Hardware of software firewall, welke is beter?
Onbeveiligde Windows machines die aan het internet worden gehangen hebben een levensduur van nog geen 12 minuten voordat ze tot zombie omgetoverd zijn. Het is niet alleen voor bedrijven, maar ook voor thuisgebruikers van groot belang om hun systemen te beschermen. De meeste thuisgebruikers hebben echter niet de financiele middelen om de beste beveiligingsapparatuur aan te schaffen, en menig internetter kiest daarom voor gratis firewall oplossingen.
Het is dan ook de vraag hoe gratis firewalls presteren ten opzichte van dure, complete firewall oplosisngen zoals Cisco PIX. O'Reilly besloot twee gratis firewalls, SmoothWall Express en die van OpenBSD, te vergelijken met een Cisco PIX. De firewalls werden getest op Synflood aanvallen, ping of death, TCP en UDP ping, network sniffers en traceroutes.
De conclusie spreekt eigenlijk voor zich. De Cisco PIX gedroeg zich zoals verwacht en is een uitstekende keuze als de prijs geen bezwaar is. De beste pijs-kwaliteitverhouding wordt geboden door OpenBSD. Als slechtste kwam SmoothWall Express uit de bus. Deze versie van de firewall is niet zo krachtig als de andere twee, maar nog steeds een goede keuze voor thuisgebruikers.
leuke-interface-voor-iptables brouwsel. Niets is zo flexibel
als zelf met iptables wat bouwen, want de genoemde
beperkingen zijn naar mijn mening geen beperkingen van
iptables zelf.
verpakt in een mooi (19") doosje en is de software niet vrijelijk beschikbaar.
Onder de moterkap zijn het gewoon ook x86 computers.
Het verschil tussen "Hardware" en "Software" is voor mij meer in de vorm
van "Dedicated" en "op de client". Daarmee zijn ze beide een laag in mijn
totale defence geworden. Ik wil _en_ een hardware _en_ een software
firewall.
zo gestoord om een firewall in asics uit te voeren, ze
draaien allemaal software. Nokia's hebben bijvoorbeeld een
geharde freebsd aan boord, waar checkpoint op draait.
Checkpoint's splat is een geharde linuxdistributie, en zo
kan ik nog wel even doorgaan.
De veel interessantere vraag is of het zinvol is om een
layer 7 firewall te hebben of dat een layer 3/4 firewall
goed genoeg is.
appliance, software firewall is gewoon een applicatie. Dat overal software
op draait, dat kan een scriptkiddie nog wel verzinnen. Vrij zinloos om dat te
vermelden.
Feit blijft dat een hardware firewall het grote voordeel heeft dat je clients
niet beschermd hoeven te zijn, of in mindere mate.. Onder andere handig
om je 40MB aan patches te downloaden te voordat je Windowsbak
geowned is. En ja, voor de mensen met zo'n klein plassertje dat ze zwarte
kruipende beestjes kunnen pakken, ook appliances draaien software
welke vulnerable is... De afgelopen 3 maanden zijn er immers al 12 lekken
gevonden in ASA en PIX van Cisco. Lekken die er NOOIT in hadden mogen
zitten.
Hardware firewalls bestaan niet. Er is geen enkele fabrikant
zo gestoord om een firewall in asics uit te voeren, ze
draaien allemaal software. Nokia's hebben bijvoorbeeld een
geharde freebsd aan boord, waar checkpoint op draait.
Checkpoint's splat is een geharde linuxdistributie, en zo
kan ik nog wel even doorgaan.
De veel interessantere vraag is of het zinvol is om een
layer 7 firewall te hebben of dat een layer 3/4 firewall
goed genoeg is.
ROM zit en dat je firewall op je pc als software kwetsbaar
is voor "veranderingen".
De meeste huis-tuin-en-keuken-routers komen onder een andere
naam van Cisco en hebben een firewall ingebouwd. Als je er
dan een goede op je pc bovenop zet, ben je wel veilig dacht ik.
Hardware firewalls bestaan niet. Er is geen enkele fabrikant
zo gestoord om een firewall in asics uit te voeren, ze
draaien allemaal software.
Ze draaien misschien allemaal software, maar aparaten als
foundry / cisco / juniper en fortinet hebben allen een
mogelijkheid voor ASIC based L4 filtering... (met of zonder
extra modules)
Andere vendors (heb ik geen ervaring mee) zullen ook vast
wel ASIC based oplossingen hebben.
Mierenneuken is ook een vak. Hardware firewall is gewoon een dedicated
appliance, software firewall is gewoon een applicatie. Dat overal software
op draait, dat kan een scriptkiddie nog wel verzinnen. Vrij zinloos om dat te
vermelden.
Feit blijft dat een hardware firewall het grote voordeel heeft dat je clients
niet beschermd hoeven te zijn, of in mindere mate.. Onder andere handig
om je 40MB aan patches te downloaden te voordat je Windowsbak
geowned is. En ja, voor de mensen met zo'n klein plassertje dat ze zwarte
kruipende beestjes kunnen pakken, ook appliances draaien software
welke vulnerable is... De afgelopen 3 maanden zijn er immers al 12 lekken
gevonden in ASA en PIX van Cisco. Lekken die er NOOIT in hadden mogen
zitten.
En hoe doe jij aan Secure Computing??
hardware firewall zit doorgaans op een andere plaats in de
netwerkketen. Die kan dat dus niet zoals een
software-firewall. Daarom zou ik zeggen: gebruik beide en
laat ze elkaar aanvullen.
discussie voeren
imho is er overigens geen sprake van beter. Het zijn zaken die elkaar
aanvullen.
Test dan eens ISA 2006, Cisco ASA, en zoiets als PC Cillin/Norton Internet
Security. Dan zie je vast een betere vergelijking.
gebruikt toch zowat iedereen windows?
wie onderzoekt die aanbiedingen voor gratis firewalls?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
