Elke website heeft bescherming nodig en net als je eigen computer kunnen ook online servers worden aangevallen. Je hebt daarom een manier nodig om hackers of andere bronnen van kwaadaardig verkeer buiten te houden. En dat is waar firewalls het speelveld betreden.
Maar wat is een firewall precies? In het kort is een firewall een barrière tussen jouw computer en de “buitenwereld”.
Heb je een server, dan kunnen mensen met slechte bedoelingen schade aanrichten op je server als je je website onbeschermd achterlaat. Daarom moet je er alles aan doen om je WordPress site te beveiligen. Het opzetten van een firewall zou daarbij een van je eerste stappen moeten zijn.
Er zijn natuurlijk veel verschillende soorten firewalls en je weet misschien niet waar je moet beginnen.
Laten we de verschillende soorten firewalls doornemen, wanneer je er een nodig hebt en hoe je er een op je server kunt zetten.
Wat is een firewall? Wat doet een firewall?
Wanneer je een website bezoekt, ben je in principe verbonden met een andere computer: de webserver. Maar omdat een server in principe ook “maar” een soort computer is, is het gevoelig voor dezelfde soort aanvallen als je eigen PC.
Het is dus niet veilig om direct te verbinden met een ander apparaat, zonder enige vorm van bescherming ertussen. Doe je dat wel, dan is het veel makkelijker om de andere partij te infecteren met malware, of een DDoS aanval te lanceren. Om dat te voorkomen, gebruik je een firewall.
De firewall is een tussenpersoon tussen jou en apparaten die met jou verbinding willen maken (of andersom). Of, in het geval van een webserver, tussen de webserver en de duizenden verbindingen die het maakt met anderen.
Hoe werkt een firewall precies?
Firewalls controleren op een apparaat het inkomend en uitgaand verkeer en scannen op tekenen van kwaadwillige activiteit. Als het iets verdachts ontdekt, zal de firewall het direct blokkeren.
Het is in feite een groot filtersysteem voor je computer of server.
Toen ze voor het eerst werden ontwikkeld, waren firewalls zeer eenvoudige pakketanalysatoren die inkomend verkeer toestonden of blokkeerden op basis van een set van vooraf-gedefinieerde regels. Ze waren toen vrij makkelijk te omzeilen.
Tegenwoordig zijn ze geëvolueerd tot complexe programmeerstukken die veel beter zijn in het buiten houden van pogingen tot inbreuk. Ze zijn essentiële software voor alle apparaten.
Wanneer heb je een firewall nodig?
Je vraagt je misschien af: wanneer is een firewall nodig? En heb ik er echt een nodig?
Een firewall is een vereiste voor alle machines die verbinding maken met het internet. Niet alleen je computer, maar je webserver, telefoon, IoT apparaten – alles dat het internet kan gebruiken.
Een onbeschermd apparaat is een makkelijk prooi voor indringers.
Dit kan hackers de mogelijkheid geven om je computer over te nemen, malware te installeren, te monitoren wanneer je gevoelige informatie zoals bankgegevens invoert of zelfs een kijkje te nemen door je webcam/camera en te luisteren door je microfoon.
In het geval van een webserver kunnen hackers je website beschadigen, malware installeren die je bezoekers infecteert, je WordPress gegevens veranderen, of de site volledig neerhalen.
Zonder een firewall zijn je website en persoonlijke apparaten zeer kwetsbaar voor DDoS aanvallen – een aanval die duizenden of miljoenen valse pakketten stuurt om je server te overbelasten en je website of internet uit te schakelen.
Niet overtuigd? Hier kan een firewall je tegen beschermen:
- Indringers: Firewalls voorkomen dat onbevoegde gebruikers op afstand toegang krijgen tot je computer of server.
- Malware: aanvallers die erin slagen te infiltreren kunnen malware sturen om je server te infecteren. Malware kan persoonlijke informatie stelen, zich verspreiden naar andere gebruikers of verder je computer beschadigen.
- Brute force-aanvallen: pogingen van hackers om honderden gebruikersnaam- en wachtwoordcombinaties te proberen om je inloggegevens (of die van je gebruikers) te ontdekken.
- DDoS aanvallen: Firewalls (met name webapplicatie firewalls) kunnen proberen de toestroom van nepverkeer te detecteren tijdens een DDoS aanval.
Soorten firewalls
Er zijn veel verschillende soorten firewalls, elk ontworpen voor een andere situatie. Sommige zijn beter voor individuele computers, anderen zijn gemaakt voor netwerk-brede filtering.
Elke firewall in deze lijst werkt anders en is gespecialiseerd in het blokkeren van bepaalde soorten verkeer. Als je je afvraagt naar welke je moet zoeken – we zullen alle grote soorten firewalls bespreken.
Hier een korte samenvatting: tenzij je je eigen serverstack beheert (het leveren van een website vanuit je eigen internet), zijn persoonlijke firewalls, software firewalls en webapplicatie firewalls de soorten firewalls waar je eens naar zou kunnen kijken.
Dit zijn de drie belangrijkste firewalls, maar lees gerust ook informatie over de andere firewalls als je beter wilt begrijpen hoe een firewall werkt en hoe ze zich door de jaren heen hebben ontwikkeld.
Persoonlijke firewalls
Elke firewall heeft zijn eigen werking, afhankelijk van hoe en of ze worden gebruikt door individuele computers, hele netwerken (zoals binnen een kantoor) of webservers. Een persoonlijke firewall is bedoeld voor gebruik op slechts één computer. Dit is de firewall die vooraf geïnstalleerd wordt op je Windows en Mac computers of met antivirussoftware.
Hoewel het op dezelfde manier werkt als een serverfirewall — het toestaan of afwijzen van verbindingen van andere apparaten, applicaties en IP’s gebaseerd op een set van vooraf-gedefinieerde regels — werkt het in de praktijk net iets anders.
Persoonlijke firewalls kunnen de poorten die jij gebruikt om verbinding te maken met websites en online applicaties, beschermen zodat aanvallers niet kunnen zien dat ze open zijn. Ze kunnen ook bescherming bieden tegen aanvallen die door het netwerk glippen, voorkomen dat mensen toegang krijgen tot je computer en al het inkomende en uitgaande verkeer analyseren.
Ze fungeren ook als applicatie firewalls – het monitoren van de activiteit van apps op je apparaat en het blokkeren van verbindingen met onveilige of onbekende software.
Tegenwoordig is het gebruiken van een persoonlijke firewall vrij eenvoudig. Als je een recente versie van Windows gebruikt, zou er standaard een firewall ingebouwd moeten zijn.
Mac computers hebben er ook een, maar die moet je zelf opzetten. Doe dit door te navigeren naar de System Preferences, klik op Security & Privacy, en klik dan op Firewall:
Antivirussoftware komt ook vaak met een eigen ingebouwde firewall. Een voorbeeld hiervan is Avast antivirus: hun firewall kan gebruikt worden met Windows en dient als een tweede laag van bescherming.
Betaalde persoonlijke firewalls van derde partijen bestaan ook, maar deze kunnen problemen opleveren met je standaardopstelling.
Hardware vs. software firewalls
Firewalls zijn er in twee verschillende vormen: hardware en software firewalls. Software firewalls zijn downloadbare programma’s voor je computer die alles monitoren vanuit een centraal bedieningspaneel. Hardware firewalls bieden dezelfde functionaliteit, maar zijn ergens fysiek geïnstalleerd.
Je weet het misschien niet, maar je hebt thuis waarschijnlijk al een hardware firewall: je router, het apparaat dat je in staat stelt om verbinding te maken met het internet. Hoewel het niet precies hetzelfde is als een ‘dedicated’ hardware firewall, een apparaat dat zich 100% toewijdt op het beschermen van je netwerk, biedt het vergelijkbare functies van monitoring en het toestaan of blokkeren van verbindingen.
Zowel software als hardware firewalls functioneren als tussenpersoon tussen je computer en de buitenwereld en analyseren de verbindingen die proberen door te glippen zorgvuldig. Je kunt kan ze gerust allebei op je netwerk laten draaien.
Er zijn echter een paar nadelen aan hardware firewalls. Ze zijn moeilijk op te zetten en vereisen permanent onderhoud, dus ze zijn over het algemeen niet geschikt voor individuele computers of zeer kleine bedrijven zonder een IT afdeling. Ze kunnen prestatieproblemen veroorzaken, vooral als ze zijn gekoppeld aan een software firewall. Bovendien zijn ze niet geschikt voor het blokkeren van applicaties binnen een apparaat. Ook is het niet mogelijk om beperkingen op te leggen aan specifieke gebruikers.
Er zijn echter ook voordelen. Met een hardware firewall kan je redelijk eenvoudig een compleet netwerk beschermen, terwijl dit voor software firewalls veel moeilijker is. Ook is het zo dat een aanvaller, wanneer deze eenmaal is binnengedrongen, de software kan uitschakelen, terwijl dit niet mogelijk is met een fysiek apparaat.
Software firewalls zijn, zoals de naam al aangeeft, beter in het werken met programma’s op een computer. Het blokkeren van applicaties, het beheren van gebruikers, het genereren van logs, en het monitoren van gebruikers op een netwerk zijn hun specialiteit. Wil je ze netwerk-breed configureren, dan is dit echter lastiger. Maar heb je ze eenmaal op meerdere apparaten geïnstalleerd, geniet je wel van betere controle.
Pakketfilter firewalls
De eenvoudigste firewall en een van de eerste die ooit is ontwikkeld, is de pakketfilter firewall. Een pakket bestaat uit de gegevens die worden uitgewisseld tussen de computer en een server. Als je op een link klikt, een bestand uploadt of een e-mail stuurt, stuur je een pakket naar de server. En als je een webpagina laadt, stuurt de server pakketten naar je computer.
Een pakketfilter firewall analyseert deze pakketten en blokkeert ze op basis van een set vooraf-gedefinieerde regels. Je kunt bijvoorbeeld pakketten blokkeren die afkomstig zijn van een bepaalde server of IP-adres, of die een bepaalde bestemming proberen te bereiken op je server.
Het nadeel: dit soort firewalls zijn eenvoudig en gemakkelijk te misleiden. Er is geen manier om geavanceerde regels toe te passen. Als je het verkeer door een bepaalde poort laat stromen, zal de pakketfilter firewall alles doorlaten, zelfs het verkeer dat duidelijk niet legitiem is.
Het enige voordeel hiervan is dat ze zo eenvoudig zijn dat ze bijna geen invloed hebben op de prestaties. Ze inspecteren geen verkeer, slaan geen logs op en voeren geen geavanceerde functies uit. Tegenwoordig moeten pakketfilter firewalls worden vermeden, of in ieder geval samen met iets geavanceerds worden gebruikt – vooral omdat er veel betere oplossingen zijn.
Stateful Firewall
Na de “stateless”, met de eenvoudige pakketfilters, kwam de “stateful” firewall technologie. Dit was revolutionair omdat, in plaats van pakketten te analyseren zodra ze worden doorgestuurd (om vervolgens te blokkeren op basis van eenvoudige parameters), kunnen stateful firewalls omgaan met dynamische informatie en met het monitoren van pakketten gedurende hun reis door het netwerk.
Een eenvoudige pakketfilter firewall kan alleen blokkeren op basis van statische informatie zoals IP adres of poort. Stateful firewalls zijn beter in het opsporen en blokkeren van fout verkeer, omdat ze patronen en andere geavanceerde concepten herkennen.
Vergeleken met stateless firewalls zijn de nadelen: ze zijn intensiever doordat ze pakketgegevens opslaan in het geheugen en deze vervolgens rigoureus analyseren. Daarnaast kost het ook resources om logs bij te houden van water wordt geblokkeerd en wat er wordt doorgelaten. Als puntje echter bij paaltje komt, zijn ze een veel betere oplossing.
Webapplicatie firewalls
Hoewel stateful technologie nog steeds wordt gebruikt, is het niet meer genoeg om een netwerk effectief te beveiligen. Applicatie en webapplicatie firewalls zijn de volgende grote stap.
Traditionele firewalls controleren binnen een netwerk alleen het algemene verkeer. Ze worstelen of falen volledig in het detecteren van verkeer dat vanuit een app, service of andere software komt. Applicatie firewalls zijn ontworpen om dit in de gaten te houden. Ze werken samen met programma’s om zo indringingspogingen te detecteren die gebruik maken van softwarekwetsbaarheden om langs oudere firewalls te glippen.
Ze zouden ook kunnen functioneren als een overkoepelend controlesysteem binnen een bedrijf, waardoor de toegang tot bepaalde apps en websites volledig wordt geblokkeerd.
Webapplicatie firewalls werken op dezelfde manier, maar ze monitoren web apps in plaats van programma’s op een computer. Voorbeelden van web apps zijn externe formulier- of winkelwagenplugins, die soms gekaapt kunnen worden om malware naar een server te sturen. Zonder WAF’s ben je kwetsbaar voor deze aanvallen.
Veel WAF’s zijn cloud-based, wat betekent dat je geen radicale wijzigingen hoeft aan te brengen op je server om ze te installeren. Maar ze kunnen ook bestaan op hardware of server software.
Als je een firewall service nodig hebt om je website te beschermen, zoek dan naar een op cloud-based WAF zoals Cloudflare of Sucuri. Deze kunnen worden geïnstalleerd zonder dat je hoeft te rommelen met gevoelige webhostinstellingen of het opzetten van dure hardware.
Next-generation firewalls
Als laatste is er de Next-Generation Firewall (NGFW), een van de meest recente uitvindingen die uit de huidige generatie beveiligingstechnologie is voortgekomen. Deze tools zijn met name bedoeld voor grote bedrijven en combineren alle bovenstaande firewalls in één tool. Filteren van deep packets, indringersbescherming en applicatiemonitoring zijn slechts een greep uit hun enorme scala aan netwerkfuncties.
Next-generation cloud firewalls zijn te verkrijgen als online dienst, maar voor de normale gebruiker is een WAF een veel logischere keuze. Ze bieden vergelijkbare functionaliteiten, zijn gebruiksvriendelijker en goedkoper. Ben je echter op zoek naar de meest geavanceerde firewalltechnologie die momenteel beschikbaar is, een volledige suite van beveiliging verpakt in één programma, zoek dan naar een NGFW.
Hoe krijg ik een firewall?
Om jezelf en je website te beschermen, heb je een hoogwaardige firewall nodig die indringers buiten de deur houdt.
Wat persoonlijke firewalls betreft, is het meestal niet nodig om op zoek te gaan naar een. De ingebouwde firewall van Windows werkt bijvoorbeeld heel goed zonder enige configuratie. En als je een antivirus hebt met een firewall en die combineert met het pakketfilter op je router, dan is je computer meestal genoeg beschermd.
Zorg ervoor dat je firewall geactiveerd is, dat je goede antivirussoftware hebt geïnstalleerd en dat je router goed is geconfigureerd. Hetzelfde geldt voor MacOS gebruikers.
Maar wat als je een website hebt die bescherming nodig heeft?
Dan is het heel anders. Er zijn niet zoveel ingebouwde tools om je te beschermen en vaak is het aan jou om je website te beveiligen te stellen. Als je bijvoorbeeld WordPress gebruikt, is er geen firewall om je server te beschermen. Beveiligingsplugins zijn dan een van de meest voorkomende opties.
WordPress ontwikkelaars doen hun best om de code geoptimaliseerd te houden, maar wanneer er kwetsbaarheden zich voordoen, heb je niets om een aanval te voorkomen. Elke site kan profiteren van een WAF.
Online diensten zoals Sucuri, Wordfence, en Cloudflare zorgen in enkele minuten voor firewalls op je server.
Naast het installeren van een firewall zelf, moet je een webhost kiezen die goed voor de servers zorgt. Veel goedkope hosts steken weinig moeite in beveiliging en dat kan grote problemen veroorzaken als je site onder vuur komt te liggen.
Kinsta’s Cloudflare integratie
Als je site door Kinsta wordt gehost, hoef je je geen zorgen te maken over het handmatig opzetten van een WAF. Alle sites op onze infrastructuur worden automatisch beschermd door onze gratis Cloudflare integratie, inclusief een zeer sterke firewall met aangepaste regelsets en gratis DDoS bescherming. Naast onze Cloudflare integratie implementeren we ook andere beveiligingsmaatregelen, zoals bruteforce-detectie, uitsluitend bestandstoegang via SFTP, Google Cloud Platform VM’s, een uitgebreide beveiligingsgarantie en meer.
Samenvatting
Op een moderne PC hoef je meestal niet veel te doen, omdat je op de meeste besturingssystemen een solide firewall meegeleverd krijgt. Wat websites betreft is het helaas zo dat veel hosts te weinig doen om hun servers te beschermen, dus het is aan jou om jezelf te beschermen.
Als je op zoek bent naar een webhost met betrouwbare beveiligingsinfrastructuur, die een site van elke grootte kan ondersteunen, overweeg dan Kinsta. Met onze gratis Cloudflare integratie en belofte van malwarebeveiliging, weet je dat je geen slachtoffer wordt van hacks. En mocht er zich het zeldzame scenario voordoen dat je wél slachtoffer bent van een hack, dan nemen wij stappen om de malware gratis te verwijderen.
Zelfs als je kiest voor een betrouwbare host die veel doet aan beveiliging, is het een goed idee om een webapplicatie firewall te installeren als tweede lijn van verdediging. Zoek een goede dienst zoals Sucuri of download een WordPress beveiligingsplugin en je bent klaar om met elke aanval om te gaan.
Hoofdredacteur bij Kinsta en content marketing consultant voor WordPress plugin-ontwikkelaars. Verbind met <a href="">Matteo op Twitter.
Laat een reactie achter