Welke IP-adressen gebruikt Windows voor de Windows Update?

a)  Je hebt helemaal gelijk. b)  Dit is geen antwoord op mijn vraag. c)  Een firewall moet ook onverhoopte malware het leven zuur maken. Daarom wil ik dat alleen door mij vertrouwde software naar buiten komt. Een stukje extra veiligheid.

Inderdaad. @Cryofiel: Een firewall blokkeert (indien ingesteld) bepaalde adressen van buiten naar binnen toe, of bepaalde poorten. Omdat je update van binnenuit contact maakt met de servers van microsoft wordt dit (terecht) toegestaan en is verkeer terug natuurlijk ook mogelijk.

@som, een firewall kan ook heel goed verkeer dat van binnen naar buiten gaat blokkeren. Mijn firewall blokkeert alles wat van binnen naar buiten gaat, tenzij ik het expliciet heb goedgekeurd. Goedkeuren gaat bij mij in de vorm
- Pprogramma A mag contact maken met IP-ranges P, Q en R via protocol X en poort Y.
- Programma B mag [... eenzelfde soort regel ...].
- ...

Nou, dan ben je meer aan het boekhouden dan aan het internetten. Als je nagaat dat de 'grote jongens' als GMail, MSN, Hotmail enorme reeksen IP-adressen gebruiken ben je wel even zoet. Het is echt allemaal niet nodig hoor!

@Cryofiel: Natuurlijk, een firewall wordt ook ingesteld om verkeer van binnen naar buiten tegen te houden. Dat gaat doorgaans op poortniveau. Als je op poort 80, 8080 of 443 (internetcommunicatie) of op applicatieniveau (Internet Explorer) de boel van binnen naar buiten dicht timmert dan zijn die adressen ook niet te bereiken. Het dichtzetten van IP adressen is doorgaans bedoeld om bepaalde websites te blokkeren. Maar het is ondoenelijk om alle Microsoft Update servers op te geven. Die kunnen ook vaa wijzigen. Natuurlijk wordt er een groot aantal IP adressen gebruikt. Anders zit de hele wereld op 1 server te downloaden.

@Antwoordman, natuurlijk mogen Firefox en IE alle IP-adressen aanroepen mits via http of https. Evenzo mag LeechFTP alle IP-adressen aanroepen mits via ftp. Alle andere programma's mogen standaard niet buiten spelen. Ik had gehoopt dat er ergens een lijst was met IP-ranges die voor Windows Update worden gebruikt. Dan kan ik aangeven dat Windows Update wel buiten mag spelen, maar alleen naar bepaalde IP-ranges, alleen via TCP, en alleen naar remote poorten 80 en 443.

Ben je nou echt bang dat Windows Update dingen gaat doen die je niet wil? Of dat een andere toepassing iets gaat doen dat je niet wilt?

De windows Update gaat over poort 80 of 443 via het http / https protocol. Als je de microsoft IP adressen invoert op deze manier mag je alleen nog maar updaten en microsoft websites bezoeken. Volgens mij is dat niet helemaal wat je wilt bereiken.

@Antwoordman, ik ben niet bang voor de akties van Windows Update. Ik ben wel bang voor de akties van een virus/worm/trojan die per ongeluk mijn systeem binnendringt. Daarom zet ik alles dicht. Alleen bepaalde programma's mogen naar buiten, en dan alleen naar die adressen, poorten en protocollen waar ze iets te zoeken hebben. Omdat alles standaard dicht staat, moet ik de firewall expliciet openzetten voor Windows Update. Dat wordt dus een toestemmingsregel in de vorm "ALS de aanvrager Windows Update is, EN het protocol is http/https, EN de remote poort is 80/443, EN de remote IP zit in de range X, DAN is de aktie toegestaan, ANDERS niet. @som, mijn firewallregels zijn niet alleen aan poorten, protocollen en IP-adressen of -ranges gekoppeld, maar ook aan applicaties. Daardoor mag Firefox overal heen, maar Word bijvoorbeeld niet.

Oké. En wat is je vrees dat Word naar buiten gaat sturen?

Word niet. Een Word-macro-virus wel. Dat mag van mij niet buiten spelen.

@Cryofiel: Ik begrijp dat je trojans, virussen en wormen tegen wilt houden. Het is doorgaans in de netwerkbeveiliging gebruikelijk dat je alles van buiten naar binnen tegen houdt (en met uitzonderingen werkt) en van binnen naar buiten precies andersom (alles mag, behalve ...) Ik ging er even vanuit dat de Windows Updates binnen komen over poort 80 via http:// via Internet Explorer en je dan het hele internetverkeer uitsluit. Maar je kunt waarschijnlijk ook het update programma die rechten geven. In dat geval is het nog steeds een hele administratie, zeker als de IP adressen wijzigen.