Firewall software vergeleken

In een tijd waarin continue openstaande internetverbindingen steeds gewoner worden is er een steeds groter wordende behoefte aan firewalls. Er zijn tientallen van zulke softwarepakketten die allemaal beloven dat je bij gebruikt ervan veilig bent voor aanvallen van hackers en scriptkiddies. Om de keuze van een firewall wat makkelijker te maken heeft SysOpt.com een review geschreven waarin vijf bekende firewalls worden vergeleken: BlackICE Defender, Internet Firewall 2000, McAfee Personal Firewall, Sygate Personal Firewall en ZoneAlarm. Om ze te vergelijken werden op elke firewall een aantal online testen losgelaten, verder werd er onder andere gekeken naar de interface en configuratiemogelijkheden.

Opvallend genoeg komen de gratis pakketten ZoneAlarm en SyGate Personal Firewall als beste uit de test, de duurdere pakketten zijn volgens de review te ingewikkeld of missen een aantal features, zoals ondersteuning voor LAN's en het in de gaten houden van uitgaande verbindingen:

I was unable to compromise the security of Sygate Personal Firewall with thorough testing procedures. SPF successfully detected and blocked all intrusion and online scan attempts. SPF's flexibility to include user definable configurations for both general network settings and per-application rights is equally impressive. One can easily set up specific port and IP addresses trusted with access through the graphical user interface, which is an invaluable option. The ability to set trusted communications ensures that LAN communications are not compromised. SPF also allows most VPN protocols to bypass the firewall, so users using encrypted networking standards can still utilize the advanced features of this firewall. SPF's ability to automatically reconfigure itself for specific networks is impressive. This allows users with multiple ISPs to benefit from complete protection.

Sygate Personal Firewall

Door Wouter Tinus

04-11-2000 • 18:19

98

Bron: SysOpt

Reacties (98)

98
96
46
16
3
40
Wijzig sortering
Ik gebruik winroute. klein pakket met o.a.firewall. ben er erg tevreden mee. regelt gelijk mijn mail en internetverkeer via de kabel delen.

Die tests haal ik allemaal. Meestal stealth.

Vraag me af wat een handig iemand dan alsnog kan doen op je pc....meeste scanners zijn volgens mij pubers met te veel tijd die het ook eens proberen maar volgens mij ook niet meer kunnen dan dat

hier een link die zomaar mijn icq nummer van mijn pc trok terwijl die uit stond!

fluweelblad.leidenuniv.nl/wimjan/test/ip2name.html

en hier laat ie 5.5 de inhoud van je c schijf zien:

www.guninski.com/javacodebase1.html

dat soort dingen vind ik pas eng, omdat de internetcommunicatie wordt vertrouwd......
lekker boeiend dat je de inhoud van je -eigen- hd kan zien! tis toch jou eigen schijf.
moet je het volgende eens proberen: open ie 5.5 en tik c:\ in je address bar, zie je ook de inhoud van je c schijf... duh

;)
Dat is maar een simpel en onschuldig voorbeeldje van wat je met die bug kan doen. Je kunt ook willekeurige files (e-mail, registry, password files) uitlezen en de inhoud daarvan terugsturen naar de server. En waarschijnlijk kun je ook files overschrijven of verwijderen.
Heb hem uiteraard ook even geprobeerd.. Beide scripts vinden niks over mij. Als je je firewall goed configureert heb je hier dus ook geen last van. En wat betreft de java-'beveiliging'.. daar helpt geen firewall tegen ;'(
De bovenste link zoekt vooral info op het net. Alleen de SMB info komt van jouw computer en wordt dus tegengehouden door een goede firewall.

De onderste link test je firewall in het geheel niet. Een applet probeert een lokale file te lezen. Omdat bepaalde versies van IE ten onrechte toelaten dat een remote applet de codebase lokaal zet, mag dit in IE. Alles speelt zich dus lokaal af.

Het ontwerp van de Java beveiliging is trouwens best goed. Als het in een browser verkeerd ge-implementeerd wordt, dan is dat niet de schuld van Java.
ik snap het probleem niet helemaal... ok, java zou misschien nog enigsinds iets gevaarlijk kunnen zijn (ivm. directe server connecties) maar wat kan javascript nou? helemaal nix... ik heb hier wel eens eerder een posting over geplaatst, maar heel kort stond daar in dat alle evt. gevaarlijk functies van javascript (zoals het displayen van de inhoud van c:\ of whatever) zijn gedisabled door het zogeheten datatainting... dit zijn functies die al vanaf netschaap 3.2 (dacht ik, weet ik niet helemaal zeker) geïmplementeerd zijn... dus wat is nou het probleem?
Die scripts kunnen inderdaad weinig aanrichten :)
Wat evt wel zou kunnen is wat info inn een cookie plaatsen en vervolgens opsturen, alleen hebben ze bij mij dan ook pech want ik bepaal zelf van welke sites ik wel of geen cookies accepteer :)
Javascript opzich is niets 'gevaarlijks' aan. Zoals mth al zei, het is de manier waarop de softwarehuizen (lees: Microsoft, netscape) Javascript implementeren in hun browsers.

Als ze dit perfect zouden doen was er idd nix aan de hand, maar software bevat nou eenmaal altijd fouten, en daar kan een hacker gebruik van maken. (Ook een Scriptkiddie btw. want de 'bekende' fouten kun je gewoon opzoeken in de archieven, maar goed we gaan even uit van een compleet gepatched systeem.)
Daarom kun je JavaScript als een potentieel beveiligingslek in je systeem zien. Je zou overigens wel erg paranoïa zijn om om die reden JavaScript uit te zetten, dat is hetzelfde als er van uit gaan dat iedere site exploits bevat. ;)
Als de data op je systeem zo Ontzettend belangrijk is moet je er ook maar nie mee gaan surfen.
In Internet Explorer en in Netscap Communicator kun je Java disablen, het nadeel is dat alleen de functionaliteit van een hoop andere sites praktisch weg is :(. Gelukkig is Java niet zo gevaarlijk omdat de programmeertaal zo gemaakt is dattie weinig aan je pc kan verkloten.
Met Javascript is dit in iets mindere mate. Dat kun je ook disablen, maar aangezien zelfs de homepages van de honden van de buurman javascript gebruiken, en 99.99% van de javascript ongevaarlijk is zou ik dat niet uitzetten :)
Anoniem: 12248 @jaspov4 november 2000 22:27
Haha mijn zonealarm houd mooi beide verzoeken tegen. Het werkt dus allemaal naar behoren en ik heb geen belangrijk files op m'n comp dus supergoed hoeft het ook niet beveiligd te zijn. Voor mij is de firewall gewoon een leuk speeltje. ik wil namelijk altijd alles uitproberen.
Anoniem: 13440 4 november 2000 18:37
Ik krijg bij de chello helpdesk vaak klanten aan de lijn die Zonealarm gebruiken. Deze mensen hebben geen internet verbinding, en vaak komt dit doordat Zonealarm de DHCP poorten blokkeerd.....
Wanneer ik deze klanten vraag om Zonealarm te disabelen, en soms om deze te deinstaleren, is het probleem opgelost. (ik kan natuurlijk niet met de klant de poortinstellingen van zijn firewall gaan nalopen)
De "gemiddelde" gebruiker denkt, zo'n firewall, das handig, die wil ik ook wel. Ze hebben alleen geen idee hoe ze er mee om moeten gaan.
Als je bij chelo werkt wordt het mischien hoog tijd dat je je in deze sofware verdiept! :( :( :(
Ik gebruik chello nu ongeveer 7 maanden en ben best tevreden over chello alleen de beveileging die ik krijg bij chello zuigt enorm, niet iedereen hoeft te weten wat ik op mijn machine heb daarom heb ik zone alarm en geen centje pijn. ;)
Hij blokeert de DHCP poorten namelijk helemaal niet!!.
wat hij wel doet is als allereerste de vraag stellen u gebruikt netscape, explorer oid als een server mag dat als je ja zegt is er nix meer aan de hand.
en later kun je dit ook heel simpel instellen.
mischien een klein advies aan de helpdesk jongens en meisjes van chello verdiep je eens goed in firewalls ze zijn net zo belangrijk als browsers.
Als je 24/7 on line bent soms heb ik 50 to 100 intruders op een dag.
Sinds ik zone alarm gebruik is dat aantal drastisch gedaalt al mijn poorten zijn gekloakt ze zijn er wel maar je ziet ze niet.
Het is verder zo dat chello net zo simplistisch denkt over beveileging als jij zie deze pagina subscriber.chello.nl/support/beveiliging.html
voorts kun je veel vinden over zone alarm op deze site
www.zonelabs.com
En hoe denk je zelf dat je de beveiliging bij chello wilt verbeteren? Ik weet niet of je het weet maar je zit nog altijd op een LAN alleen een groter LAN als dat je bij je thuis hebt liggen. Iedereen is dus voor iedereen zichtbaar. Ik hoor ook altijd veel over ZoneAlarm en ben zelf ook niet echt fan van de normale versie daarom raad ik iedereen aan om te gaan zoeken naar de pro versie van ZoneAlarm.

Maar inderdaad je hebt wel gelijk de meeste mensen vergeten gewoon bepaalde programma's toegang te geven tot het internet waardoor het natuurlijk niet meer werkt en zitten ze bij de helpdesk weer met problemen omdat dat weer tijd kost om uit te zoeken ofdat iemand een firewall heeft aangezien de meeste mensen er wel een hebben maar niet weten wat het woord firewall (vuurmuur) is.

ZoneAlarm is hoe dan ook de beste keuze als firewall die andere firewalls geven veel te veel valse meldingen.

Voor ZoneAlarm ga je naar: www.zonelabs.com .
Waarom dat? Chello is toch niet verantwoordelijk voor de firewalls die jij installeert?
Als jij een firewall installeert, ben jij verantwoordelijk voor de werking daarvan.
Eventueel kun je de helpdesk van de fabrikant van de software bellen, maar niet de helpdesk van je ISP (IMHO).
de beveileging die ik krijg bij chello zuigt enorm
Wat verw8 jij van chello? dat ze voor jou een firewall bouwen? Dit is dus echt bullshit, zij leveren je internet toegang net zoals alle andere providers en dit is dus absoluut nix veiliger of onveiliger. Ik zou dus absoluut niet willen dat chello firewalls voor mijn deur gata bouwen, ik bepaal zelf wel welke poorten ik nodig heb, want misschien heb ik bijvoorbeeld wel een goede reden om mijn schijfen te delen over internet.
Chello moet helemaal niets, als jij een slechte firewall draait, hoeft chello wat mij betreft helemaal geen service aan jou te leveren.
Iemand die 24 uur online zit en echt een beetje veilig systeem wil hebben zet een firewall op met een UNIX variant erop Linux/FreeBSD en niet van die namaakproggies. Werken wel leuk maar is meer voor de thuisgebruiker dat tie toch een beetje dichtzit. En een ISP gaat dat echt niet supporten want het is bij lange na niet zo belangrijk als een browser.

Stel de gebruiker heeft met zo'n firewall alle poorten dichtgegooid. Nu wil die mIRC installeren en DCC senden en chatten. Helaas werkt met dynamisch gealloceerde poorten (weet niet of dat het juiste woord is) maar iedere keer wordt er een andere poort (boven de 1024) gebruikt. Nu schermt dat k*tproggie die poorten af en klant hangt aan de lijn boos dat het niet werkt. Kost provider boel tijd om die klant zijn firewall na te lopen en uit te leggen (meestal niet mogenlijk omdat de mensen dat niet snappen) waarom en hoe het is op te lossen.
Het probleem met zonealarm, die het vebinden met de/een externe dhcp-server blokkeerd, was ook een probleem wat ik ook had. Uiteindelijk ben ik erachter gekomen dat het alleen met de nieuwste versie van zonealarm is/was.

een oudere versie heb dit probleem totaal niet en die heb ik gelukkig weer kunnen regelen.
welke firewall raad je dan aan voor deze "simpele" gebruikers??? Persoonlijk vind ik dat zonealarm dan goed werk leverd, alleen die dhcp shit werkt er helaas niet goed mee... ik heb er jammergenoeg ervaring mee...
Zone alarm werkte bij kij klote, het netwerk werd er kompleet door ontregeld, en sindsdien ik sygate heb gaat alles perfect, dus ik zou sygate aanraden
Zonealarm maakt onderscheidt tussen lokaal en internet verkeer.
Ik zie hier mensen die zonealarm niet kunnengebruiken;
Bij security en dan advanced kun je je lokale netwerk instellen. Als je een dhcp server hebt, kun je daar ook een range van ip nummers instellen die toegestaan zijn.
En als je dat goed insteld doet je lokale netwerk het echt wel goed.
ik zou blackice downloaden....die werkt echt goed..en is makkelijk in te stellen.. :) :)
als je wilt komt er niemand (let wel NIEMAND) door.. :)
Als BlackIce een packet-filter is (ik ken het product niet, nooit van gehoord zelfs) dat is een hacker zo binnen als ie echt wil.
Als het een echte statefull firewall is wordt het al bijna onmogelijk mits goed geconfigd.
Ik kan me voorstellen dat die mensen allemaal ZoneAlarm gebruiken: het is lekker simpel, snel en makkelijk te configureren.

Maar is het dan zo dat er niet wordt gevraagd of die poorten mogen worden gebruikt? ZoneAlarm vraagt toch per programma of het toegang heeft tot Internet en of het als server mag dienen?
Was wel te verwachten die uitslag, maar ik begrijp eigenlijk niet dat een firewall te ingewikkeld is?? als hij gewoon goed is, is er toch niks aan de hand :?
Je hebt zoveel verschillende instellingen, welke poorten wel of niet open laten staan, welke programma's mogen wel of niet een verbinding naar buiten hebben en welke ip-adressen mogen wel bij je naar binnen komen of niet.
Je staat versteld van de programma's die naar buiten toe willen verbinden, soms met de meest rare namen terwijl ze onschuldig zijn. En van cijfers (in de poorten en ip-adressen) zijn mensen sowieso huiverig voor. Dit alles bij elkaar alleen al geeft een hoop verwarring bij leken.
En dan komt er nog bij dat je verschillende gradaties hebt in de strengheid. Alles blokken en overal een waarschuwing voor geven, of alleen als de firewall denkt dat het gevaarlijk is. Dit maakt de meeste firewalls best moeilijk in te stellen. En vaak wordt ook nog de fout gemaakt door allerlei toeters en bellen aan zo'n firewall mee te geven, je kunt er krijgen met http-server, ftp-server, proxy-server, etc etc. Dit is allemaal simpel als je weet waar het over gaat. Maar dat weten de meeste beginners echt niet
slaat dat ingewikkeld niet gewoon op de moeilijkheid van het configureren?
Als 2 programma's net zo goed werken, maar de een veel moeilijker in te stellen is, dan hefet die ander natuurlijk de voorkeur.
Mja, maar een firewall geconfigureerd door een newbie is gewoonweg geen firewall...

Je laat een gevangenis toch ook niet bewaken door het goedkoopste bewakingsbedrijf?
ik vind persoonlijk ipchains wel een aardig pakket ;)
jammer dat die niet mee vergeleken is :) :)
Dat is ook niet alleen een firewall, dat kan veel meer, dus voor de simpele zielen misschien wat complex. Niet iedereen hoeft totale controle te hebben (alle Tweakers natuurlijk wel 8-) )
ipchains heeft geen gui... dus is het stabieler }>
mwah
ik moet het toch meer hebben van iptables en ipf
ipchains wordt ook vrij veel gebruikt.
Ik gebruik het bijvoorbeeld ook op school.

Wel handig als je eens een poort af moet blokken, die niemand open mag zien staan :)
Stuur de test even door naar Microschoft, misschien hebben ze er nog wat aan :Y)
BlackICe is wat mij betreft de winnaar. De gratis pakketten mogen dan wel simpleren zijn (al is BlackIce doodsimpel), maar ze werken niet zo goed als BlackIce.

Een tipje voor BlackIce gebruikers, je kan de firewall.ini gewoon editten, al staat er in die file dat het niet mag. als je bijvoorbeeld een ftp server draait en je wilt niet dat blackice die op de -panic- mode blokkeert, dan zet je gewoon

21, ftp, 03/11/2000 00:00, ACCEPT in je tcp rules
en dan staat je blackice nog steeds op panic mode, maar laat ie wel ftp door. Zo kun je dat ook met andere poorten doen.
Je vergeet 1 ding, poort 20 moet ook open. (FTP-DATA).... :)
Niet noodzakelijk, als je passive ftp aanzet ;)
Persoonlijk vind ik Black Ice wel handig werken. De zonealarm die ik probeerde had een memory leak waardoor de PC na een dag of 2 erg traag werd. Sygate kreeg ik niet geconfigureerd, begreep de setup met 2 netwerk kaarten niet.

Norton heb ik niet geprobeerd, je kan niet alles testen ;).
Ik mis E-smith in dit lijstje, toch een pakket dat voor de zwaarste firewalls nog geschikt is...
Ik gebruik nu een aantal maanden ShareTheNet ( www.sharethenet.com ) Dat is een Linux firewall die zonder al teveel gedoe op een oude 486-er past zonder HD en met 8Mb geheugen. 486 in je LAN hangen en dan draait het als een zonnetje en einde hackers. Hij heeft op dit moment een uptime van ongeveer 3 maanden :)
Ik hou van Firewalls die niet zeuren zoals blackice,
Installeren en klaar! :)Zone-Alarm Is wat lastiger te configureren omdat
ie eerst alles moet onthouden ! :+
Anoniem: 12851 4 november 2000 21:02
wie zegt dat die tests niet corrupt zijn?

Op dit item kan niet meer gereageerd worden.