Beste firewalls voor grote en kleine bedrijven

De markt voor firewalls is drastisch aan het veranderen. Werkte de protectie vroeger op het packet-niveau, tegenwoordig is er bescherming op applicatie-niveau nodig. De ene leverancier kan wel aan deze eis voldoen, de andere is nog niet zover. De aspirant koper van een firewall is misschien beter af om nog even te wachten met een aanschaf, zo lezen we bij Yahoo. Op de site vinden we een artikel waarin de mogelijkhieden van verschillende leveranciers onder de loep worden genomen. Ook bij Newsfactor is een stuk over firewalls verschenen. De site bespreekt het belang van deze bescherming en gaat dieper in op de problematiek eromheen, zoals een goede configuratie. Zet nooit een firewall op een server die ook andere taken verricht, zegt een analist van IDC. De voorkeur van een woordvoerder van Gartner gaat vanwege de stabiliteit uit naar een zelfstandige hardware oplossing. Naast de keuze voor een hardware of software oplossing, spelen speciale zaken als VPN (Virtual Private Networking), intrusion detection en de doorvoercapaciteit van de firewall een rol bij aanschaf:

Different vendors offer products that stress different features, but some of the important features available in firewall appliances include virtual private networking (VPN), intrusion detection and protection, and stateful packet filtering, George Sluz, product manager at Symantec, told NewsFactor.

If an organization has salespeople and executives accessing the network from outside the office, VPN encryption Latest News about encryption, which in some products is performed by a special chip on board, is an important feature, Sluz said. Scanning for known threats by packet signatures is another essential capability.

Stateful packet filtering can use extra memory to track user requests to the Internet and ensure that the data that returns comes from an appropriate port. "Some of the low-end consumer products provide freeware software that does packet filtering," Sluz said. "That's as low as you can go in terms of protection."

Reacties (71)

Anoniem: 72914 22 juni 2003 23:13

Hmm, de topic doet anders vermoeden dan dat het verhaal werkelijk zegt. Ik had verwacht dat er een goeie firewall voor bedrijven was getest. Maar wat hier staat is gewoon bijna basic: de firewall zou alleen toe moeten laten wat he bedrijf

. wilt. Dit lijkt me nogal logisch voor een firewall.
Dat een hardwarematige firewall altijd beter is dan een softwarematige hardware is nogal logisch. Een hardwarematige firewall is helemaal voor die reden gemaakt. Een softwarematige firewall heeft natuurlijk een OS nodig om op te draaien. Deze heeft natuurlijk nooit bv de uptime van een hardwarematige firewall omdat er natuurlijk ook gaten in de software gedicht moeten worden.

Dan wordt er gezegd dat je nog maar beter even kan wachten met het kopen van een firewall omdat er nieuwe ontwikkelingen zijn. Dit slaat natuurlijk nergens op want anders kan je altijd blijven wachten. En als je er per direct een nodig hebt schiet dit niet op.
In de ICT kan je altijd blijven wachten op nieuwe dingen, maar er komen er zoveel per dag dat het de volgende dag alweer verouderd is.

stunn0r @Anoniem: 72914 • 22 juni 2003 23:27

op hardware firewalls draait natuurlijk ook firmware wat software is.

dan moet deze over het algemeen wel vaker worden geupdate maar je argument gaat niet echt helemaal op

wica 22 juni 2003 22:56

iptables met wat aanpassingen is denk ik ook wel een goede oplossing

Alleen iptables is jammer genoeg niet op aplicatie nivo. Met QoS kan jet het op poort nr. regelen.
Maar voor kernel 2.5/6 is het mogelijk om op aplicatie nivo te regelen. [url="http://l7-filter.sourceforge.net."]http://l7-filter.sourceforge.net.[/url] Dit is vind ik veel belovend.

jb044 @wica • 23 juni 2003 04:18

Ach en tot die tijd is snort nou ook niet bepaald behelpen, het is zelfs vrij makkelijk om m aan iptables te knopen. Dus dan heb je EN statefull packet filtering EN realtime intrusion prevention. En op standaard hardware kan dit rustig een 100Mbit bijbenen, laat staan wat ons met de volgende kernel release te wachten staat

En dat alles zonder dat je een cent aan software kwijt bent, wat nou voor een dubbeltje zit je op de laatste rang om OP aan te halen!

wica @jb044 • 23 juni 2003 10:41

Ben het niet met je eens, dat iptables vrij gemakkelijk zijn.
En al helemaaal nietw at jij allemaal beschrijft.

Voor iemand die al een tijdje met iptables werkt is het wel te doen. Maar voor de beginnen? Die doet in de meeste gevallen meer kwaad dan goed.

deadinspace: Je hebt gelijk, sorry.

deadinspace @wica • 23 juni 2003 14:10

Voor iemand die al een tijdje met iptables werkt is het wel te doen. Maar voor de beginnen? Die doet in de meeste gevallen meer kwaad dan goed.

Dit artikel (en daarmee deze discussie) gaat over firewalls voor bedrijven. Die worden doorgaans niet door beginners opgezet.

deadinspace @wica • 23 juni 2003 14:10

Alleen iptables is jammer genoeg niet op aplicatie nivo.

Dat is niet jammer, dat is logisch. Netfilter (Linux' firewall, iptables is de userspace interface) zit in de kernel. De kernel is absoluut niet de juiste plaats om applicatie-protocollen te behandelen.

De nette manier om zoiets te doen is om de packets die door de firewall heen gaan door een userspace programma te halen die dan het layer 7 werk doet. Dit kan met netfilter btw.

Maar voor kernel 2.5/6 is het mogelijk om op aplicatie nivo te regelen. [url="http://l7-filter.sourceforge.net."]http://l7-filter.sourceforge.net.[/url] Dit is vind ik veel belovend.

Je doet het overkomen alsof dit iets unieks is voor 2.5 kernels, maar het is gewoon een patch voor 2.5 kernels... Ze zijn die patch ook aan het backporten naar 2.4

]Byte[ 23 juni 2003 00:59

De aspirant koper van een firewall is misschien beter af om nog even te wachten met een aanschaf[...]

Dat is wel een heel gevaarlijke uitspraak!
Iedere dag dat je wacht loop je onnodig risico! [punt-uit]
Dat je niet weet wat je allemaal nodig heb of welke leverancier je moet hebben.... JA, daar kan ik mij wel iets bij voorstellen.
Firewall's zijn hoofdzakelijk voor netwerkbeveiliging.
Applicatie-beveiliging is toch weer ff net een andere tak van sport en er zijn niet zo denderend veel producenten die beide in huis hebben.
Zelf heb ik hier thuis een WatchGuard Firebox 700 staan.
Ja, dit zal voor de meeste prive gebruikers een beetje "te" zijn, maar het is voor mij ook beroepshalve.
De 'ip-tables' en win32 tegenhangers (als die er al zijn) zijn op zich voor thuisgebruikers ook vaak ruim voldoende en lopen die niet tegen de problemen op waar bedrijven mee te maken hebben.
En dat is de beheersbaarheid van de firewall's!!
En firewall is geen box die je naar binnenschuift en er niet meer naar om hoeft te kijken.
Zo werkt dat (helaas) niet.
Zelf heb ik, beroepshalve, veel te maken met bedrijven die ook veel beveiligingen hebben staan.
Maar hoe goed zijn ze eigenlijk?
Een firewall is zo goed als de beheerder die er achter zit!
Ik kan m'n voordeur met drie sloten op slot doen, maar als ik de sleutel aan een spijker hang op de deurpost..........
En wat ook van belang is dat de meeste hun systemen vaak niet eens door een onafhankelijke partij zo nu en dan eens laten controleren of alles inderdaad nog steeds goed zit.
Als er ooit 1 typo gemaakt wordt en die wordt niet gezien heb je een serieus probleem.
En als dat gezien wordt is het helaas vaak al telaat.
Er zijn ook bedrijven en organisaties die het wel goed voor elkaar hebben hoor.....
Het is echt niet overal kommer en kwel...
Wat ik alleen nog steeds jammer vindt is dat bedrijven nog te vaak hebben zoiets van: "Het valt wel mee" of "bij ons wordt niet ingebroken, we hebben toch niks interessants voor hun"

the-body @]Byte[ • 23 juni 2003 08:54

Klopt wat je zegt. Controle controle controle. En als je het goed wilt doen moet je het breed aanpakken. Er is nl. NOG een ingang naar het bedrijfsnetwerk: de voordeur!!! Geen grapje, je kunt een fantastische FW hebben staan, maar bij de meeste bedrijven loop je naar binnen, stel je je voor als externe IT adviseur bij een gewone medewerker, vraagt z'n password en je kunt je gang gaan. Tip: trek een blauw pak met stropdas aan. Dan kun je zelfs gewoon achter een vrije ingelogde compu gaan zitten en je info ophalen

Johnny 22 juni 2003 22:45

Het veiligst is nog gewoon een los bedrijfsnetwerk en enkele publieke internetcomputers waar dingen kunnen worden opgezocht, darmee voorkom je ook meteen dat werknemers te veel tijd besteden aan privezaken op internet. Natuurlijk is dat niet bij alle bedrijven haalbaar, maar het is natuurlijk wel het veiligst.

Anoniem: 21352 @Johnny • 22 juni 2003 23:33

Ik doe het al jaren op die manier
Bij mij op de zaak staat 1 Internet pc
en die staat los van alle andere computers
Er zit een zip drive en een brander in om data over te dragen .

In het begin Klaagden de tekenaars .
Nu zijn ze dol gelukkig.
Omdat ze nog nooit problemen hebben gehad en tekenaars op andere bedrijven wel .
Maarja voor een systeem beheerder is het wel eens moeilijk en is het vechten tegen de bierkay .

Anoniem: 82774 @Anoniem: 21352 • 22 juni 2003 23:54

Wat een ouderwetse manier van werken

Kan je je werknemers niet eens hun email op hun eigen pc laten checken. Lijkt me ook zeer tijdrovend, telkens iets moet worden opgezocht naar een ander station rennen

Lijkt me eerder dat je bang bent een goed beveiligings beleid uit te dokteren. Met een beetje deftig policy heb je ook weinig problemen maar je moet het aandurven hé

Anoniem: 21352 @Anoniem: 82774 • 23 juni 2003 00:22

Dan moet je ook mensen hebben die zich aan de regels houden .
En als er maar een paar E-mails per dag komen !
Dit is gewoon de beste manier .
Dat Kan je niet ontkennen !

Btw wij werken voor beurs genoteerde bedrijven
En daar gaat het dus steeds mis he !
Daar durven ze het wel aan .
En draaien ze op hetzelfde netwerk Exact software
En krijgen dan een paar maanden te laat ! te horen dan de database Engine van microsoft lek is
Nee das wel leuk zeker

Neelix @Anoniem: 82774 • 23 juni 2003 09:11

Eh ja, dat kan ik wel ontkennen.

Het is namelijk onderzocht dat werknemers die niet voor hun eigen doeleinden konden internetten minder productief waren en vaker thuis zaten.

Als ze dan iets moesten regelen met de bank, verzekering of met een of andere winkel, moesten ze daar een hele dag voor vrij nemen in plaats van een half uurtje op het werk.

(Enneh, Torch, die enter knop van jou is vast heel erg versleten of niet ? (Oftewel, er staan heel wat overbodige returns in je post.))

Anoniem: 10476 @Anoniem: 82774 • 23 juni 2003 00:24

Echt niet ouderwets, je wil niet weten hoeveel netwerken er fysiek gescheiden worden gehouden binnen bedrijven ed. om beveiligingsredenen.
Het is de enige manier om echt 100% zekerheid te hebben.

CumpsD @Anoniem: 82774 • 23 juni 2003 01:29

En dit lijkt wel een reclamespotje !
Dat Kan je niet ontkennen !

Dat het de veiligste manier is tot daaraantoe, maar of het de meest praktische is voor je werknemers? Straks hebben ze file aan de internet pcs

scsirob @Anoniem: 82774 • 23 juni 2003 07:29

De meeste tekenaars krijgen hun opdrachten van de werkvoorbereider, niet rechtstreeks van klanten. Er is dan ook weinig reden om ze een e-mail adres te geven. Kost alleen maar tijd en geld.

Voor de gemiddelde tweaker is een leven zonder e-mail ondenkbaar, maar er zijn nog zat beroepsgroepen die er helemaal geen nut van hebben.

MaDMaRTiGaN648 @Anoniem: 82774 • 23 juni 2003 10:51

Wel leuk dat je bij een zwaar beveiligde instelling als een bank wel internet op de werkplek hebt... Een en ander uiteraard wel via firewalls en proxy's maar niks gescheiden hoor!

Anoniem: 87277 @Anoniem: 82774 • 23 juni 2003 16:53

Reactie op neelix

Tuurlijk dus mensen die op hun werk niet internetten zijn minder productief als mensen die wel internetten .

Geef jij maar een url WAAR IK DAT KAN VINDEN ?

MisterBlue @Anoniem: 21352 • 23 juni 2003 07:35

Het probleem dat je met deze methode de hals haalt is dat je ook het overdrachtsmedium moet beveiligen als je het goed wilt doen.
Rondslingerende zip disk en cd-roms willen wel eens bedrijfsgevoelige informatie bevatten.
Deze zijn een stuk moeilijker te beheren dan een centraal netwerk.

Anoniem: 59419 @MisterBlue • 23 juni 2003 08:44

Het enige wat je op die manier binnenhaalt, zijn virussen. Hackers hebben geen kans bij zo'n configuratie.

Ik vraag me wel af in hoeverre het gemis van het internet geen probleem is. Natuurlijk hebben ze een aparte machine, maar daar moeten ze wel naartoe lopen (moeite, niet te onderschatten). Ik kan me voorstellen dat een tekenaar informatie van het internet wil plukken om te verwerken.

Bovendien missen ze persoonlijke e-mail (ik bedoel dan niet zo'n hotmailaccountje, maar een account dat in een fatsoenlijke mailclient geopend kan worden), en dat lijkt me het meest vervelend

MisterBlue @MisterBlue • 23 juni 2003 13:13

Externe hackers hebben minder kans, maar intussen weten we dat de meeste beveiligings overtredingen van binnenuit door eigen personeel wordt gepleegd.

MaxxBass @Johnny • 23 juni 2003 15:52

Wel veilig, maar ook behoorlijk achterhaald...
Met een beetje firewall, en goede anti-virus software kom je al een heel eind. E-mail per gebruiker is toch haast niet meer weg te denken...

stilstaan is achteruit gaan... :-)

Biermeester @Johnny • 22 juni 2003 23:11

Het veiligst is: geen netwerk en met je diskette heen en weer rennen.

Lord_Gaav @Biermeester • 23 juni 2003 00:11

of met die nieuwe LaCie van 200 Gb

gluip 22 juni 2003 23:43

Ik moet zeggen dat de gedachten gang achter het verhaal wel redelijk klopt maar dat men niet helemaal door heeft hoe het zit.
Enerzijds willen ze het traditionele verschil aanduiden tussen een Personal firewall en een firewall. Maar toch er achter komen dat dit niet helemaal bestand is tegen de rest van het verhaal.

De crux die ze hier proberen aan te geven is het gevaar van 'tunneling'. Tot nu toe hoefde een firewall niet actief aan packet filtering te doen. Het gooide alle pakketen weg op de poorten die niet open stonden of niks verwachte. Nu moet een goede firewall kijken of er in een bericht niet iets zit wat gevaarlijk kan zijn. Dit verklaart het statement dat men op applicatie niveau moet filteren.

Anoniem: 34782 22 juni 2003 23:25

"vroeger" had je 2 firewalls. Je had Checkpoint Firewall en je had Raptor Firewall. Raptor is overgenomen door Symantec en sindsdien heeft geen HOND dat product meer gekocht. Symantec wil gewoon weer even laten horen dat ze ook nog firewalls verkopen en hoopt op deze manier de mensen die nu voor bijv next generation (checkpoint) willen kiezen te laten twijfelen, hopelijk lang genoeg om Symantec de boel op orde te krijgen.

Bor Coördinator Frontpage Admins / FP Powermod @Anoniem: 34782 • 23 juni 2003 11:01

"vroeger" had je 2 firewalls. Je had Checkpoint Firewall en je had Raptor Firewall.

Niet geheel waar. De strijd gaat al sinds jaar en dag tussen de twee marktleiders op dit gebied, namelijk CheckPoint met Firewall-1 / VPN-1 en Cisco met de PIX serie . Dat zijn de grote spelers al sinds lange tijd. Veel bedrijven kiezen dan ook een van deze twee als er budget genoeg is want ze zijn wel een stukje duurder dan de concurrentie vaak.

Anoniem: 33358 22 juni 2003 22:50

Het beste is omgewoon een eigen firewall te maken, gewoon een machine neer zetten Unix erop draaien wat proggen.. werkt veel beter dan die pre-software troep/./.

Anoniem: 21156 @Anoniem: 33358 • 22 juni 2003 22:56

Dan veronderstel je wel dat je eigen gemaakte firewall 'correct' is (wie weet zit er toch een bug in iptables, bijvoorbeeld?). En hoe kom je dat te weten? Als het te laat is, inderdaad! Want jij bent de enigse die de firewall gebruikt, dus niemand kan je op eventuele bugs/fouten wijzen. (vergelijk het met het vrijgeven van beta's, alvorens een bepaald stukje software stable verklaard wordt)

En daarbij, zulke dingen zijn nu eenmaal veel duurder (bijvoorbeeld meer personeel met de nodige kennis) en complexer dan een kant en klaar software programma.

Anoniem: 77853 @Anoniem: 21156 • 22 juni 2003 22:59

de kans dat iemand een bug vind in zelfgeschreven/zelfaangepaste software is aanzienlijk kleiner dan bij gebruik van een standaardpakket, dat bedoelde ik.

maar je hebt gelijk, er zou een bug in iptables of ipchains kunnen zitten.

Anoniem: 21156 @Anoniem: 77853 • 22 juni 2003 23:05

Dat denk ik dus niet. Ik denk eerder: de hoeveelheid bugs in een eigen gemaakte firewall is waarschijnlijk kleiner (zelf gemaakt dus concreet op eigen netwerk toegespitst, alleen het nodige heb je ingebouwd, geen tegenstrijdige elementen, ..), maar de kans dat een bug gevonden wordt in jouw firewall ipv. die van een software pakket is kleiner, omdat zo'n software pakket nu eenmaal door meerdere personen gebruikt wordt?

Vandaar dat ik die vergelijking geef: dat is toch de reden waarom beta's uitgebracht worden, omdat het door zoveel mogelijk mensen zou getest worden. Iemand met programmeer-ervaring weet maar al te goed dat je een eigen gemaakt programma 100x zelf mag testen, dat je geen bugs vindt, maar van zodra je het released, andere gebruikers fouten vinden waar jij nooit aan gedacht zou hebben.

Disciplus-Simplex @Anoniem: 33358 • 22 juni 2003 22:59

Een eigen firewall maken??
Gewoon een machine neerzetten??
Wat proggen??

Tja, als je zo over firewalls denkt dan kun jij beter geen netwerk gaan beveiligen of bedoel je zelf een script schrijven voor IP-tables oid? Als je dat bedoelt druk je je wat moeilijk uit maar je kan altijd je post nog editten natuurlijk.

Anoniem: 77853 @Disciplus-Simplex • 22 juni 2003 23:07

een vriend van me [ok ok ik geef toe dat deed ik niet zelf] heeft zelf een linux kernel op een floppy gepropt als firewall. dat mag wel zelf proggen heten, toch? maar een floppywall van het net doet het ook prima hoor.

en liever dat mensen zo'n ding wel gebruiken dan dat ze hun w2k/xp/9x bak(ken) direct aan het netwerk hangen. bovendien is een ouwe 486 goedkoper dan een kabelrouter.

maar je hebt gelijk, het nieuwsartikel gaat over beveiliging op applicatieniveau en dat is een heel ander verhaal. hoewel imho de 'human factor' het belangrijkst blijft. je kunt dichtimmeren wat je wilt, als mensen kunnen surfen of mailen kunnen ze enge dingen binnen je netwerk halen. dus staar je niet blind op firewalls zou ik zeggen, maar trek eens een gezellig middagje instructie 'veilig websurfen' uit voor je werknemers, en dat wordt vaak vergeten.

gluip @Anoniem: 77853 • 22 juni 2003 23:29

Heet die firewall niet toevallig Tiny ??????

is gewoon te downloaden op het net

cybermans @Anoniem: 33358 • 22 juni 2003 23:50

alleen heb je dan geen support van een bedrijf en dat is erg belangrijk in de zakelijke wereld. Ik weet uit eigen ervaring dat sommige bedrijven anti hack verzekeringen afsluiten en die verzekeringen accepteren echt geen home made iptables script.

Anoniem: 77853 @Anoniem: 33358 • 22 juni 2003 22:54

precies, maar dan moet je wel weten wat je doet.

niks beter dan een home-build floppy wall. niks te externe configuratie - wilt je configureren - haal de flop er maar uit en edit de conf file

maar fire wall of niet, enige echt veilige oplossing is _geen_ netwerk. bij standaard netwerktoepassingen blijf je altijd afhankelijk van anderen.

Anoniem: 6894 @Anoniem: 77853 • 22 juni 2003 22:56

Inderdaad, het is net zolang veilig totdat iemand weer een lek vindt.

De optie Unix is denk ik niet voor alle bedrijven geschikt, daar ze niet altijd de machines, nog de kennis hebben om zo'n ding in te richten.

Feit blijft dat er voldoende alternatieven zijn.

sPENKMAN 22 juni 2003 23:51

ach er zijn ondertussen zoveel firewalls, mcafee, norton, zonealarm en diegene die ik gebruik; kerio personal firewall (welke me uitstekend bevalt om zijn simpelheid en qualiteit)

Alle firewalls doen het goed mits ze goed zijn ingestelt naar mijn idee, ik zou echt zo niet kunnen zeggen welke beter is

(nee idd ik heb de berichten verder niet gelezen

)

Anoniem: 82774 @sPENKMAN • 22 juni 2003 23:59

Jij beoordeeld firewalls op hoe ze "schijnbaar" werken. In realiteit valt een firewall maar op KWaliteit te beoordelen aan de hoeveelheid bugs die er al dan niet inzitten. Je Kerio kan wel zeggen dat alles toe zit maar als er één of andere bug in zit en iemand gebruikt de juiste exploit ben je er vet mee en je zal het niet weten

SambalBij @sPENKMAN • 23 juni 2003 09:48

De pakketten die jij nu noemt zou ik nauwelijks firewall durven noemen

Hoewel die programma's prima zijn voor het beveiligen van één pc die direct aan het internet hangt, zijn ze niet geschikt voor het beveiligen van een heel netwerk.
Je gaat dan toch eerder denken aan Checkpoint FW-1, Cisco PIX, Cisco IOS (met fw/ids feature pack) enzo

Anoniem: 87135 22 juni 2003 22:37

Jaja... alles veranderd... hackers komen altijd langs die firewall... is het niet meteen dan wel iest later... leuk dat die gasten het eindelijk beginnen te begrijpen

Jeronim0 @Anoniem: 87135 • 22 juni 2003 22:51

Ja ach, net als met een slot op je fiets, je vertraagd de boel alleen, helemaal tegenhouden doe je het toch niet. Grootste gevaar voor een firewall is toch altijd de onervaren (wan)gebruiker: als je een firewall slecht/verkeerd configureerd maakt het niet veel uit welke firewall je gebruikt.

Bor Coördinator Frontpage Admins / FP Powermod @Jeronim0 • 23 juni 2003 14:39

Ja ach, net als met een slot op je fiets, je vertraagd de boel alleen

Dat is ook niet het enige dat belangrijk is. De nieuwe generatie firwalls bezitten vrijwel allemaal een vorm van Intrusion Detection. Hiernaast heb je natuurlijk de normale firewall logging. Het gaat er dus ook om dat je detecteerd dat er iets aan de gang is (of was) wat niet in de haak zit. Domweg een firewall installeren en denken dat je veilig bent / blijft is gewoon dom. Een firewall heeft actief beheer nodig en het is zekers nodig de logging goed te analyseren. Helaas ontbreekt bij de meeste mensen de kennis op dit vlak.

KatirZan @Jeronim0 • 23 juni 2003 10:17

Helemaal mee eens, maar toch nog 1 punt...

Hackers gebruiken zogenaamde trojan's om door firewalls heen te komen (firewall crash, burn, die)
1 reboot van de pc en de firewall start niet meer op.

Sommige mensen denken dus nu, nou dan installeer ik een anti-virus proggie, dat werkt die trojan weg.

Weer fout, deze zelfde trojan werkt av proggies dus ook weg.

Wat heeft dan het nut om een firewall te nemen is mijn vraag

bitflusher @Jeronim0 • 22 juni 2003 22:56

(wan)gebruiker

die kun je heel erg dubbelzinnig opvatten!

1. wangebruik teveel gaten prikken in je firewall omdat er anders niet genoeg onzin door heen kan.

2. vpn gebruiker die via internet (een wan) in kan loggen op het bedrijfsnetwerk en dat doet op een onbeveiligd werkstation (liefst zelfs zonder virus scanner)

Anoniem: 6894 @Jeronim0 • 22 juni 2003 23:00

Grootste gevaar voor een firewall is toch altijd de onervaren (wan)gebruiker: als je een firewall slecht/verkeerd configureerd maakt het niet veel uit welke firewall je gebruikt.

Imho is dat de verantwoordelijkheid van bedrijf EN producent van de firewall om een custom-made firewall te fabrieken die voldoet aan de eisen van de klant. Kost wat meer, maar je bent dat wel wat zekerder van je zaak.

gluip @Anoniem: 87135 • 22 juni 2003 23:27

Dat is een gemakkelijke en gangbare mening.

Er zijn mogelijkheden die het penetreren in je netwerk zo reduceren dat je makkelijker fysiek bij de machine kan komen.

Een voorbeeld ervan is alles blokken op zo'n laag mogelijk niveau (ARP) [en misschien wel zo min mogelijk op reageren op RARP-req, opereren om zo onzichtbaar mogelijk te zijn>. En alleen de communicatie toelaten van een address waar je zelf een request heen hebt gestuurd.

Dit heeft als nadeel dat als een site op meerdere servers (ip addressen) wordt gehost dat je alles wel moet configureren. Maar attacks out of the blue kunnen niet meer.
(overigens ik weet niet of dit voor win32 omgevingen geld, lijkt me wel dat je een driver hiervoor vrij gemakkelijk kan schrijven)

Anoniem: 22225 22 juni 2003 22:55

is er eigenlijk een win32 tegenhanger van iptables? Dus zo uitgebreid en waar je zo nauwkeurig kan definieren?

Anoniem: 77853 @Anoniem: 22225 • 22 juni 2003 22:56

nee, de nt-kernel laat dat niet toe. je bent afhankelijk van wat microsoft doet, wat dat betreft is het dus al een hele vorouitgang dat ze in XP een firewall hebben ingebouwd.
alles wat je buiten de kernel om doet is mosterd na de maaltijd.

HermeS @Anoniem: 77853 • 23 juni 2003 09:33

De tcp/ip stack die MS heeft geimplanteerd vanaf win2000 ondersteunt IPSEC. Waarmee je dus een leuk alternatief hebt voor iptables onder linux, echter minder functies.

zie: http://www.securityfocus.com/infocus/1559

Alles is ook tescripten uiterraad. met het programma ipsecpol.exe (resourcekit)

Redje @HermeS • 23 juni 2003 09:42

Iptables is een packet filter, IPSEC is een VPN.
Ik zie het verband niet helemaal

/edit
Even het artikeltje bekeken, maar idd kan je de IPSEC functie gebruiken als firewall. Was origineel bedoeld om VPNs op te zetten... handig zo'n naam

Anoniem: 21352 @Anoniem: 77853 • 22 juni 2003 23:24

Die in XP is ook niet goed !
Ik gebruik die gratis firewall van Sygate .
bevalt erg goed

Kan ook een backtrace doen als je computer gescant word .

http://smb.sygate.com/download/download.php?pid=spf

oja en je kan er ook je firewall testen

http://scan.sygate.com/

Anoniem: 82774 @Anoniem: 21352 • 22 juni 2003 23:56

Dat spul stuit de helft van de keren op de eerste beste proxy. Dat soort online scans is volgens mij geen zak waard.

arnob @Anoniem: 22225 • 23 juni 2003 02:11

Op windows 2000 (server) en windows 2003 heb je ook een kernel niveau filter. Niet uitgebreid maar poorten filteren met source/destination rules kan die wel.
Routing and Remote Access heet het. Daarmee regel je ook NAT, port forwarding en VPN. Command line is het netsh.exe.

Op dit item kan niet meer gereageerd worden.

Beste firewalls voor grote en kleine bedrijven

Lees meer

Reacties (71)

Sorteer op:

Weergave: