abonneren

Netwerk monitoren en malware opsporen met GlassWire

Netwerk monitoren
Een overzicht van de aangesloten apparaten, de actieve services en allerlei systeeminformatie kan zeker nuttig zijn, maar soms wil je het netwerkverkeer van Windows en allerlei processen en toepassingen ook analyseren. Met het gratis GlassWire krijg je nuttige feedback waarmee je verdacht verkeer kunt detecteren. Een onmisbare tool bij het netwerk beveiligen.

Er bestaan weliswaar uiterst krachtige netwerk-sniffers en protocol-analyzers, zoals het voortreffelijke en gratis WireShark, maar zulke tools zijn vaak overkill als het je vooral te doen is om snel het netwerkverkeer van computers en andere apparaten in je netwerk in kaart te brengen, bijvoorbeeld om mogelijke malware te ontmaskeren. GlassWire is dan veel handzamer aangezien je je niet door talloze netwerkpakketjes hoeft te wringen.

Met de gratis versie kom je al een heel eind. Heb je behoefte aan extra functies zoals het blokkeren van specifiek netwerkverkeer met behulp van handige profielen (via een ingebouwde firewall) of een uitgebreidere historie, dan kun je een van de betaalde versies overwegen (van circa 38 tot 95 euro per jaar). Maar in deze workshop gaan we gewoon met de gratis editie aan de slag.

Grafisch overzicht

Na het opstarten van GlassWire komt een grafiek in beeld. Die toont je realtime zowel het binnenkomende (geel) als uitgaande netwerkverkeer (oranje). Standaard beperkt de grafiek zich tot de laatste vijf minuten, maar dat kun je eenvoudigweg uitbreiden tot een maand. Via het camera-icoontje kun je een screenshot maken van de actuele grafiek.

Je zult ook merken dat er af en toe een pop-upvenster nabij het Windows-systeemvak verschijnt: dat gebeurt wanneer een proces voor het eerst een verbinding naar buiten maakt – ook dat kan nuttig zijn om verdachte processen te helpen detecteren. Je kunt de geschiedenis van deze meldingen trouwens op elk moment bekijken. Klik daarvoor bovenaan het programmavenster op Alerts, kies Type en kijk de rubriek First network activity na.

GlassWire ondersteunt trouwens nog heel wat andere types. Om die te activeren klik je linksboven GlassWire aan en kies je Settings. Open de rubriek Security en klik op Unlock, waarna je de diverse ‘sensoren’ kunt in- of uitschakelen. Helaas werkt een flink aantal daarvan niet in de gratis versie van GlassWire, maar wel kun je onder andere First network activity, Suspicious hosts monitor en VirusTotal scan result gebruiken, dus schakel die in elk geval aan.

Netwerk monitoren

De grafiek geeft al heel wat nuttige informatie weg, maar je kunt nog veel dieper graven in GlassWire. Dat doe je door een bepaald onderdeel van de grafiek aan te klikken om de weergave te pauzeren (via het knopje rechtsboven zet je de weergave naderhand weer verder). De processen die achter de netwerktrafiek op het aangeklikte punt zitten worden dan onder de grafiek opgesomd.

Klik de naam even aan voor nog meer detailinformatie, waaronder de hoeveel in- en uitgaande data en de externe server waarmee een connectie werd opgezet en welk protocol daarvoor is ingezet. Op deze manier kun je ook checken of het om een bonafide connectie gaat. Je kunt het dataverkeer ook per applicatie opvragen via de knop Apps, linksboven en met de knop Traffic bundel je het verkeer volgens protocol, zoals dns, http, snmp, smtp, enzovoort.

Nog meer details krijg je als je bovenaan de rubriek Usage opent: die geeft je het exacte dataverbruik weer volgens applicatie, hosts en protocollen. Let wel, ook het dataverkeer van je browser(s) wordt standaard gelogd. Je krijgt weliswaar geen complete url’s te zien, maar wel de domeinnamen – zelfs als je de incognito-modus van je browser had ingeschakeld! Dat geldt overigens ook voor de computers die je eventueel op afstand monitort met GlassWire. Heb je dat liever niet, klik dan linksboven op GlassWire en activeer de optie Incognito, of kies Snooze als je deze functie gedurende 24 uur wilt uitschakelen.

Verder, wil je bijvoorbeeld bij een mobiele verbinding vermijden dat je door binnenkomend en/of uitgaand verkeer teveel data verbruikt binnen een bepaalde periode, ga dan naar Instellingen, kies Data Plan, Unlock de module en stel de gewenste parameters in.

Remote Access instellen

Netwerk monitoren

De informatie kun je ook van de andere Windows-computers in je netwerk eenvoudig in realtime bekijken. Je moet GlassWire dan wel ook eerst op die pc’s of laptops installeren. Vervolgens open je op zo’n computer de Settings van Glasswire, ga je naar de rubriek Remote Access en open je het gelijknamige tabblad.

Druk op de knop Unlock, plaats een vinkje bij Allow Remote Access by password en vul het bijbehorende wachtwoord in via de knop Change Password. Veiligheidshalve plaats je ook een vinkje bij Allow Access only from IP: en vul je het ip-adres van de pc in van waaraf je deze computer remote wilt monitoren. Bevestig je keuze.

Terug naar GlassWire op je eigen computer: ga opnieuw naar Settings en kies deze keer Server List. Via de knop New Server vul je een naam, het ip-adres van de remote pc en het bijbehorende wachtwoord in. Plaats een vinkje bij Enable connection. Als het goed is, verschijnt de remote pc nu in het linkervenster van het hoofdvenster. Overschakelen tussen de computers is met een muisklik voor elkaar.

Scannen op malware

Een nuttige toevoeging aan GlassWire is de mogelijkheid om processen aan een grondige virusscan te onderwerpen. Je moet die functie dan wel eerst even inschakelen: ga opnieuw naar Settings en open de rubriek VirusTotal. Klik op Unlock, plaats een vinkje bij Enable manual file analysis by VirusTotal en eventueel ook bij Automatically analyze all apps with network activity with VirusTotal.

Nadat je deze functie hebt ingeschakeld krijg je nabij het Windows systeemvak een melding te zien die het scanresultaat van VirusTotal aangeeft. Doordat er doorgaans meer dan 60 virusscanners worden bevraagd is de kans reëel dat er altijd een paar scanners zijn die menen iets verdacht te hebben gevonden. Als vuistregel kun je aanhouden dat verder onderzoek zinvol is zodra er meer dan drie scanners aan de alarmbel trekken.

Let op: hoewel deze functie zeker zinvol is, vervangt zij uiteraard niet je reguliere antivirussoftware.

Geschreven door: Toon van Daele op

Category: Workshop, Netwerk

Tags: GlassWire, netwerk, Malware

Laatste Vacatures