Archief
- De topics van lang geleden
2 routers in serie: meer veiligheid?
21-08-2007, 17:07 door capricornus, 48 reacties
Simpel vraagje eigenlijk, en ik verwacht als antwoord "ja"
en toch wil ik het van de collegae forummers weten: wanneer
ik achter een router nog een router schakel, zit ik dan
veiliger?
en toch wil ik het van de collegae forummers weten: wanneer
ik achter een router nog een router schakel, zit ik dan
veiliger?
Reacties (48)
Aanvallen op routers komen zodanig weinig voor dat andere
maatregelen al snel effectiever zijn.
maatregelen al snel effectiever zijn.
Nee, dit is niet zo je moet toch bepaalde poorten van buiten
naar binnen openzetten en je doet dit op twee routers. Dus
je blijft kwetsbaar via services die je hebt draaien zoals
http of ftp. Het maakt alleen de configuratie moeilijker. Ik
zie geen voordeel
naar binnen openzetten en je doet dit op twee routers. Dus
je blijft kwetsbaar via services die je hebt draaien zoals
http of ftp. Het maakt alleen de configuratie moeilijker. Ik
zie geen voordeel
waarom niet 3 of 4 of 10 of ...? ik zie het nut niet
helemaal, het komt eigenlijk een beetje over als
schijnveiligheid. als er in beide een bug zit kan iemand er
nog steeds doorkomen. natuurlijk is de kans wat kleiner of
je moet dezelfde types hebben, maar het blijft een beetje
onduidelijke actie.
helemaal, het komt eigenlijk een beetje over als
schijnveiligheid. als er in beide een bug zit kan iemand er
nog steeds doorkomen. natuurlijk is de kans wat kleiner of
je moet dezelfde types hebben, maar het blijft een beetje
onduidelijke actie.
21-08-2007, 21:13 door
Arno Nimus
Tja... Het is een soort van "veiliger", ja... Maar een
beetje zichzelf respecterende firewall levert betere bescherming
beetje zichzelf respecterende firewall levert betere bescherming
21-08-2007, 22:27 door
the virusman
De zwakste schakel is altijd bepalend.
22-08-2007, 02:29 door
[Account Verwijderd]
[Verwijderd]
22-08-2007, 08:42 door
666
onnodig en omslachtig...
(tenzij je natuurlijk gebruik maakt van 2 cisco 2500 series routers ;) )
(tenzij je natuurlijk gebruik maakt van 2 cisco 2500 series routers ;) )
Het geld voor die tweede router kun je beter uitgeven aan
goede antivirussoftware. Denk ook aan port forwarding, die
regels moet je dan in 2 routers invoeren. Niet makkelijk, en
het is ook niet echt veiliger.
goede antivirussoftware. Denk ook aan port forwarding, die
regels moet je dan in 2 routers invoeren. Niet makkelijk, en
het is ook niet echt veiliger.
Nee, dit is niet zo je moet toch bepaalde poorten van
buiten
naar binnen openzetten en je doet dit op twee routers. Dus
je blijft kwetsbaar via services die je hebt draaien zoals
http of ftp. Het maakt alleen de configuratie moeilijker. Ik
zie geen voordeel
buiten
naar binnen openzetten en je doet dit op twee routers. Dus
je blijft kwetsbaar via services die je hebt draaien zoals
http of ftp. Het maakt alleen de configuratie moeilijker. Ik
zie geen voordeel
Dank je wel, nu zie ik mijn denkfout.
capricornus
22-08-2007, 10:04 door
root
2 routers met NAT is een heel klein beetje veiliger dan 1,
mits je het geen 2 dezelfde routers zijn. Hacken ze de
eerste router, dan kunnen ze nog steeds niet op je
privenetwerk. Daarnaast is het natuurlijk een hoop gedoe.
Het antwoord is dus Ja.
mits je het geen 2 dezelfde routers zijn. Hacken ze de
eerste router, dan kunnen ze nog steeds niet op je
privenetwerk. Daarnaast is het natuurlijk een hoop gedoe.
Het antwoord is dus Ja.
Als de router direct aan internet gekoppeld is, is het geen
slecht idee om twee verschillende type (vendors) gebruiken.
Daarbuiten is het natuurlijk verstandiger om een firewall te
implementeren. Deze routeert het verkeer ook.
NAT is een maatregel die ook veel ellende kan besparen,
tenminste as je het goed implementeert. (Statische NAT
levert niet altijd aanvullende veiligheid)
Het theoretische antwoord is ja, mogelijk. Er zijn echter
veel betere opties.
Succes!
slecht idee om twee verschillende type (vendors) gebruiken.
Daarbuiten is het natuurlijk verstandiger om een firewall te
implementeren. Deze routeert het verkeer ook.
NAT is een maatregel die ook veel ellende kan besparen,
tenminste as je het goed implementeert. (Statische NAT
levert niet altijd aanvullende veiligheid)
Het theoretische antwoord is ja, mogelijk. Er zijn echter
veel betere opties.
Succes!
Als een DdoS op jouw eerste router wordt uitgevoerd, zal de
tweede daarachter ook niet veel internetconnectie hebben...
tweede daarachter ook niet veel internetconnectie hebben...
Hangt er van af welke diensten je aanbiedt. Je zou natuurlijk wel per
router verschillende services (of 1 service) kunnen draaien. Vraag mij
alleen af wat er met de snelheid gebeurt....... Maar in principe; denk het
wel ja!
router verschillende services (of 1 service) kunnen draaien. Vraag mij
alleen af wat er met de snelheid gebeurt....... Maar in principe; denk het
wel ja!
Antwoord; NEE, het hele internet bestaat uit routeringen, een extra
router zorgt niet voor extra veiligheid. Een (goed geconfigureerde)
firewall is verstandiger.
router zorgt niet voor extra veiligheid. Een (goed geconfigureerde)
firewall is verstandiger.
22-08-2007, 15:18 door
666
ACL's
Vraagstelling is fout.....2 firewalls in twee routers is dat
veiliger?
Kan.....
Twee firewalls in serie wel ,een in de router een in de pc
zodat per pc een eventuele andere (betere) outbound controle
mogelijk is.....(nadeel in een bedrijf als de user gaat
rotzooien aan de firewall)
veiliger?
Kan.....
Twee firewalls in serie wel ,een in de router een in de pc
zodat per pc een eventuele andere (betere) outbound controle
mogelijk is.....(nadeel in een bedrijf als de user gaat
rotzooien aan de firewall)
22-08-2007, 16:55 door
root
Door Anoniem
Vraagstelling is fout.....2 firewalls in twee routers is dat
veiliger?
Vraagstelling is fout.....2 firewalls in twee routers is dat
veiliger?
De vraag was of twee routers in serie veiliger is, moet je
er niet ineens wat anders van gaan zitten maken :|
23-08-2007, 12:06 door
SirDice
Zoals eerder opgemerkt, 2 "pure" routers achter elkaar is niet veiliger of onveiliger. Een router voegt namelijk niets toe aan de veiligheid. Het ding routeert alleen maar netwerk verkeer. Niets meer en niets minder.
2 keer NAT achter elkaar? Een verschrikking en wil je absoluut niet beheren. Sommige protocollen laten zich moeilijk NAT'en, laat staan 2 keer achter elkaar.
.
2 firewalls achter elkaar? Komt vaker voor bij bijv. banken. Firewalls van verschillende merken. Met een reverse proxy uiteraard.. Voor thuis gebruik? Onzin..
De huis, tuin en keuken routers die in de winkel te koop zijn zijn eigenlijk een aantal apparaten in 1. Een adsl modem, een router, een firewall en een switch.
2 keer NAT achter elkaar? Een verschrikking en wil je absoluut niet beheren. Sommige protocollen laten zich moeilijk NAT'en, laat staan 2 keer achter elkaar.
.
2 firewalls achter elkaar? Komt vaker voor bij bijv. banken. Firewalls van verschillende merken. Met een reverse proxy uiteraard.. Voor thuis gebruik? Onzin..
De huis, tuin en keuken routers die in de winkel te koop zijn zijn eigenlijk een aantal apparaten in 1. Een adsl modem, een router, een firewall en een switch.
23-08-2007, 12:37 door
capricornus
SirDice, ik ben u dankbaar voor het zoveelste wijze antwoord.
Het is opmerkelijk hoe een eenvoudige vraag alle antwoorden
van ja tot nee krijgt, in een bijna-Gaussiaanse curve verdeeld.
Hoe moeilijk is security eigenlijk?
Het is opmerkelijk hoe een eenvoudige vraag alle antwoorden
van ja tot nee krijgt, in een bijna-Gaussiaanse curve verdeeld.
Hoe moeilijk is security eigenlijk?
Door CapricornusHoe moeilijk is security
eigenlijk?
LOL "A dream to some, a nightmare toeigenlijk?
others" ;)
23-08-2007, 13:56 door
[Account Verwijderd]
[Verwijderd]
Door rookie
het gebied tussen 2 routers is de dmz als ik me niet vergis.
het gebied tussen 2 routers is de dmz als ik me niet vergis.
Je vergist je.
Door Capricornus
Het is opmerkelijk hoe een eenvoudige vraag alle antwoorden
van ja tot nee krijgt, in een bijna-Gaussiaanse curve verdeeld.
Hoe moeilijk is security eigenlijk?
de meeste mensen vinden het toch wel onnodig en niet extraHet is opmerkelijk hoe een eenvoudige vraag alle antwoorden
van ja tot nee krijgt, in een bijna-Gaussiaanse curve verdeeld.
Hoe moeilijk is security eigenlijk?
veilig. sommige mensen maken wat aannames waardoor het
antwoord afwijkt van de orginele vraag. ik vind het verschil
in antwoorden wel meevallen.
23-08-2007, 23:16 door
[Account Verwijderd]
[Verwijderd]
Door rookie
Leuke grap. ;)
Door Anoniem
Je vergist je.
Door rookie
het gebied tussen 2 routers is de dmz als ik me niet
vergis.
het gebied tussen 2 routers is de dmz als ik me niet
vergis.
Je vergist je.
Leuke grap. ;)
Het gebied tussen twee firewalls heet DMZ (demilitarized zone). Het
gebied tussen twee routers heet gewoon netwerk, het element
beveiliging ontbreekt.
DMZ is een wat misleidende term, want het betekent niet letterlijk
niemandsland (waar zich niets offensiefs of defensiefs mag bevinden),
en dat is bij computer security vaak niet het geval: er staan web
servers, mail servers, name servers, anti-malware servers, proxies etc.
24-08-2007, 13:17 door
[Account Verwijderd]
[Verwijderd]
het verschil in antwoorden is aan meer naamgevingsproblemen
te wijten;
als je twee routers achter elkaar zet dan win je niets. Geen
aparte zones, geen verschil, geen configuratieproblemen.
Niets. Een router is niet anders dan een apparaat dat
pakketjes de goede kant op stuurt. Je kunt ook een DMZ
opzetten met maar 1 router.
Maar tegenwoordig wordt het woord router ook gebruikt voor
machines die ook firewalls bevatten, en NAT, etc. De
genoemde configuratieproblemen komen waarschijnlijk door
firewalls en dhcp services die allebei goed ingesteld dienen
te worden.
De enige extra veiligheid die je krijgt komt van twee
verchillende implementaties van firewalls. Mits je dus twee
verschillende systemen neemt (die niet allebei hetzelfde
draaien).
Er komt ook nog een beetje schijnveligheid als je binnen je
NAT nog een tweede NAT gaat draaien. Maar een NAT levert
sowieso geen veiligheid op die een firewall ook niet kan bieden.
te wijten;
als je twee routers achter elkaar zet dan win je niets. Geen
aparte zones, geen verschil, geen configuratieproblemen.
Niets. Een router is niet anders dan een apparaat dat
pakketjes de goede kant op stuurt. Je kunt ook een DMZ
opzetten met maar 1 router.
Maar tegenwoordig wordt het woord router ook gebruikt voor
machines die ook firewalls bevatten, en NAT, etc. De
genoemde configuratieproblemen komen waarschijnlijk door
firewalls en dhcp services die allebei goed ingesteld dienen
te worden.
De enige extra veiligheid die je krijgt komt van twee
verchillende implementaties van firewalls. Mits je dus twee
verschillende systemen neemt (die niet allebei hetzelfde
draaien).
Er komt ook nog een beetje schijnveligheid als je binnen je
NAT nog een tweede NAT gaat draaien. Maar een NAT levert
sowieso geen veiligheid op die een firewall ook niet kan bieden.
27-08-2007, 10:23 door
root
Zullen we het hier maar bij laten?
Door root
Zullen we het hier maar bij laten?
Zullen we het hier maar bij laten?
Waarom? Er is immers gebleken dat er geen éénduidig antwoord
mogelijk is. De vraagsteller zou wellicht zijn vraag dieper kunnen
uitwerken zodat iedereen opnieuw de echte vraag kan bekijken.
Anoniem, de echte vraag staat helemaal bovenaan. Zij is eenvoudig,
gewoonweg door haar eenvoud : zit ik veiliger? Je zou je academisch
kunnen afvragen, veiliger waarvoor, maar pragmatisch en in het kader
van deze website met als URL en titel security.nl lijkt het mij
vanzelfsprakend: zit ik dan veiliger voor hacks? Diep genoeg?
gewoonweg door haar eenvoud : zit ik veiliger? Je zou je academisch
kunnen afvragen, veiliger waarvoor, maar pragmatisch en in het kader
van deze website met als URL en titel security.nl lijkt het mij
vanzelfsprakend: zit ik dan veiliger voor hacks? Diep genoeg?
29-08-2007, 08:43 door
root
klopt.
Door Anoniem
het is wel veiliger, alleen de problemen en de moeite niet waard
Wat heb ik dan een geweldig veilig netwerk, ik heb hier wel 12 routers het is wel veiliger, alleen de problemen en de moeite niet waard
staan tussen diverse LAN segmenten.
30-08-2007, 17:00 door
[Account Verwijderd]
[Verwijderd]
30-08-2007, 17:24 door
the virusman
Wat een geklets allemaal ik blijf erbij de zwakste schakel bepaald de
hoogte van de beveiligings graad, dat is een wet.
hoogte van de beveiligings graad, dat is een wet.
Door the virusman
Wat een geklets allemaal ik blijf erbij de zwakste schakel bepaald de
hoogte van de beveiligings graad, dat is een wet.
Wat een geklets allemaal ik blijf erbij de zwakste schakel bepaald de
hoogte van de beveiligings graad, dat is een wet.
Wat een onzin, beveiliging gaat niet alleen over de zwakste schakel.
Beveiliging is een systeem geen ketting.
Door moppentappers
het zal de veiligheid wel iets verhogen, maar om van
geweldig veilig te spreken doordat je enorm veel routers
hebt is een sterk verhaal.
Vriend, het was sarcastisch geschreven. wij hebben een uitvoerig het zal de veiligheid wel iets verhogen, maar om van
geweldig veilig te spreken doordat je enorm veel routers
hebt is een sterk verhaal.
netwerk over verschillende lokaties met verschillende segmenten per
lokatie dus je zit snel aan een "enorm" aantal routers.
Zoals eerdere posters al aangaven is een router gewoon een apparaat
welke op layer drie verkeer heen en weer slingert. indien er geen
access-lists of andersoortige beperkingen zijn ingericht doen ze zo
goed als niks aan de beveiliging van je netwerk.
Een pure router (layer3 switch, zonder NAT/ACLs/etc) bied
alleen bescherming tegen layer2 aanvallen vanuit andere
netwerkwerk segmenten een tweede router zal niets toevoegen
of afdoen aan die bescherming.
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
NAT traversing aanvallen zijn eenvoudiger en beter te
stoppen door NAT met een goede ACL te combineren.
Twee soorten firewalls inline plaatsen is zinvoller.
Klassieke voorbeeld is een SPI firewall in combo met een
proxy-ing firewall. Maar ook een (transparante-) IDS/IPS
(bijv. snort) incombo met een NAT'ing router word in rl
gebruikt om de beveiliging naar een hoger niveau te tillen.
alleen bescherming tegen layer2 aanvallen vanuit andere
netwerkwerk segmenten een tweede router zal niets toevoegen
of afdoen aan die bescherming.
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
NAT traversing aanvallen zijn eenvoudiger en beter te
stoppen door NAT met een goede ACL te combineren.
Twee soorten firewalls inline plaatsen is zinvoller.
Klassieke voorbeeld is een SPI firewall in combo met een
proxy-ing firewall. Maar ook een (transparante-) IDS/IPS
(bijv. snort) incombo met een NAT'ing router word in rl
gebruikt om de beveiliging naar een hoger niveau te tillen.
31-08-2007, 17:33 door
the virusman
Door Anoniem
Wat een onzin, beveiliging gaat niet alleen over de zwakste schakel.
Beveiliging is een systeem geen ketting.
Door the virusman
Wat een geklets allemaal ik blijf erbij de zwakste schakel bepaald de
hoogte van de beveiligings graad, dat is een wet.
Wat een geklets allemaal ik blijf erbij de zwakste schakel bepaald de
hoogte van de beveiligings graad, dat is een wet.
Wat een onzin, beveiliging gaat niet alleen over de zwakste schakel.
Beveiliging is een systeem geen ketting.
natuurlijk is beveiliging een systeem maar 2 routers achter elkaar is dat geen ketting ??
31-08-2007, 22:33 door
[Account Verwijderd]
[Verwijderd]
Door Anoniem
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
Een NAT biedt ook weinig meer bescherming dan een goede
firewall overigens :)
toch vindt ik dze vraa niet gek gezien dat ik vroeger 2 firewalls had omdat
zone alarm soms bij thuiskomst uit was
intressant
ik lees hier graag meer over
zone alarm soms bij thuiskomst uit was
intressant
ik lees hier graag meer over
01-09-2007, 23:20 door
webje
Het antwoord op deze vraag is slechts eenvoudig:
1 een router rout slechts,het verbindt meerdere netwerken!
Ben je veiliger, antwoord op die vraag is nee!
1 een router rout slechts,het verbindt meerdere netwerken!
Ben je veiliger, antwoord op die vraag is nee!
02-09-2007, 09:44 door
[Account Verwijderd]
[Verwijderd]
03-09-2007, 09:12 door
root
Door moppentappers
met de functies die die dingen tegenwoordig hebben kun je
een router tegenwoordig behalve een systeem dat routeert ook
een firewall noemen ect. ect.
met de functies die die dingen tegenwoordig hebben kun je
een router tegenwoordig behalve een systeem dat routeert ook
een firewall noemen ect. ect.
Ja, en een treinstation kun je ook een fietsenstalling
noemen, etc, etc... wat een onzin... blablabla
[quote
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
Een NAT biedt ook weinig meer bescherming dan een goede
firewall overigens :)[/quote]
Heb je mijn post wel gelezen?
Twee routers die allebei NAT'en bieden samen nauwelijks meer
bescherming dan een enkele NAT'ing router. Deze setup zal
NAT traversing aanvallen moeilijker uitvoerbaar maken. En
zoals als al eerder vermeld, is het lastig te configureren.
Een NAT biedt ook weinig meer bescherming dan een goede
firewall overigens :)[/quote]
Heb je mijn post wel gelezen?
NAT traversing aanvallen zijn eenvoudiger en beter te
stoppen door NAT met een goede ACL te combineren.
Twee soorten firewalls inline plaatsen is zinvoller.
stoppen door NAT met een goede ACL te combineren.
Twee soorten firewalls inline plaatsen is zinvoller.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
