Archief - De topics van lang geleden

Hardware firewalls zijn veiliger dan software firewalls

21-03-2006, 09:43 door Redactie, 42 reacties

Gebruikers die hun netwerk of PC willen beschermen met een firewall hebben de keuze uit twee opties, een softwarematige of hardwarematige firewall. De meeste doorsnee gebruikers die een firewall kiezen, kiezen voor een software firewall. Of het nu de standaard Windows XP firewall is of een gratis versie van Zone Alarm.

Het is echter de vraag hoe veilig software firewalls zijn. In 2004 werden meer dan 50.000 computers door de Witty worm getroffen. De worm wist zich te verspreiden via een lek in de BlackICE firewall. Een trend die we volgens de experts steeds vaker zullen zien. Er worden met grote regelmaat lekken in beveiligingssoftware gevonden, waaronder ook in personal firewalls. Het zou slechts een kwestie van tijd zijn voordat computercriminelen hier misbruik van gaan maken.

Nu zijn hardware firewalls ook niet onkwetsbaar, toch is het aantal problemen hiermee een stuk kleiner. Onze stelling luidt derhalve: Hardware firewalls zijn veiliger dan software firewalls

Reacties (42)
21-03-2006, 09:54 door Anoniem
definieer "hardware"
21-03-2006, 10:00 door Anoniem
Mee oneens, om het simpele feit dat zowel hardware als
software door mensenhanden wordt gefabriceerd, en derhalve
ook beide fouten kan bevatten...

Was het niet laatst Cisco die een probleempje had?


Firmwares van firewalls kunnen net zo goed lek zijn....

Toegeven, de meeste hardwarematige oplossingen zijn een stuk
sterker opgezet, dan de software-varianten...

De firewall is zo sterk als de zwakste schakel: de persoon
die 'm instelt dus!
21-03-2006, 10:11 door [Account Verwijderd]
[Verwijderd]
21-03-2006, 10:14 door bustersnyvel
Veel van de hardware-filewalls draaien gewoon Linux. Ook in een
chip gegoten firmware is in een programmeertaal geschreven, net
zoals software. Hoezo is dat veiliger dan een zelfgemaakte Linux
firewall?

Doorgaans gaan de vergelijkingen tussen software- en
hardware-firewalls over het draaien van een firewall op een
dedicated machine versus op de te beschermen machine.
Natuurlijk is dat eerste veiliger dan het tweede.
21-03-2006, 10:16 door bustersnyvel
Ik denk nog steeds dat software firewalls een groot
voordeel hebben, namelijk om per aplicatie toegang toe te
kennen.

Bedankt voor het benadrukken van mijn punt. Per applicatie
afschermen gaat alleen op de te beveiligen computer. Dat is niet
een kwestie van hardware vs software, maar dedicated vs op de
te beschermen computer.

Laten we met z'n allen de juiste bewoordingen gebruiken, dan
begrijpen we elkaar teminste...
21-03-2006, 10:17 door Anoniem
Door Hyper
Ik denk nog steeds dat software firewalls een groot voordeel
hebben, namelijk om per aplicatie toegang toe te kennen.
Hardware firewalls zijn daarin veel beperkter en kunnen
enkel op IP, en poort niveau filteren.

Er zijn inmiddels ook wel geavanceerde 'intrusion
prevention' firewalls beschikbaar zoals Proventia, maar
vanwege het prijskaartje zijn die slechts voor een kleine
groep vooral zakelijke gebruikers weggelegd.

Voor consumenten is de beste beveiliging om zowel een
netrouter te gebruiken (Met UPnP UIT) en daarnaast een
personal firewall zoals ZoneAlarm om te voorkomen dat
ongewenste software zoals een trojaans paard naar huis kan
'bellen'.

SW en HW firewalls zijn essentieel verschillend en opereren op
verschillende lagen van het OSI model en bieden protectie op van elkaar
verschillende bedreigingen. De protectie van de een is op een aantal
vlakken aanvullend op de ander. Wil je het goed doen, kun je dus het beste
een combinatie van beiden gebruiken.
21-03-2006, 10:18 door Anoniem
Een hardware firewall zit op de perimeter, een software firewall op de host.
Hoe kun je dat nu met elkaar vergelijken? De één beschermt een heel
netwerk, de ander slechts één PC. Een onmogelijke stelling.
21-03-2006, 10:18 door Anoniem
Antwoord is JA. Zodra je de firewall op het systeem ZELF pas draait, is
de 'rommel' al op je #1 LOKALE netwerk #2 OP het systeem. Verder is nu
juist die 'software' firewall noodzakelijk omdat het Operating system waar
het op draait zo brak is dat het afzonderlijke bescherming nodig heeft. Je
nodigt inbrekers toch ook niet uit tot de woonkamer, om vervolgens te
zeggen "maar je mag niet de TV meenemen hoor!". Nee, inbrekers hou je
buiten de deur, zodat ze al niet eens IN je huis komen. Hardware firewalls
zijn over het algemeen gehardende Operating systemen, specifiek
ontworpen voor hun taak. Er draaien dus ook geen onnodige services op
en hebben vaak niet eens de mogelijkheid om malware te ondersteunen.
Dus JA, voorkomen is beter dan prutsen.
21-03-2006, 10:22 door Anoniem
Het PER APPLICATIE moeten afschermen, betekent eigenlijk dat je je
eigen software niet kunt vertrouwen. Ben je bang dat Nero, Newsbin Pro
enz naar huis belt om te vertellen dat je een illegal key gebruikt? Of dat
Windows "this is done without sending any information to Microsoft" naar
huis belt dat je de Genuine Software Advantage meuk om zeep geholpen
hebt met je net corporate edition? Tja, Windows draaien met uitsluitend
LEGAAL en/of aangeschafte software is een stuk minder leuk ineens he.
21-03-2006, 10:30 door Anoniem
Beveiliging staat uit lagen dus waarom deze stelling.

We hebben het allemaal nodig.
21-03-2006, 10:53 door gmlk
IMHO hebben dedicated firewalls ("hardware") en local-firewalls elk hun
eigen functie, er is daarom ook niet echt een keuze: Je hebt vaak beide
nodig.

Bijvoorbeeld: Een dedicated transparent bridging firewall is niet op in te
breken (heeft immers niet eens een ip adress) en aangezien er ook geen
users op werken kan er ook niets per ongeluk op worden gezet. De enige
factor is dan menselijke falen of moedwillig opzet van iemand die fysiek
toegang heeft tot de hardware.

Aan de andere kant is het beheer er van veel ingewikkelder en kan het geen
gebruik maken van applicatie level informatie (die is er gewoon niet).

Daarbij komt nog dat steeds meer mensen gaan werken op notebooks.
Samen met WiFi krijg krijg je zo weer een hele nieuwe situatie: Die notebook
zit niet altijd op het zelfde netwerk en je kunt als gebruiker van de notebook
er niet op vertrouwen dat het netwerk trusted is. Ook kun je als netwerk
beheerder er niet op vertrouwen dat elke (mobile) host binnen jouw netwerk
trusted is. Daarom moet elke host binnen een trusted netwerk toch ook intern
beveiligd worden. Op die manier vullen deze twee technologieën elkaar dus mooi aan.
21-03-2006, 11:29 door Anoniem
Notebooks horen per definitie niet in 'het' netwerk thuis. Notebooks zijn
analoog aan huisdieren van de straat. Je weet nooit wat ze mee terug
nemen. In het minste geval, vlooien, een dood vogeltje/poesje, in een
minder gunstig geval H8N1. Notebooks horen dan ook in een DMZ waarbij
ze alleen maar na een volledige checkup (malwarescan, patch-update
scan etc) via specifiek toegelaten protocollen het netwerk op mogen.
Nodes op het netwerk dienen van zodanige aard te zijn dat zij geen risico
kunnen vormen voor andere systemen op het netwerk. Doen ze dat wel,
horen ze niet op het netwerk thuis maar achter 'echte' firewalls, IPSen,
viruswalls enz. Met andere woorden, zodra een software matige
('personal') firewall nut heeft, heb je je netwerk/PC niet goed in elkaar zitten.
21-03-2006, 12:21 door SirDice
Jongens wat staat hier weer een hoop onzin..

Laten we eerlijk wezen.. Er is eigenlijk geen onderscheid
tussen een "hardware" en een "software" firewall.. Een
"hardware" firewall is feitelijk niets anders dan een
dedicated 'computer' met speciale software.. Deze software
kan, net als alle andere software, fouten bevatten..

Trek maar eens een willekeurige Cisco PIX open.. Daar zit
gewoon een Intel/AMD processor in met ROM/RAM/NVRAM en wat
netwerkinterfaces.. Ik ben ergens een keer een link tegen
gekomen waar uitgelegd werd hoe je Cisco PIX software op een
PC kon draaien.. Dat moest dan wel op bepaalde mainboards en
met bepaalde netwerkkaarten gebeuren maar het werkt wel..

Een betere vergelijking is denk ik: stand-alone firewalls
vs. Personal firewalls...

Door Anoniem
SW en HW firewalls zijn essentieel verschillend en opereren
op verschillende lagen van het OSI model en bieden protectie
op van elkaar verschillende bedreigingen.
Onderscheid SW/HW heeft helemaal niets met verschillende
lagen van het OSI model te maken. Kijk maar eens wat een
'hardware' firewall zoals Nokia/Checkpoint doet op laag 7..

Dat firewalls tegenwoordig meer doen dan alleen laag 3/4
heeft te maken met de vraag van de markt.. Men wil 1
apparaat waarmee alles kan.. Da's goedkoper in onderhoud en
beheer..


Off-Topic:
Door Anoniem
in een minder gunstig geval H8N1.
Ehhmmm.. Het is H5N1 hoor... Misschien in de war met 8n1 als in 8 bit, no parity, 1 stop bit?
21-03-2006, 12:49 door pipo
Los van de discussie of een hardware firewall beter is dan
een software firewall (of andersom), beter is een relatief
begrip.

Wat ernstiger is, is dat een firewall veelal een vals gevoel
van veiligheid schept wat leidt tot nauwelijks of geen
aandacht voor andere lagen van beveiliging.

De meest gehoorde zin van de afgelopen jaren, daar waar het
gaat om IT beveiliging is dan ook, ''maar we hebben toch al
een firewall?''

Om dan terug te komen op wat ''beter'' is; kijk naar je
organisatie en wat je daarbinnen wilt beschermen. Dat zal je
veelal iets vertellen over de uiteindelijke oplossing. En of
die oplossing dan software of hardware is, is mijn inziens
om het even.
21-03-2006, 13:21 door Anoniem
Eens met SirDice: het is beter het verschil tussen netwerk
firewalls en personal firewalls te bekijken aangezien er in
realiteit qua functionaliteit geen wezenlijk verschil tussen
software en hardware firewalls.

Dit omdat het in alle gevallen een packet filter
implementeert, die een mix is tussen hardware en code. De
software kan opgeslagen worden op een EPROM chip die is
verwerkt in een mooi doosje waar een reeks kleine
connectoren uitsteekt, maar de hardware zal niet werken
indien er geen software is om ze te laten draaien.

Qua performatie kan er soms wel een verschil gemaakt worden
met een embedded device gebouwd voor dedicated netwerk
doeleinden omdat men de hardware zal optimaliseren voor de
specifieke functionaliteiten die het device moet leveren.

IMHO zijn qua security de hardware firewalls niet veiliger
en stabieler (logica op de ASIC waardoor het moeilijker is
voor een indringer om het basissysteem te wijzigen) want via
securelevels en immutable files (bsd) kan je een
gelijkaardig resultaat bekomen.
21-03-2006, 13:42 door Anoniem
En wat draait er op die hardware firewalls:......................Software
misschien?
21-03-2006, 13:59 door Anoniem
ja ik snap het ook niet zo goed, gaat het dan om een black
box achtig systeem of gewoon een losse machine die verder
niets doet (en die dan ook gewoon linux of bsd kan draaien)
21-03-2006, 14:03 door SirDice
Door pipo
Wat ernstiger is, is dat een firewall veelal een vals gevoel
van veiligheid schept wat leidt tot nauwelijks of geen
aandacht voor andere lagen van beveiliging.

De meest gehoorde zin van de afgelopen jaren, daar waar het
gaat om IT beveiliging is dan ook, ''maar we hebben toch al
een firewall?''
Helemaal mee eens.. Het zal niet de eerste keer zijn dat een
bedrijf gekraakt wordt, die hun webserver netjes met een
firewall hebben beveiligd, omdat ze simpelweg een brakke
webapplicatie draaien..
21-03-2006, 15:01 door Anoniem
Er is geen HARDWARE-firewall bestaat!
Er is altijd software filters die draaien op het staandaard PC of op firewall-
HARWARE.
21-03-2006, 15:28 door Anoniem
Hardware basedFirewalls = dedicated appliance. Software based Firewalls
draaien op een standaard OS (Windows, Linux, BSD, ...). Dedicated
appliances draaien veeal ook op een BSD like OS, gestript en wel...

Hardware based FW draaien op een veelal volledig gestript OS en
getuned voor een specifiek doel: beveiliging! Alle onnodige OS relateerde
zaken zijn verwijderd.
Software based FW daarintegen draaien op en onderliggend OS. Het is
aan de beheerder om dit OS te strippen. Als dit al gedaan wordt heeft
dat meestal niet hetzelfde niveau als hardware based OS.

De stelling heeft niets te maken met het verschil tussen host based
Firewalls of network based Firewalls.

Ik ben het dus eens met de stelling dat hardware based FW's meestal
veiliger zijn dan software based FW's.

Voorbeeld: Checkpoint FW draait zowel als software based Firewall op
bijvoorbeeld SUN Solaris of Linux als dedicated appliance zoals Nokia (IPSO
OS) of Checkpoint appliances op basis van Linux. De Firewall functionaliteit
is hetzelfde, alleen zul je voor software based FW's zelf moeten zorgen
dat het onderliggende OS ook veilig is! Het OS vormt namelijk een extra
risico. Zo waren er in het verleden verschillende security issues voor
checkpoint FW die alleen betrekking hadden op Solaris.
21-03-2006, 15:46 door G-Force
Tja...BlackIce firewall....Had vroeger geen goede reputatie
wegens een kwetsbaarheid in de z.g. leak test. Ze
losten het op door de naam van de applicatie in de firewall
als herkenning te gebruiken in plaats van het dichtgooien
van de kwetsbaarheid.
21-03-2006, 15:49 door Anoniem
Kan iemand me ff uitleggen de definitie van en HW firewall. Waar kan ik die
kopen en wat draait erop??? Software??
21-03-2006, 16:02 door Anoniem
Door Anoniem
Een hardware firewall zit op de perimeter, een software firewall op de host.
Hoe kun je dat nu met elkaar vergelijken? De één beschermt een heel
netwerk, de ander slechts één PC. Een onmogelijke stelling.

Dit is natuurlijk onzin, je kunt natuurlijk ook een SW firewall op basis van
Linux bijvoorbeeld gebruiken om een heel netwerk te beschermen.

Verder zit het grootste verschil idd in de opvatting HW / SW firewall. Een HW
firewall is in princiepe gewoon een software matige oplossing in een leuke
verpakking.
De basis is gelijk, een aantal filters en regels die het verkeer reguleren en
controleren....de een is dus niet per difinitie beter dan de ander.
21-03-2006, 16:12 door Anoniem

Er is geen HARDWARE-firewall bestaat!
Er is altijd software filters die draaien op het staandaard PC of op firewall-
HARWARE.
Leer eerst maar eens Nederlands voordat je een bericht plaatst.

Er bestaan geen hardware-firewalls.
Het zijn altijd software filters die op de standaard PC of op firewall-
HARWARE draaien.

Geen dank..
21-03-2006, 16:23 door SirDice
Hardware based FW draaien op een veelal volledig
gestript OS en
getuned voor een specifiek doel: beveiliging! Alle onnodige
OS relateerde
zaken zijn verwijderd
Opzich wel mee eens... Maar dat gestripte OS wat er op
draait is en blijft toch ook een stuk software.. Zonder
software doet het apparaat toch echt helemaal niets..
De stelling heeft niets te maken met het verschil
tussen host based
Firewalls of network based Firewalls.
Dit vind ik helemaal een rare benaming.. Host based en
network based kan ik me wel iets bij voorstellen maar dan
hebben we het over een IDS. Je zou een IPS wellicht nog als
host-based of network-based kunnen beschouwen maar vind ik
ook geen lekkere benaming..
Wat moet ik me bij host-based firewalls voorstellen?

Voor mij werkt een firewall op laag 3/4 (en eventueel
lager).. Laag 7 filter je middels proxies (al dan niet
in-line).. Aangezien netwerk applicaties op laag 7 werken
filter je die met proxies (content-scanning).. Puur netwerk
verkeer (TCP/IP) filter je met een firewall.. Dat is
misschien een ouderwetse benaming maar is wel duidelijk.. Al
die nieuwe buzzwords zijn leuk voor marketing, echt
duidelijk wordt het er niet van..

Overigens zie je nu wel steeds meer firewalls met
content-scanning.. En proxies met firewall functionaliteit..

Persoonlijk, zeker in grote omgevingen, geef ik nog altijd
de voorkeur aan dedicated apparatuur per functionaliteit
(webproxy, mail proxy, firewalling, content-scanning zoals
virusscanners spamfilters etc), .. Dan kun je altijd de
beste prijs/prestatie verhouding krijgen voor dat wat nodig
is.. Bovendien is het vele malen schaalbaarder.. Het is dan
bijvoorbeeld vrij eenvoudig om er een proxy server of een
extra firewall bij te zetten..Al begrijp ik wel dat een
dergelijke setup voor bijv. SOHO of MKB omgevingen wat
overkill is.. In die gevallen zijn die multi-functionele
dozen (firewall, content-scanning, proxy) weer interessant..
21-03-2006, 16:25 door Anoniem
Dit lijkt me afhankelijk van de firewall software die
gedraaid wordt. Een mogelijk nadeel van een software
firewall is dat deze met een hoop andere applicaties kan
crashen, wat minder voorkomt op dedicated firewall hardware.
21-03-2006, 16:42 door pipo
Door SirDice


Voor mij werkt een firewall op laag 3/4 (en eventueel
lager).. Laag 7 filter je middels proxies (al dan niet
in-line).. Aangezien netwerk applicaties op laag 7 werken
filter je die met proxies (content-scanning).. Puur netwerk
verkeer (TCP/IP) filter je met een firewall.. Dat is
misschien een ouderwetse benaming maar is wel duidelijk.. Al
die nieuwe buzzwords zijn leuk voor marketing, echt
duidelijk wordt het er niet van..


Firewalls kunnen op verschillende lagen van het OSI model
draaien.
Packet filtering is de tradtionele firewall, hier mag je ook
het woord 'router' lezen. Daarnaast zijn er de proxy
firewalls die of circuit based (sessie laag) of application
based (applicatie laag) zijn.

Tot slot is er de statefull firewall die qua functionaliteit
al het traffic in state tables bijhoudt.

Inderdaad, tradtioneel gezien bekijk je het netwerkverkeer
maar met de komst van steeds meer functionaliteit groeit de
behoefte om steeds dieper in een packet te kijken, en steeds
meer naar de details van een packet te kijken.

Dat alle firewalls op software draaien is wel duidelijk,
maar men bedoelt in het artikel 'dedicated' als 'hardware'
aan te duiden.
21-03-2006, 16:53 door Anoniem
Door SirDice
Door Anoniem
in een minder gunstig geval H8N1.
Ehhmmm.. Het is H5N1 hoor... Misschien in de war met 8n1 als in 8
bit, no parity, 1 stop bit?

Ter uwer informatie, H8N1 staat voor familie 8 haemagglutininen en 1
neuraminidase. Het bestaat dus echt en is familie van het influenza virus
voor huisdieren en onder andere eenden.
21-03-2006, 16:56 door SirDice
Ik noem een Cisco PIX een traditionele firewall.. En die kan
toch echt niet routeren..
21-03-2006, 22:03 door Anoniem
Door SirDice
Ik noem een Cisco PIX een traditionele firewall.. En die kan
toch echt niet routeren..

Tegenwoordig wel! Vanaf PIX 7 hoef je niet persee te NATten
22-03-2006, 09:08 door Dalby
naja wat er mee bedoeld? op veel routers zit er tegenwoordig
ook een firewall op

je kan natuurlijk een dedicated checkpoint firewall
gebruiken ook :p
22-03-2006, 14:19 door Anoniem
Een resultaat van deze stelling is dat de termen die gebruikt worden
bijlkbaar op veel verschillende manieren geinterpreteerd worden. Het
gevolg hiervan is dat iedereen langs elkaar heen praat en we niet tot de
kern van het probleem komen. Misschien moeten we als deelnemers aan
de ICT wereld eens proberen gezamenlijk tot een goede oplossing te
komen in plaats van elkaar aan te vallen op definities. Misschien dat we
dan echt iets kunnen beteken op het gebied van informatiebeveiliging en
wie weet wellicht bevalt het wel ;-)
22-03-2006, 17:51 door Anoniem
Waar het hier echt om gaat is of een hardwarematige euhhhhhh
stand alone firewall veiliger is .Ik durf te zeggen van wel
of het nou een linux gestripte oude pc firewall is of de wat
duurdere in de handel verkregen firewalls zijn.
Met een software matige firewall op de client computers ben
je natuurlijk ook afhankelijk van het OS wat lekken kan
bevatten.
Kijk maar naar vooral de adsl modems van tegenwoordig met
ingebouwde firewall werken toch wel aardig.
Plus de helpdesk medewerkers houden ook hun job want de
telefonische ondersteuning neemt ook toe.Want het meeste p2p
software werkt niet meer in de standaart situatie.
23-03-2006, 04:09 door Anoniem
De enige hardware firewall die er is heet ZIJ KNIP TANG, ook geschikte
firewall maar niet specifiek hiervoor bedoeld heet COMBINATIE TANG.

Verder bestaat er geen HARDWARE firewall.

Oh, u bedoelde embedded systems, is dat geen software dan?

En kunnen in software geen lekken zitten?

Vroeger waren er niet-apple gebruikers die wel een apple hadden staan,
omdat er toevallig in een Apple dezelfde motorolla cpu zat als in een
bepaalde Cisco device, was iets makkelijker reverse engineren indien je
een toetsenbord, monitor, harddisk tot je beschikking had.

De enige reden waarom embedded systems minder bekende fouten kent,
is omdat het meer energie en investering kost om die fouten te vinden.

Immers je moet op zijn minst een device tot je beschikking hebben (Nokia
met IPSO -freebsd based- + Checkpoint) toch wel 20.000 euro lichter ben
je dan, en als je dat er voor overhebt zul je waarschijnlijk een corporate
end-user zijn, die geen intelligente mensen in dienst heeft die
toestemming hebben om hun lusten te botvieren op zo een device.

Overigens snap ik niet dat we het nog over firewalls hebben, wie wil
immers packetsfilteren ? Je wil toch gewoon je content op je systemen
veiligstellen en beschikbaar houden.

Ik stel voor dat we firewalls dood verklaren en net zoals een grote
onderneming onlangs, alle firewalls weghalen en zorgen dat onze content
op onze pc veilig is en blijft.
23-03-2006, 21:10 door Anoniem
Door Anoniem
Dit lijkt me afhankelijk van de firewall software die
gedraaid wordt. Een mogelijk nadeel van een software
firewall is dat deze met een hoop andere applicaties kan
crashen, wat minder voorkomt op dedicated firewall hardware.
Hardware of software, ik denk dat de definitie firewall al een moeilijk begrip
is. Ik zie steeds meer dat de pc van de gebruiker de eeste lijn van defense
zal vormen (dus soft en hardware). Maar dan wel graag zonder
userinterventie Er zijn partijen in de markt de hier een goede oplossingen
voor hebben. Bijvoorbeeld Trustconnector van Phoenix technologies, of de
NAC's en NAPs van deze wereld. Total control op het endpoint zal zeker de
toekomst hebben.
26-03-2006, 01:14 door spatieman
klinkt zo mooi, HARDWARE firewall :) ,te bedenken, dat het
de software is die in de hardware draait die het vuile werk
mag doen, de hardware lijkt in mijn ogen niet meer als stuk
hardware met cpu en ram en wat randonderdelen :/
29-03-2006, 05:14 door Anoniem
nogmaals wil je packets beschermen of wil je content beschermen?

Geen enkele firewall houd huidige bedreiging tegen.
29-03-2006, 15:37 door Anoniem
er is maar een echte hardware firewall: pak een schaar een
breng twintig centimeter lucht aan in de kabel(s) naar
buiten toe. Gegarandeerd veilig.
30-03-2006, 11:49 door SirDice
Door Anoniem
Immers je moet op zijn minst een device tot je beschikking hebben (Nokia
met IPSO -freebsd based- + Checkpoint) toch wel 20.000 euro lichter ben
je dan,
Wel eens een IP40 gezien? Die is niet zo duur hoor..

http://europe.nokia.com/nokia/0,0,76748,0.html
01-04-2006, 01:03 door Anoniem
Hardware firewalls zijn net als bv uw televisie 'domme'
devices die alleen dankzij op (EEP)ROM geplette software
functioneren. Dus hardware firewalls zijn ook
software-firewalls.

Ik ken geen hardware firewalls die ook packet-filtering
bieden, ze werken uitsluitend op de netwerk-layers de
passerende data. Software-firewalls (niet alle) kunnen ook
packetfiltering op application-layer bieden. Daarnaast kent
een goed software-firewall-product doorgaans meer en
geavanceerdere instellingsmogelijkheden.

Helaas is het correct instellen van een firewall geen
kinderspel.

In het voordeel van hardware-firewalls kan gezegd worden dat
ze niet gehinderd worden door (interactie met) andere
software, geen last hebben van OS-crashes en veelal een vrij
eenvoudige user-interface hebben waardoor ze misschien vaker
correct worden gebruikt.

Voor mij is de "ideale" firewall toch een aparte pc, (hier
een oud 386 bakkie met 64mb RAM, zonder harddisk, met daarop
een custom uitgeklede *nix kernel en iptables met drie
netwerkkaarten. Een voor de link naar internet, een voor het
locale netwerk en een voor de DMZ, met daarin de
'gevaarlijke' toepassingen als ftp-, mail-, dns- en webservers.

Mits met beleid geconfigureerd, met goede logging (vooral
ook niet teveel) en beheerd door iemand die zijn leeswerk op
dit gebied bijhoudt en patches/modificaties tijdig
implementeert lijkt me iets dergelijks te verkiezen boven
een black box-oplossing.

Maar zoals altijd: de zwakste schakel bepaalt de sterkte van
de hele keten. Een state-of-the-art firewall als bescherming
om een netwerk met Windows en Internet explorer clients
zonder verdere maatregelen op applicatie-niveau is vrijwel
nutteloos.

Overigens, voor windows-gebaseerde stand-alone firewalls zou
ik nog steeds voor Firewall-1 kiezen. Gezien het OS niet
mijn keuze, maar qua firewall nog altijd een topper. Niet
goedkoop helaas.

Wie zelf zijn firewall wil configureren, er zijn legio
webpagina's beschikbaar met zeer bruikbare tips en
handleidingen.

Wie zijn veiligheid op het net wil testen, er zijn ook
verschillende pagina's die een controle-service bieden. De
veel geprezen site http://www.grc.com zou ik daarbij
schrappen uit uw favorieten, meneer Gibson zijn site staat
bol van de marketing-crap en onzin, een doorn in het oog van
veel security-aware IT'ers.

Reacties welkom. tk apestaart westerterp punt com
03-04-2006, 13:49 door SirDice
Ik ken geen hardware firewalls die ook packet-filtering bieden, ze werken uitsluitend op de netwerk-layers de passerende data. Software-firewalls (niet alle) kunnen ook packetfiltering op application-layer bieden. Daarnaast kent een goed software-firewall-product doorgaans meer en geavanceerdere instellingsmogelijkheden.
Volgens mij snap jij niet wat packet-filtering precies is.. Packet-filtering op applicatie niveau?!? Op netwerk layer niveau werken en niet kunnen packet-filteren?!?!?
Packet-filtering werkt juist op laag 3/4 (en soms op 2), ergo de network layer.. De application layer zit op laag 7...
15-08-2006, 18:14 door Anoniem
Door Anoniem
Het PER APPLICATIE moeten afschermen, betekent eigenlijk dat je je
eigen software niet kunt vertrouwen. Ben je bang dat Nero, Newsbin Pro
enz naar huis belt om te vertellen dat je een illegal key gebruikt? Of dat
Windows "this is done without sending any information to Microsoft" naar
huis belt dat je de Genuine Software Advantage meuk om zeep geholpen
hebt met je net corporate edition? Tja, Windows draaien met uitsluitend
LEGAAL en/of aangeschafte software is een stuk minder leuk ineens he.[/
quote]
Wat een onzin er kan door elke beveiliging wel eens iets doorheen glippen
zelfs met perfecte firewall door middel van besmette floppy dus een call
home beveiliging heeft wel degelijk nut.

Alleen zou niet via SSH met een linux dedicated firewall ook zoiets op een
dedicated firewall computer kunnen????
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.