Software matige firewalls hebben geen enkele zin als de
gebruiker administrator rechten heeft (wat dus voor 99% van
de thuisgebruikers geldt). Die gebruiker kan zelf de
firewall aan/uit zetten. Een stuk software (malware of niet)
wat door die gebruiker uitgevoerd wordt kan dat dus ook.

Dan kun je ook de vraag stellen heeft een firewall wel zin
tegen een virus of malware variant. Immers ze surfen
(letterlijk) mee op poort 80 rechtstreeks in het windows
systeem.

Moet zeggen wat betreft de beheersrechten heb je volledig
gelijk

tsja op dezelfde manier is een hardware matige firewall ook
niet nuttig als de firewall al besmet is.

Wat wel nog is is dat, zeker in deze tijd van wifi, je
gateway niet meer de grens van je netwerk is, en perimeter
defense niet meer voldoet.

Inderdaad het enige wat echt helpt is lokale (strikte)
afbakening van een lokaal netwerk. Immers je moet door een
hardwarefirewall heen om op dit lokale netwerk te komen. Een
voorwaarde is natuurlijk wel dat die firewall alleen van
binnenuit door bevoegde personen aangepast kan worden !

Dat hangt natuurlijk helemaal van je netwerk design af.

M.b.t. de stelling van de OP ben ik het eens met NielsT. De meeste PFW's (personal firewalls) gaan veel verder dan alleen pakketinspectie bij uitgaand verkeer. Met name als een wat minder bekende PFW wordt ingezet heb je kans dat onbedoeld gestarte malware de PFW niet kan uitschakelen en een waarschuwing wordt getoond. De gebruiker moet dan wel wat doen met die waarschuwing natuurlijk, waarmee dit type PFW's een extra beveiligingslaag kan bieden voor wat gevorderde thuisgebruikers, d.w.z. ingelogd als [url=http://www.matousec.com/projects/firewall-challenge/faq.php#administrators-limited-account]admin[/url], type tussen clickvee en security-aware (die laatste groep zal het niet tot dergelijke post-mortem meldingen willen laten komen, en zit bovendien niet te wachten op de performance penalty, geheugenmisbruik, nieuw security risico, naar huis bellen, zeurmeldingen, kosten en/of spam).

Een up-to-date test van personal firewalls met de nadruk op outbound protectie (maar ook performance) vind je bij [url=http://www.matousec.com/projects/firewall-challenge/]Matousec[/url].

M.b.t. het onderwerp (Nut softwarematige firewalls ????): helaas is het zo dat windows by default op een reeks poorten luistert (dit is lastig uit te schakelen en leidt bovendien bij elke nieuwe Windows versie sinds 98SE tot meer foutmeldingen en andere onverwachte problemen). Hierdoor is elk Windows systeem out-of-the-box kwetsbaar voor aanvallen op de bijbehorende services (vulns daarin met SYSTEM access als gevolg). Op een volledig gepatched systeem zijn file en/of [url=http://techworld.nl/article/5417/gegevensdief-lift-mee-op-psexec.html]systeem[/url] toegang mogelijk via te eenvoudige of gelekte wachtwoorden. Voor beide toegangsvormen biedt de in Windows ingebouwde firewall (sinds XP-SP2) voldoende bescherming - mits in de instellingen alle uitzonderingen/exceptions zijn uitgeschakeld (@SirDice, dit type firewall beschermt niet tegen draaiende malware, maar heeft wel degelijk nut voor gebruikers met admin rechten, dus jouw stelling 'Software matige firewalls hebben geen enkele zin als de gebruiker administrator rechten heeft' gaat me te ver).

In de Duitse c't die de komende anderhalve week nog in de winkels ligt (nr. 18 van 18-8-08) staat een interessant artikel ('Funksurfen ohne Reue' blz 174) waarin PFW's worden ingezet om kosten te besparen als je via GPRS/UMTS verbinding maakt, nl. door allerlei automatische updates te verhinderen. Beschreven wordt hoe de on-board Vista firewall zo te configureren is dat deze slechts bepaalde applicaties toestaat internetverbindingen te maken.
Voor XP-gebruikers neemt c't de [url=http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/]Sunbelt Personal Firewall[/url] (SPF, voorheen Kerio) als voorbeeld omdat daarmee eenvoudig per applicatie in te stellen zou zijn of deze verbinding met internet mag maken. Na het aflopen van de 30 dagen testperiode zou SPF naar de free version overschakelen waarbij de in dit kader benodigde functionaliteit beschikbaar zou blijven. Hoewel Sunbelt tijdens installatie de windows firewall uitschakelt en onderaan [url=http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/]deze pagina[/url] staat dat het onmogelijk is om meer dan 1 firewall op een computer te draaien, werkt volgens c't de SPF prima samen met de Windows firewall. D.w.z. die laatste laat je altijd aan staan; ga je online via een langzaam/duur (en/of onveilig) netwerk dan zet je de Sunbelt PFW tijdelijk ook aan.

Ten slotte, @SirDice: in mijn ervaring zijn er nogal wat third-party PFW's waarbij ook ordinary users ja/nee vragen krijgen, instellingen kunnen wijzigen of zelfs de firewall helemaal kunnen uitzetten, of PFW's die er van uit gaan c.q. vereisen dat de gebruikers admins zijn (erger, privilege escalation attacks mogelijk maken o.a. door brakke permissies op services en registry keys te zetten). Gelukkig geldt al deze narigheid niet voor de standaard Windows firewalls (XP-SP2 en later).

om nog even op de stelling voort te borduren:
stelling2: je hebt niets aan perimeter defense als een van
de machines erachter besmet is.

Bedankt Bitwiper voor je uitgebreide toelichting !

Kan ik dus concluderen dat sofwarematige firewalls, kunnen
helpen!
Maar dat het grootste deel niet goed geïmplementeerd is in
het systeem, waardoor ''lekkage'' zij het door
gebruikersvragen of aanval (malware infectie ) zeer goed
mogelijk is !

Mee eens. Daarom moet je er heel goed voor zorgen dat het spul niet eens binnenkomt :)

Soms ben je helaas nog steeds afhankelijk van een account met admin-rechten. Anders kun je bepaalde processen waar een admin-recht voor noodzakelijk is, niet draaien. Als beheerder krijg je te vaak gezeik van gebruikers (vooral management mensen) dat ze bepaalde zaken niet kunnen uitvoeren omdat ze geen Administrator zijn. Frustreert enorm.

Jammer zeg, dat die zeikers zich niet aan jouw speeltje willen aanpassen.
Ben jij niet in dienst genomen om dienstbaar aan de gebruikers te zijn of is het andersom?

Praktisch gezien zal het nut van een software-matige firewall installeren op een reeds besmet systeem afhangen van de malware die op het systeem staat.

-In sommige gevallen zal deze de firewall uitschakelen.
-In andere gevallen zal het dan weer mogelijk zijn al de uitgaande processen van de malware te blokkeren en te helpen pinpointen als je echt geen idee hebt wat de besmetting is.

Maar de efficiëntie van zaken achteraf willen weten lijkt mij nogal afwisselend, het nut van een software matige firewall op een proper systeem lijkt mij zowiezo veel interessanter.

Het gaat er niet om of het de perfecte oplossin is, maar of het (een beetje) helpt.
Het zal wellicht helpen, en dan heeft het al nut dus.
Niet alles in de IT is zwart/wit.

Zinloos. De meeste mensen klikken toch ja op alles wat ze zien van alerts.

hmpf.
in hardware firewalls, zit ook software, om de zooi aan te sturen *g*

Precies. De enige zinnige opmerking in de lijst.

Wat een slechte B.O.F.H. ben jij zeg ;)

Als security specialist wordt je ingehuurd om "nee" te verkopen. Daarom kunnen "gewone" beheerders dat er ook niet even bij doen. "Conflict of interest" noemt men dat..


Overigens is het bijna nooit alles (administrator) of niets (gewone user). Juist Windows heeft een ongelofelijk fijnmazig rechten systeem. Kost alleen wat moeite om een keer uit te zoeken welke rechten die applicatie nu precies nodig heeft. En nee dan heb ik het niet alleen over ACL's op files, directories en registry keys maar ook over privileges..

http://msdn.microsoft.com/en-us/library/ms878695.aspx

Oplossing: Bridge mode. (voorbeeld op http://doc.m0n0.ch/handbook/examples-filtered-bridge.html)

Ik gebruik zelf geen firewall meer op Windows XP SP3. De standaard firewall staat wel aan, maar poort 135 en 445 blijven luisteren (netstat -a -n). Jammer.

In mijn modem/router heb ik een firewall aanstaan. Ook is het een idee om alle inkomende verkeer naar een niet aangesloten ethernet poort te sturen. Goed opletten dat je hier geen kabel in plugt dan!

Volgens http://www.grc.com/ zit ik helemaal dicht maar ik weet dat alles valt of staat met de firmware van mijn modem/router en eventuele ongepatchte fouten in Windows (bijvoorbeeld bovengenoemde poorten).

Ik gebruikte Kerio, maar die wordt sinds de overname door Sunbelt nauwelijks meer onderhouden en ik zie de firewall nu eerder als een manier om binnen te komen dan om aanvallers buiten te houden. Bovendien start mijn computer zo iets sneller op :-)

en ook die kunnen aangevallen worden

Het schijnt kennelijk een niet uit te roeien misverstand te zijn dat wat er binnenkomt gevaarlijk is. Het is precies andersom: WAT ER UIT GAAT IS GEVAARLIJK. Even schreeuwen tegen de sukkels....

Een firewall vormt (slechts) een deel-oplossing, een stukje van het geheel. In die hoedanigheid heeft een firewall wel degelijk nut, maar zeker niet als 'totaal-oplossing'.

Je gaat uit van een systeem dat reeds besmet is. Dat betekent dat je beveiliging niet voldoet aan je beveiligingsbehoefte.

Voordat je gaat schreeuwen en iedereen tot sukkel bombardeer wil ik als "Geen Deskundige" toch iets van je weten.
Stel dat mijn computer voor 100 % geen besmettingen heeft.
Vervolgens zorg ik dat ik met de nodige software de besmettingsdreigingen de baas blijf.
Hoe kan mijn computer dan iets eruit laten gaan wat gevaarlijk is?

Err... Je spreekt jezelf tegen. Maar je bedoelt waarschijnlijk geen third party firewall software.

Dat heeft ook niets met de firewall te maken.

Niet forwarden is dan beter. Loop je ook niet het risico dat je een keertje in de verkeerde poort zit.

Als het goed is initieer ik wat er uit gaat op mijn computer. Zolang ik alles goed scan wat ik zelf naar binnen haal heb ik een kans tegen trojans en andere malware. Zodra die op mijn computer staan heb ik te maken met rootkits en alles die je toch niet pakt met je software firewall. Dan is het game over.

Bovendien introduceert een firewall die ook naar buiten kan scannen extra code op je systeem die wellicht ook ooit misbruikt kan worden of wordt.

Plus dat ik dit ooit zo gedaan heb maar met sommige programma's blijf je bezig om alle poorten en protocollen in te stellen die het nodig denkt te hebben. Plus dat malware bijvoorbeeld je browser kan hacken om dingen naar buiten te sturen zonder dat je firewall dat door heeft.

'sukkel'

Natuurlijk heeft een software matige firewall nut zeker voor het uitgaande verkeer je zet de firewall gewoon zo dat die alles moet melden wat verbinding met het internet wil maken.
Zelfs voor de leken onder ons is het met een beetje googelen uit te zoeken wat verbinding wil maken en waarvoor.
En daarmee kan je je PC aardig dichttimmeren en leer je begrijpen wat verbinding MOET hebben en wat niet .
En het is uiteraard ook zo dat als alles werkt en er komt weer een melding na b.v een paar dagen dat je eerst moet uitzoeken waar dat vandaan komt alvorens je toestemming geeft .
Ook voor de wat minder legale software is het een uitkomst want die software geef je geen toestemming om verbinding met het internet te maken zodat de software geen homecall kan maken dus de software blijft gewoon werken zonder dat je lastig gevallen wordt met allerlei onzin.Je blijft uiteraard wel verstoten van updates.
Laat ik wel voorop stellen dat de standaard firewall in windows niet voldoen.

Dus ik zeg een goede software matige firewall heeft wel nut

http://www.personalfirewall.comodo.com/

Ik gebruik zelf Agnitum Outpost als softwarematige firewall. Hiermee kan ik precies zien o.a. als een programma iets in het geheugen wil aanpassen of andere delen van het geheugen/windowsgebieden wil wijzigen of bestanden wil injecteren. Volledige controle over je systeem.

Service is niet uit te zetten zonder wachtwoord en via taakbeheer ook niet.
Ideaal, en je weet natuurlijk welke software wat aanspreekt op internet, zowel in- als uitgaand verkeer.

Als je geen updates van Windows kan gebruiken ivm een illegale versie, dan is een software firewall zeker niet overbodig! Ik gebruik op het moment echter slechts legale versies van software die ik patch op de dag dat dat mogelijk is.

Over Agnitum Outpost.. het klinkt goed, maar het klinkt ook alsof het ook meer is als een firewall. Zelf gebruik ik AVG Free en Spybot Search & Destroy voor dit doel. De oude rootkit scanner van AVG werkt ook nog steeds tot mijn grote vreugde.

Comodo heb ik overwogen maar ik werd niet blij na het lezen van de manual. Zodra iets fout gaat op je systeem kan je gaan dokken voor de 'volledige' versie en dan haal ik nog liever Norton Antivirus bij de Dixons.

Illegale beveiligingssoftware gebruiken is natuurlijk het laatste wat je moet doen. Het is als een herder die zijn schapen door de wolf laat bewaken. Bovendien zijn er genoeg gratis alternatieven.

Hey geweldig stelletje blaaskaken,
als we nou niet gaan schreeuwen of be/veroordelen door anderen sukkels te noemen (who made you God?)... dan nodigt dat veel meer uit inhoudelijk te reageren. Ik als sukkel/onwetende vind het een vraagstuk waar ik graag verschillende visies over zou willen lezen, maar ik word nogal af geleid door de toon.
(andere onderwerpen waarop ik had willen reageren zijn inmiddels al gesloten door ditzelfde gedoe... is toch jammer en onnodig?)

Veronique

Het spijt me Veronique. Ik zie nu in dat ik op een trol heb gereageerd. Ik hoop dat mijn reactie verder wel inhoudelijk was!

Stelling:
A. Als jij op een berg staat. "Zonder Firewall"
B. Of in een kuil staat. Met Firewall"

Bij welke kom je makkelijker op het normaal niveau?
A.. "A" hoef je bijna geen moeite te doen.

Bij "B" moet je klimmen.

Nog een ander voorbeeld.

Waar kom je makkelijker binnen?
A. een deur die open staat.
B. een deur die dicht is.
C. een deur die op slot zit.

Bij "A" je kan zo door lopen.
Daarna: "B" je moet eerst nog de deur open doen.
"C" Je moet je best doen om binnen te komen.


Dus antwoord Firewall heeft wel degelijk zin.

Vreemde redenering.
Had je bij "B" niet hoeven klimmen dan, zonder firewall?

Kort en bondig geen.
Een softwarematige firewall is volkomen nutteloos aangezien het "softwarematig" is de naam zegt het al het is een programma dat draait tussen alle andere programma's en dus ook als zodanig gemanipuleert kan worden. Mijns inziens dient een firewall te allertijden geisoleerd te zijn van de userspace, bij voorkeur hardwarematig dus en ja die heeft ook software maar dat is dan dedicated dus dat is niet erg.

zet er dan wel een tussen elke computer en het netwerk waar ie aan hangt.

of je filtert gewoon op al je computers op kernel-niveau. Een nadeel van een restrictieve policy is dan wel dat je een boel moet updaten als je in je netwerk een nieuwe service toe voegt.

Dat hoeft nog niet eens, denk buiten de doos. Je denkt te bekrompen en te klein schalig.. ;-)