Hallo Marcel,
Bij een firewall op de pc is b.v,
Inbound alles wat van het internet af komt en naar de pc gaat.
Outbound alles wat van de pc af komt en naar het internet gaat.
Een firewall regel kan dan zijn,
Inbound als van het internet het ip-adres 1.2.3.4 naar de pc wil dan block dat ip-adres.
Outbound als van de pc om een verbinding met ip-adres 1.2.3.4 op het internet wordt gevraagd dan block deze verbinding.
Dan zorg de inbound regel ervoor dat de pc niet meer door ip-aders 1.2.3.4 kan worden benaderd.
En de outbound regel b.v dat er ook niet meer naar het ip-aders 1.2.3.4 kan worden gesurf met een internet-browser.
Een outbound regel als b.v, als van de pc om een verbinding met ip-adres 1.2.3.4 wordt gevraagd en de poort nummer is 80 dan sta deze toe.
Dan wordt alles geblockt behalve als poort 80 wordt gebruikt, p.s poort 80 is de standaard http poort die een internet browser gebruikt om te kunnen surfen.
Nou is er b.v iets van een malware op de pc terecht gekomen.
Daarbij hebben malware ook nog geregeld de neiging om zichzelf over het netwerk te gaan broadcasten, zo van hallo jongens ik zit op deze pc en ben er klaar voor en wacht op jullie orders.
Zo kan het wel eens zijn dat bepaalde ip-adressen steeds weer bij een pc terug komen die weer op zoek zijn naar die malware om dan er eventueel een verbinding mee te kunnen maken.
Het tegenhouden van het broadcasten naar bepaalde ip-reeksen zou dan eventueel een belangrijke outbound regel kunnen zijn.
Een simpel opzet van een bot-netwerk als voorbeeld.
Een trojan-bot installeerd zich op de pc en broadcast het ip-adres van de pc naar een reeks ip-adressen in China waar de pc die het ontvangd ergens tussen zit, (outbound, broadcast naar bepaalde ip-reeksen).
Maanden lang doet de trojan-bot niks meer op de pc en de inmiddels heeft de zelfde soort trojan-bot zich ook op 100.000 andere pc's geinstalleerd.
Van een pc in China wordt de lijst met die 100.000 ip-adressen naar een pc in een ander land over gebracht waarvan een opdracht naar die 100.000 pc's met de trojan-bot gestuurd kan worden, (inbound, door onbekend ip-adres kan het blocken falen).
(Doel van dit bot-netwerk is het plat gooien van een internet service b.v een internet bedrijf als een provider of zoiets als Yahoo enz.
100.000 pc's hebben laten we zeggen een internet abbo met gemiddeld 1 MB/s upload snelheid is samen bij elkaar 100.000 MB/s upload snelheid.
Als die upload snelheid hoger is dan de download snelheid van die internet service dan raakt de beveiliging zoals een firewall overbelast en gaat de internet service plat.)
De opdracht die een trojan-bot op de pc kan krijgen is meschien zoiets als stuur op 17.00 uur enkele seconden data naar die internet service, (outbound, onbekende applicatie heeft geen toestemming voor het internet).
Zo kan dus de outboud ruleset ervoor zorgen dat bepaalde en ook nog onbekende malware zinloos en nutteloos gaat worden voor een aanvaller.
Op de vraag of de outbound rules eigenlijk wel nodig zijn voor het doel meer veiligheid ?
Is het antwoord: JA, ze kunnen eigenlijk wel eens nog belangrijker zijn dan de inbound rules.
De Windows firewall,
Heeft het als het goed is nog steeds als standaard instelling dat alle outbound conecties gewoon wordt toegestaan tenzij er een passende outbound regel aanwezig is die de conectie blockt.
Een inbound regel kan er dan wel voor zorgen dat een ip-adres van een boef uit China niet op de server kan komen om de bank gegevens van je te stelen.
Maar door dat de outbound regel of meschien beter gezegt door geen outbound regel alle outbound conecties wordt toegestaan kan er van af de server wel al je bank gegevens naar dat ip-adres van die boef in China toe gestuurd worden.
In de Windows firewall bij advanced settings zie je een aantal profiles die met de firewall opties kunnen worden aangepast en zo kun je bij een profile de outbound conecties van default toestaan op block zetten.
En dan de firewall regels gaan maken voor iedere aplicatie en programma die onder de voorwaarden van de firewall regel een conectie met het netwerk is toegestaan.(whitelist)
De instellingen en de whitelist zijn dan wel voor dat ene netwerk profile waar je ze bij maakt van toepassing.
