer moet u rekening houden met een verbindingssnelheid die iets lager ligt. Mocht de snelheid sterk afwijken, dan adviseren wij u contact op te nemen met het supportteam van BullGuard.
Bij een poortscan wordt een aanvalswaarschuwing gegeven op basis van een score. Aan elke poort wordt een bepaald gewicht (belang) toegekend, dat bepalend is voor de gevoeligheid. Een poortscan wordt als een aanval beschouwd na het bereiken van een bepaalde score (een standaardwaarde of de door de gebruiker bepaalde waarde).
Voordeel van deze methode is dat de firewall aanpasbaar is en door u kan worden ingesteld om gevallen van vals alarm te voorkomen.
Alle poorten hebben standaard een bepaalde waarde bij aanvalsdetectie. Een open poort heeft het gewicht (belang) 0, omdat niemand beschuldigd kan worden van het illegaal scannen van een poort wanneer het juist de bedoeling is dat de poort beschikbaar is (sommige websites voeren ook een snelle poortscan uit op de computer van de gebruiker bij overdracht van gegevens bijvoorbeeld). Een gesloten poort (de firewall houdt gevoelige poorten gesloten of verborgen) heeft het gewicht (belang) 1 of hoger. Ongebruikte poorten worden meestal gesloten gehouden door de firewall.
Een aanvalswaarschuwing wordt gegeven op basis van een tijdslimiet en de totale score gedurende de aangegeven tijdslimiet.
Tijdslimiet: Als gedurende een vooraf bepaalde periode wordt voldaan aan de voorwaarden, verschijnt er een waarschuwing. Standaard is dat 600 ms, maar u kunt deze waarde aanpassen.
Score bepalen: Als een computer/server 6 gesloten poorten in minder dan 600 ms probeert te scannen, wordt dit beschouwd als een kwaadaardige actie die aanleiding geeft tot een poortscan-waarschuwing. Als een poortscan wordt uitgevoerd vanaf een computer/server, controleert de firewall of de poorten open of gesloten zijn en wordt het totale gewicht van de gescande poorten berekend. Als het totaal hoger is dan het standaardgewicht (6), wordt een poortscan-waarschuwing getoond.
Bij de configuratie van de aanvalsdetectieparameters kunt u de waarde van gevoelige poorten waar BullGuard meer aandacht aan moet besteden verhogen. Dit houdt in dat er sneller een waarschuwing wordt afgegeven als een aanval gericht is op een gevoelige poort en dat de aanvaller sneller wordt geblokkeerd.
Om de lijst met gevoelige poorten te bewerken, klikt u op de knop Configureren in het venster voor de bewerking van aanvalsparameters.
Om een nieuwe poort aan de lijst toe te voegen, klikt u op de knop +, waarna u het protocoltype selecteert, het poortnummer invult en het gewicht (belang) toekent.
Geavanceerde ARP-beschermingsinstellingen configureren
Met behulp van deze functie kan BullGuard aanvallen detecteren van gecomprimeerde computers of servers en het beveiligingsniveau van de computer verder verhogen.
Ongevraagde ARP-pakketten blokkeren: Dit is een beveiligingsfunctie die alle potentieel gevaarlijke ARP-pakketten blokkeert die niet eerder zijn opgevraagd door een applicatie op uw computer. Meestal worden ongevraagde ARP-pakketten verzonden door geïnfecteerde computers of door aanvallers die zich voordoen als servers of andere computers uit uw netwerk en die uw computer ertoe proberen aan te zetten om communicatiepoorten te openen.
Beschermen tegen gekaapte gateways: Beschermt de gebruiker tegen gevaarlijke gateway-servers.
Beschermen tegen IP-adresduplicatie: Als een nieuw IP-adres wordt ingesteld voor een computer in een netwerk, wordt deze informatie door de computer uitgezonden in het netwerk. BullGuard volgt dit verkeer, en als het IP-adres exact hetzelfde is als het IP-adres van uw computer, worden de informatiepakketten geblokkeerd. Sommige besturingssystemen lopen vast als zij deze verkeerspakketten proberen te lezen en BullGuard wil voorkomen dat deze informatie het besturingssysteem bereikt om daar gedecodeerd te worden.
Wijzigingen in applicaties detecteren
Met behulp van deze functie kan BullGuard in de gaten houden of een programma op de applicatielijst is gewijzigd en u vragen of u de applicatie wilt blijven toestaan of blokkeren. Deze optie is bijzonder nuttig als u wilt voorkomen dat gekaapte applicaties zonder uw toestemming verbinding maken met het internet. Dit werkt het beste in combinatie met de realtime scanner van het antivirusprogramma, omdat beveiligingslagen worden aangemaakt die de veiligheid van uw computer optimaliseren.
De firewall detecteert ook pogingen tot wijziging van een programma dat verbinding zoekt met het internet, en zal u vragen of u dit programma wilt blijven toestaan of niet. Let erop dat softwareupdates kunnen leiden tot wijziging van uitvoerbare bestanden (zoals de periodieke Windows-updates), en in dergelijke gevallen moet u de gewijzigde bestanden blijven toestaan.