Handleiding ZoneAlarm Security Alert Configuratie

INTERNET - SOFTWARE - CONSULTANCY - HARDWARE Zaagmolenpad 45a, 7008 AG, Doetinchem. - Tel. 0314 36 04 47 Fax 0314 36 37 07 - Mobiel 06 55 806 940 E-mail: [email protected]

Handleiding ZoneAlarm Security Alert Configuratie

Gewijzigd d.d.: 6 mei 2006 om 15:21 Henk Schuurm an Soft Solutions Ruijslaan 49 7003 BD Doetinchem Kantooradres: Zaagm olenpad 45a 7008 AG Doetinchem e-m ail: info@ softsolutions.nl © Copyright 2000 - 2006 Soft Solutions, alle rechten voorbehouden.

Wat is ZoneAlarm en wat doet het?

ZoneAlarm is een softwarem atige FireWall (vuurm uur). Het program m a is ontwikkeld door program m eurs van ZoneLabs, dat sinds enige tijd onderdeel is van Checkpoint. Checkpoint ontwerpt en bouwt hardwarem atige firewalls van top kwaliteit. (welke wij verkopen, installeren en configureren)

Doel van een firewall is: 1)

Inbrekers (Hackers), welke via het Internet toegang proberen te verkrijgen tot de PC, netwerk, of server tegen te houden.

2)

Program m a’s, welke geen toegang behoeven tot het Internet, tegen te houden.

Punt1

is duidelijk, verkeer vanaf het netwerk (intern of extern) dat geen toegang tot de PC, werkstation, of server nodig heeft wordt tegengehouden, geblokt.

Punt 2 heeft verdere uitleg nodig: Program m atuur zoals Outlook (Express), Internet Explorer, FireFox heeft toegang tot het Internet nodig om te kunnen werken; ZoneAlarm m oet dusdanig worden geconfigureerd, dat deze program m a’s toestem m ing krijgen om m et het Internet (netwerk) te com m uniceren, dus niet door ZoneAlarm worden tegengehouden. Steeds m eer program m a-m akers willen extra inkom sten genereren door m arketing gegevens te verkopen. Data over het program m agebruik wordt hiervoor zonder dat u dit weet, of dat er naar gevraagd wordt, naar de program m am aker verstuurd. Wij vinden dat deze gegevens alleen m et uw toestem m ing m ogen worden verzonden en wij adviseren deze program m a’s, m iddels ZoneAlarm , toegang tot het Internet te verbieden. Nog erger wordt het wanneer de PC besmet raakt m et een zogenaam de worm . Dit is een klein program m aatje dat, eenm aal geactiveerd, proberen m et bepaalde sites op het Internet te com m uniceren en m eer program m atuur op uw PC te installeren. Op deze m anier worden PC’s m isbruikt om bijvoorbeeld virussen en spam te versturen, andere PC’s op het Internet te zoeken, of verkeer te genereren naar porno sites. Uw PC wordt een Zom bie. Deze besm etting kan optreden door bezoek aan geprepareerde Internet sites, geprepareerde e-m ail, of bestanden.

De belangrijkste motor achter deze illegale acties is de hoeveelheid geld die erm ee verdiend kan worden, er gaan verhalen van een “goede” hacker die boven de $ 400,00 per uur kan verdienen, let wel: 24 uur per dag, 7 dagen in de week. De “econom ische” belangen zijn dus zeer groot (aan beide kanten).

Een goed geconfigureerde firewall kan voorkom en dat bovenstaande scenario’s werkelijkheid worden en kan erger kwaad voorkom en. Het veilig houden van program m a’s is een voortdurend gevecht, er worden steeds lekken gevonden in W indows en andere program m a’s waarm ee u contact zoekt m et het Internet. Al deze program m a’s worden dan ook voortdurend “geupdate”. Voor ZoneAlarm betekend dit dat u een programm a als FireFox na een update weer toegang m oet verlenen tot het Internet en dat ook ZoneAlarm regelm atig up to date gehouden m oet worden. Aan de hand van deze handleidingen kunt u dit zelf doen, wilt u dit niet, kunnen wij deze taak natuurlijk op ons nem en.

Hoe configureert u ZoneAlarm? W anneer een program m a toegang zoekt tot het Internet, controleert ZoneAlarm of dit is toegestaan. Is dit niet duidelijk, verschijnt een ZoneAlarm Security Alert. ZoneAlarm laat in dit venster een aantal gegevens zien. De eerste regel laat zien wat voor soort com m unicatie aanvraag bewerkt wordt; In dit geval New Program = nieuw program m a. Andere m ogelijkheden zijn: een gewijzigd program m a (Changed Program ), een herhaalde programm a aanvraag (Repeat Program ), of het blokkeren van een program m a of IP adres (Blocked). Op de volgende regel staat welk program m a toegang vraagt en welke soort toegang. (Nod32 Kernel Service is trying to access the Internet: de Nod32 kern probeert contact te krijgen m et het Internet). Indien het program m a bekend is bij ZoneAlarm , een identificatie en daaronder de naam van het program m a. (Application) In dit geval Nod32krn.exe. Het IP adres waar het program m a naar toe wil staat hier weer onder Destination IP: 216.240.206.44 Onder M ore Inform ation Available: staat m eer inform atie over de com m unicatie aanvraag, in dit geval dat het de eerste keer is dat het program m a het Internet probeert te benaderen. Rem em ber this setting: Wanneer u dit aanvinkt wordt de keuze die u m aakt (toestaan of verbieden) onthouden

U klikt op Allow wanneer u weet om welk program m a het gaat en het program m a m ag m et het Internet com m uniceren. Heeft het programm a niets op Internet te zoeken (zoals Word, Excel, Nero, etc) klikt u op Deny (verbieden). W anneer u niet zeker weet of een program m a mag com m uniceren adviseren wij Rem em ber this setting niet aan te vinken en op Deny te klikken. Vraag eventueel advies, U kunt de Security alert naar ons e-m ailen door deze m .b.v. de toetsen alt - prt sc op te slaan in het klem bord; W anneer u nu de tekstverwerker opstart kunt u het venster m et de toetsen Control - V in een leeg blad zetten. Sla het docum ent op en m ail het ons.

Som m ige program m a’s zoals FireFox zoeken eerst toegang tot de trusted zone

Vink in dit geval (FireFox) Rem em ber this setting aan en klik op Allow

Hierna wordt pas geprobeerd contact te leggen m et het Internet:

Hier kom t ook het Repeat Program naar voren.

Vink weer Rem em ber this setting aan en klik op Allow

FireFox zal nu zonder problemen met het Internet comm uniceren, totdat er een update van FireFox wordt geïnstalleerd, dan begint dit verhaal weer opnieuw. Dit kan ook voor andere program m a’s gelden, die m et het Internet com m uniceren.

Alleen de programm a’s waarm ee u het Internet op wilt geeft u op deze m anier toestem m ing. Dit zijn o.a.: FireFox, Outlook / Outlook Express, Nod32 of andere antivirus program m as, Anti Spyware zoals Spybot Search and Destroy, Ccleaner, Telebank program m a. Netwerk printer program m as U verbied (deny) toegang voor program m a’s welke niets op het Internet te zoeken hebben zoals o.a.: Microsoft Office, Nero, Power DVD en spelletjes program m a’s welke niet over het Internet gespeeld worden.

W anneer een program m a dat geen toestem m ing heeft, toch contact zoekt m et het Internet verschijnt het Security Alert venster m et de boodschap dat het program m a geblokt wordt, hierop hoef je alleen O K te klikken. Zie de volgende pagina.

Sym antec Netdetect probeert contact te maken m et IP adres 192.168.1.1 wat in dit geval de router in het netwerk is. Som s is het aantal boodschappen zo hinderlijk, dat u beter in de configuratie van het betreffende program m a de com m unicatie met het Internet uitzet. Indien dit niet m ogelijk is kunt u Don’t show this dialog again aan vinken en op OK klikken.

W ij adviseren het tonen van Security alerts hier niet uit te zetten. U kunt beter uit (laten) zoeken waarom zoveel comm unicatie word geblokt. Wanneer u dit aan vinkt ziet u niet m eer wanneer een program m a het Internet op wil.

Het wel of niet toestaan van com m unicatie kunt u beter in ZoneAlarm zelf configureren, zie hiervoor de handleiding ZoneAlarm program m a configuratie.

W anneer vanuit het netwerk of het Internet com m unicatie wordt gezocht m et de PC waarop ZoneAlarm geactiveerd is verschijnt een Security Alert m et een rode bovenbalk en de boodschap Protected.

In dit geval is het een aanvraag vanaf een PC vanuit het interne netwerk m et IP num m er 10.0.0.13. W anneer zo’n boodschap verschijnt, en onder norm ale om standigheden is er geen contact tussen de PC’s, kan het zijn dat de andere PC besmet is m et een worm , welke zich via het netwerk wil verspreiden. Schrijf het IP en het TCP Port num m er op en waarschuw de systeem beheerder.

Ook wanneer door een hacker vanaf het Internet een poortscan wordt gedaan laat ZoneAlarm dit m et bijgaande Security Alert zien.

In de m eeste modem - routers zit tegenwoordig een FireW all. Blokkeren van com m unicatie uit het Internet kom t daardoor niet vaak voor. Heeft u echter een kabelm odem zonder router, is het IP adres van uw PC een zogenaam d public IP adres. In dat geval kan een hacker vanuit het Internet uw PC bereiken. Het IP num m er dat in dat geval geblokt wordt, zal dan ook een public IP adres zijn. Om uw PC te bescherm en m oet u in zo’n geval behalve een anti-virus program m a ook een FireW all geactiveerd hebben.

TCP/IP: Public - Privat IP adressen. Privat IP adressen zijn IP adressen welke gereserveerd zijn voor gebruik in een local area network (LAN). Dit is het gedeelte van het netwerk dat niet direct m et het Internet is verbonden (dus tot aan de router). Er zijn 3 groepen van adressen; Groep A begint m et 10.xxx.xxx Groep B begint m et Groep C begint m et 192.168.xxx.xxx Alle IP adressen welke niet m et een van de bovenstaande getal series beginnen zijn Public IP adressen, welke gebruikt worden op het Internet. Deze adressen zijn voor het grootste gedeelte eigendom van bedrijven en m ogen niet zo m aar gebruikt worden.

Op de volgende pagina krijgt u nog een aantal Security Alerts te zien welke regelmatig voor kom en.

SVCHost.exe is een service welke noodzakelijk is voor Windows XP. Het program m a verzorgt o.a. com m unicatie voor diverse andere applicaties en m oet contact hebben m et het Internet. Com m unicatie m oet dus worden toegestaan. Zeker naar het IP adres 207.46.xxx.xxx. Deze IP reeks is van M icrosoft en com m unicatie hierm ee zou veilig m oeten zijn

Hackers die een worm willen verm om m en, m aken vaak gebruik van de naam SVCHost. U zult dus gedurende een periode na de installatie van ZoneAlarm com m unicatie moeten toestaan. (let daarbij op het IP adres) Kom en er na langere tijd weer aanvragen voor SVCHost, kunt u aannem en dat deze niet correct zijn en is ons advies om deze te verbieden. Zeker wanneer deze naar een IP adres gaan dat niet van Microsoft is. Na een update van Windows kan het wel voorkom en dat enkele keren een aanvraag wordt gedaan, wij proberen dit op onze website te m elden.

Hiernaast ziet u een SVCHost welke gewijzigd is. In dit geval is de com m unicatie aanvraag naar IP adres 192.168.1.1. Dit is in het betreffende netwerk de router. Hier vinkt u Rem em ber this setting aan en klikt op Allow

Tijdens een autom atische update van Zonealarm zal het program m a proberen Zonealarm Pro te laten installeren, dat m oet u niet doen, de huidige versie is gratis, de pro versie niet en is dan m aar 30 dagen geldig. Wanneer er ge-update wordt doe dat dan naar de norm ale ZoneAlarm .

Zet a.u.b. ZoneAlarm niet uit, iedereen krijgt een keer te maken m et een virus of spy-ware, waarbij de FireW all grote schade kan voorkom en. U krijgt op deze wijze ook m eer inzicht in, welke- en hoeveel com m unicatie er plaats vind tussen uw PC en het netwerk c.q. Internet. De handleiding ZoneAlarm Programm a Configuratie laat zien hoe u binnen ZoneAlarm de configuratie wijzigt.

Succes. Mvg Henk Schuurm an