Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties
Bron: PC World

Zonder er rumoer aan te geven heeft Microsoft een oplossing uitgebracht voor een ernstige configuratiefout in de firewall van Service Pack 2, zo lezen we bij PC World. Het probleem zat hem in de bestands- en printerdeling. Veel mensen die internetten via dial-up hebben onwetend hun printer en bestanden gedeeld met de hele wereld. De firewall blokkeerde namelijk geen verkeer van het 'local network', maar de definitie van lokaal was volgens Microsoft in dit geval verkeerd gekozen. Deze was namelijk wat 'ruimer' dan de bedoeling.

3px; height 2px;" title="Windows XP SP2 Security-shield" alt="Windows XP SP2 Security-shield" align=right hspace=10 vspace=8>Bij veel gebruikers stond namelijk als standaardinstelling het gehele internet ingesteld als 'local network'. Toch kunnen zelfs met de aanpassing van de standaardinstellingen nog steeds mensen ongewenst bestanden delen over internet. Microsoft adviseert gebruikers daarom ook gebruik te maken van bijvoorbeeld een router met ingebouwde firewall. Dat Microsoft bij de reparatie van deze fout voorbij gaat aan het schema van maandelijkse 'security updates' ligt volgens Microsoft aan het feit dat een configuratiefout geen kwetsbaarheid, in de zin van een softwarefout, is.

Moderatie-faq Wijzig weergave

Reacties (106)

Microsoft adviseert gebruikers daarom ook gebruik te maken van bijvoorbeeld een router met ingebouwde firewall.
Wat is dan nog het nut van dat %&#%^ kloteding wat al m'n traffic blokt zonder te vragen of ik het misschien door wil laten, als ik daarnaast ook nog eens een hardwarematige moet hebben :? Wat mij betreft kunnen ze dat kreng er nu wel uitslopen, het heeft alleen maar schijnveiligheid gegeven, en een lek OS waarvan iedereen denkt dat het veilig is, is erger dan een lek OS waarvan iedereen weet dat het lek is.
Microsoft adviseert ook al jaren om MS file en printer sharing op IP uit te zetten! Da's ook wel een aardige oplossing.
Ja, geweldig in IP only netwerken.
Dat is natuurlijk een oplossing van het kaliber "don't click on suspected hyperlinks"
Ja en als je wel wilt sharen? of over het netwerk wil printen?
Als je wel wilt sharen zal je PC doorgaans niet direct aan het internet hangen, maar in een LAN dat via een router of proxy aan het internet hangt.
Toch snap ik het niet omdat je heel erg veel MS software niet geinstalleerd krijgt als je file en printer sharing juist uit zet. Commerce Server bijvoorbeeld. Wat ronduit belachelijk is... in mijn Getronics tijd hebben we hier een hele tijd naar lopen zoeken. We kregen het niet geinstalleerd. Onze systeembeheerders in de US schokken zich werkelijk gek.
Als je commerce server kan installeren, kan je hopelijk toch ook wel je firewall goed instellen, denk ik dan.
probleem was niet de firewall, draaide in DMZ, maar de servers zelf. tja..
Tuurlijk. En de beste oplossing om geen spyware op je PC te krijgen via Internet Explorer is om met die PC niet online te komen...

Microsoft hun 'oplossingen' worden de laatste tijd wel echt hilarisch...
Nou Jan, ik snap je kritiek op Microsoft niet helemaal. Ik ben nog nooit een 100% veilige firewall tegengekomen. Zelfs Cisco die met zijn PIX firewalls erg hoog staat aangeschreven erkent maandelijks fouten in hun configuratie. In de Linux Firewall worden ook regelmatig fouten gevonden. ZoneAlarm bevat ook fouten maar hier hoor je niets over.

Mensen die een goede beveiliging willen op netwerk niveau dienen over zowel een hardware matige als een software matige firewall te bezitten.
Bij veel gebruikers stond namelijk als standaardinstelling het gehele internet ingesteld als 'local network'.

Ik begrijp de kritiek op MS wel, maar niet als ie gaat om de Firewall als zou het geen 100% veilige oplossing zijn. Wel als het gaat om het aanbieden van schijnveiligheid. De quote hierboven spreekt toch boekdelen lijkt mij?
De XP firewall vraagt wel degelijk of je software door wil laten, maar als hij niet bevalt kan je hem gewoon uitzetten hoor...
Dit is dus één van de redenen dat mijn voorkeur naar een hardware matige firewall ga. Het kost is 20 Euro extra bij een ADSL modem, maar dan heb je ook wat. Je bent stukken veiliger op het net dan bij een software oplossing.
Ben dit niet met je eens.

Een hardware matige firewall, blijft een 'dom ding'. Als jij aan het surfen bent en een verkeerd bestand binnenhaald, die je poorten openzet/systeeminstellingen veranderd, laat je hardware router het vrolijk door en zit je nog met problemen ;(.

De betere softwarematige firewall geeft je nog de vraag "dit programma wil toegang met het internet, wilt u die toelaten [Ja] [Nee]. De hardwarematige firewall doet dit niet, en laat het simpelweg toe.

Als jij dus denkt dat je veilig zit met je router alleen, moet ik je wel waarschuwen. Het veiligste blijft toch echt een combinatie van beide :Y)
Je moet ook geen Universal Plug 'n Pray/Prey gebruiken. Dan kan je computer die poorten niet eens openzetten.

De softwarematige firewall kan echter met admin recht zeer eenvoudig uitgeschakeld worden door malware.
Je moet ook geen Universal Plug 'n Pray/Prey gebruiken. Dan kan je computer die poorten niet eens openzetten.
Dit kan je helaas niet doen als je graag via MSN bestanden verstuurd, of audio/video conversaties houd. MSN gebruik Universal Plug&Play om die poorten te openen..

Tweakers zullen dit misschien niet snel doen, maar de webcams lijken bij computerzaken als warme broodjes over de toonbank te gaan.

En toch lost een router met UPnP al veel op, deze is standaard van buiten afgeschermd, en mocht malware deze router willen aanpassen zal er eerst een interne PC geinfecteerd moeten worden met malware.

Dus m.a.w., gebruik intern nog steeds een goede firewall om services te blocken intern, en dan moet dit geen probleem meer zijn.
Een standaard huis-tuin-en-keuken router laat alle verbindingen naar buiten gewoon toe, ongeacht of je nu wel of geen UPnP gebruikt. Door de manier hoe NA(P)T in elkaar zit is porten mappen over het algemeen alleen nodig als je een server draait (waarbij een externe client naar jou toe verbindt).

Overigens is het met sommige routers ook mogelijk om UPnP te draaien zonder dat een computer instellingen kan wijzigen.

Edit: zonder UPnP werkt het hier ook YaPP, maar dan stukken langzamer. UPnP zonder configmogelijkheden gaat wel snel.
Maar jij hebt het al niet meer over de firewall die nu in XP SP2 zit.
Dat is ook een firewall enkel voor binnen komende pakketen.
Dus het is zeker te vergelijken. Dat dome ding maar het voordeel is juist dat als je iets binnen krijgt dat niet je poorten kan open zetten omdat het hardwarematig is dicht gezet!
Bij software oplossingen kan een prog makkelijk poorten manipuleren.

Het beste is idd soft en hardware samen maar dan niet de vuurmuur van MS want die voegt niets toe aan een hardware versie en controleerd geen uitgaande programma's
Dat controleert ie wel degelijk, ik krijg regelmatig schermen met de mededeling dat de firewall een programma geblokkeerd heeft omdat het met Internet wou verbinden.

Overigens voegt die firewall wel degelijk wat toe aan een hardware-versie, want hij kan per programma Internet-toegang blokkeren, naast per poort.
@Starwolf
Even over routers en ingebouwde firewalls. Deze zijn in de meeste gevallen middels een webinterface te benaderen/configureren op of een appart IP adres eventueel op een apparte poort. Hierop kun je inloggen middels een user/wachtwoord.
Daarnaast is meestal ook nog in te stellen of de firewall wel/niet vanaf internet te beaderen moet zijn (bij mij dus effe niet).

Verder kan bij elke firewall geconfigureerd worden welke port nummers naar welke PC worden doorgelaten (inbound). Meestal is dit ook configureerbaar van de PC naar internet (outbound). Dit laatste is niet voor alle routers van toepassing wat leid dat dan alle verkeer word toegelaten.

Misschien handig om toch is naar een hardwarematige router met firewall te kijken. Bij MS wordt er bij de security patches verwezen naar een onderdeel veiligheid en hier word ook een firewall geadviseerd.
De instellingen van een beetje (hardware) firewall zijn nooit te benaderen via TCP/IP maar alleen via een aparte connectie (fysiek) op de firewall zelf.
Nou, dat ben ik niet met je eens! De meeste firewalls die ik heb gezien zijn vooraf te configureren met een "service-port". En dat loopt altijd opver TCP?ip. Zo kun je in het warehouse je router klaarzetten en in geval van nood remote op je router inloggen om hem te configureren voor deployment.
Ehhh elke cisco is gewoon vanaf buiten te beheren hoor, alleen wel specifiek openstaand voor bepaalde subnetten of ip's als je een beetje slim bezig bent...
Moet er nou toch niet aan denken dat ik elke keer naar Amsterdam mag als er weer es een wijziging in de pix gedaan moet worden, kan wel in de auto blijven zitten dan...
De betere softwarematige firewall geeft je nog de vraag "dit programma wil toegang met het internet, wilt u die toelaten [Ja] [Nee].
Nee dat vindt de consument leuk. Ik ken menig mensen die zo'n virusscanner er dan naar enkele dagen al af heeft gegooit omdat ze gek worden van telkens maar die 'popups' met een melding waar ze toch geen verstand van hebben en ze klikken zomaar wat. Dat werkt net zo slecht. De oplossing is gewoon dat alle landen een wet aannemen dat alle vormen van spam, virussen en adware verboden is, en dat de makers van zulk soort dingen gewoon vervolgd worden en terechtgesteld, het zou gewoon niet moeten mogen!
Laat een dom stuk software mij alsjeblieft niet vertellen welke programma's die ik potdomme zelf help opgestart toegang tot het internet zoek. Strontirritant. Als ik wil dat die GEEN toegang tot het internet hebben gooi ik die poort wel dicht op de router.
Als ik ergens een hekel aan heb zijn het die stomme Personal Firewalls die je helemaal platgooien met het mij vertellen wat ik aan het doen ben :r
Waarom ze MS het niet op een Deny All policy? Dan kan je als je er verstand van hebt de boel netjes configureren, en anders ben je veilig. Dat de eerste de beste huisman dan niet meer Bestands & Printerdeling kan activeren is dan maar jammer. Moeten ze daar maar iemand met verstand voor nemen, of zelf iets leren.

Mensen willen allemaal een computer, maar weten niet hoe hem te gebruiken. Net zoiets als een F16 kopen, en hem dan zonder lessen willen vliegen.
Omdat dan een hele boel dingen die n00bs wel willen gebruiken het niet doen. Kazaa, printerdeling, etc.

Met jouw gedachtengang kan je het beste een computer maken die helemaal niet opstart. Ben je echt overal vanaf...
Maar met een lichte afgeleide van bijvoorbeeld ISA 2004 is het ook voor newbies wel te doen hoor. Ze hoevel alleen maar een grafische interface te maken (of te lenen van ISA) en daar een simpel selectieveld aan te hangen voor poorten die open moeten.

Zet bij default alle poorten dicht, en laat de gebruiker aanegven welke interface naar buiten gaat en welke poorten open moeten. Kerio Winroute Firewall heeft hetzelfde idee: Een default policy die alles dropt, behalve de poorten die een gebruiker opgeeft.

Da's toch heel simpel en voor gebruikers het meest inzichtelijk denk ik.
Maak het dan _echt_ newbie proof en bouw iets in zoals: Windows firewall heeft gedetecteerd dat u Kazaa gebruikt. Kazaa maakt gebruikt van poort 1214 voor dataverkeer. Wilt u voor deze sessie poort 1214 open zetten (j/n)
Doet ie al ongeveer, ze moeten alleen het pas open gaan zetten voor Internet zodra je een pakket die richting uit probeert te sturen. En SMB moet natuurlijk NOOIT standaard over internet geroute worden.
Je hoort af en toe wel eens wat over een computerrijbewijs.
Dikke prut natuurlijk en daarom heb ik wat nieuws bedacht voor de newbies }>
Ik ben er zeer voor dat alle programma's hun eigen veiligheidscursus krijgen en dat newbies eerst de cursus volgen, daarna een test maken om te kijken of ze het weten en dat ze daarna pas met het programma mogen werken.
Bijv: newbie koopt pc en wil op internet. Hij start IE op en moet eerst een cursus over veilig internetten volgen. Daarna krijgt hij een waarschuwing dat hij geen virusscan heeft en ook geen firewall(standaart zitten alle poorten dicht)Hij moet die eerst installeren, bijbehorende cursus en test doen en daarna mag hij gebruik maken van internet.
Dit noem ik pas een computerrijbewijs :)
Uiteraard maken alle tweakers die test met twee vingers in de neus en met de ogen dicht.
Dat Microsoft bij de reparatie van deze fout voorbij gaat aan het schema van maandelijkse 'security updates' ligt volgens Microsoft aan het feit dat een configuratiefout geen kwetsbaarheid, in de zin van een softwarefout, is.
nee geen software fout nee... maar wel veel gevaarlijker dan een exploid, want zo gedeelde mappen openen is wel heel makkelijk.. zeer kwalijke zaak
Vergis ik me nu of wordt er al sinds de invoering van die standaard release datum in veel gevallen afgeweken van die standaard patch dag?

Ik begrijp niet waarom MS nog vast houdt aan de zogenaamde vaste release data. Als ze er vaak van af wijken heeft die datum wat betreft duidelijkheid geen zin meer. Daarbij hebben de meeste klanten geen behoefte aan een vast tijdstip maar betere veiligheid. Die datum blijven volgen om veilig te blijven heeft vanaf het begin al geen zin meer, er wordt nmm niet echt op gelet.
En de echte oorzaak van dit alles ? Het simpele feit dat als je in Windows een LAN adapter installeerd, Windows er standaard meteen Windows Client en Bestands/Printerdeling bij zet. Als ze dat nu eens even heel simpel aanpassen, dat bij een netwerkkaart in principe niks meer geplaatst wordt dan de river en een TCP/IP stack, dan zijn we van alle problemen af. Wil je iets delen dan moet je het ZELF installeren, en dus uitzoeken hoe e.e.a. werkt. Hoeveel mensen zijn er niet met een USB ADSL modem dat per default je hele PC aan het internet aanbiedt ? Hoeveel mensen met een PC'tje thuis zijn er nou echt die bestandsdeling nodig hebben ?
Veel mensen hebben onwetend waarschijnlijk hun printer en bestanden gedeeld met de hele wereld.
Mjah...dat klinkt allemaal vele malen erger dan het is: veel providers blokkeren standaard de TCP poorten die met file- en printersharing gepaard gaan. Hooguit slordig van MS, maar ik denk niet dat veel mensen hier last van gehad hebben.
w00t ff je pr0n plaatjes uitprinten bij iemand in de USA }>
ergens bij een bedrijf is toch veel leuker :P
Helaas, windows xp sp2 machines die dus direct aan het internet hangen... Dat kom je alleen bij thuisgebruikers tegen en bij kleine niet ICT professionele zaakjes.
Bang dat je nog wel in hetzelfde subnet zult moeten zitten om NetBIOS broadcasts door te kunnen geven. ;)
Maar goed, ergens in Nederland zal vast wel een lief gezin zijn.
Uhh, dus niet he.

die Netbios broadcast wordt alleen gebruikt voor het bekend maken van computers binnen een subnets. Voor buiten de subnets heb je een wins server nodig.

Als jij netjes een ip van een SMB computer buiten je netwerk intyped en daar shares opgraagd dan gaat dat goed.
True, true. Maar dan moet je wel een IP weten, en kun je dus niet leuk door "My Network Places" browsen.
hmm poortscanner doet wonderen...nmap trouwens helemaal ;)
of je collectie mp3z op een pctje van brein gooien...
Ja want daar hebben ze vast allemaal dial-up modems?? en daarmee sporen ze het hele internet af?? |:(
Je kan ook het hele bestandsdelen eruit smijten en met SSH/SFTP gaan werken, filezilla erbij en ben je gelijk X-platform voor het meeste werk. Maar even een remote bestand bijwerken kan dan helaas niet meer :/
Maar even een remote bestand bijwerken kan dan helaas niet meer :/
Tuurlijk kan dat wel:

1. Ik heb thuis een bak staan met al mijn bestanden. Deze is van buiten alleen toegankelijk via SSH/SFTP.

2. Op mijn universiteitaccount heb ik een public key van thuis neergezet, zodat ik van de uni thuis kan inloggen (SSH/SFTP) zonder wachtwoord

3. De computer op de uni ondersteunen sftp:// als protocol, zodat je met je bestands- en internetbrowser (Konqueror) gewoon bestanden via sftp kunt benaderen alsof ze lokaal staan opgeslagen.

4. Er is een kernel module in ontwikkeling waarmee je secure remote filesystems (via SSH/SFTP) kunt mounten zodat de abstractielaag z'n werk kan doen zodat het *echt* lijkt alsof het een lokale directory is (vergelijk het met NFS mounten)

Zo kan ik dus remote op mijn filesystem thuis werken, terwijl het lijkt alsof alles lokaal staat. En dat allemaal over een beveiligde verbinding.
shfs werkt best wel goed al, ook al is 't pas versie 0.35.
gebruik ik ook al een tijdje zo.
Dat is nou echte veiligheid, kan MS een puntje aan zuigen met zijn fart-wall.

Iedereen Linux, zijn we van het gezeik af.
Ik blijf XP2 firewall toch goed vinden. Vooral het handmatig invoeren van IP-adressen en subnets is erg handig.

Maar ja, dan moet je dat natuurlijk wel doen...
Met iets ofwat échte firewall (zelfs gratisse beschikbaar!) kan je dit ook, en nog véél véél meer. Ik wil maar zeggen: XPSP2 Firewall is leuk voor mensen die niets van PC's afweten, en die nu toch een béétje beschermd zitten, ipv niets aan bescherming, maar het kan toch wel beter hoor. Ik zou persoonlijk niet meteen lyrisch worden van de windows firewall.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True