Nee je hebt het niet verkeerd.

Een goeie firewall is belangrijker dan een AV. Een goeie firewall zit VOOR de bak waar je gebruik van maakt (extern dus, zeg maar tussen je router en je desktop in, of als router zelf). In combinatie met een firewall op je desktop zelf en wat sandboxing en dat soort dingetjes, zit je al meteen redelijk safe. Gecentraliseerde dns, mail bouncer en scheiding van toepassing (veilig, onveilig internet gebruik) via subnets en ipranges, dhcp (via mac address, of fysieke poort (lan poort wifi kanaal scheiding)). Uitgaan van gebruikelijke verkeerspatronen en al het andere minstens blokkeren en beter ook waarschuwen/vragen. In je veilige subnet betekend dat dus dat onbekende dnsnamen/ip ranges gewoon per definitie geblokkeerd worden (ook uitgaand http(s)) totdat expliciet toegestaan. Wil je nog veiliger? Dubbele dns bouncer nemen en tegen over elkaar afzetten op liefst twee separate net verbindingen. Bijvoorbeeld een koppel van vier op twee netwerkverbindingen in je veilige net, kost met huidige bandbreedte niet zoveel tijd hoor, dns reply pas na dubbelcheck door laten gaan en zelf bijvoorbeeld cachen wanneer evt behoefte snelheid++

En checksum tests, extern, van je firmware/core/rules et al. requesten naar certificate authorities detecteren en onafhankelijk bij opvang dubbel controleren op andere authority van eigen keuze. Pas nadat geverifieerd dubbelcheck binnen is, antwoord op origineel request toelaten naar requestende desktop. dat soort dingen allemaal, wel een beetje initieel instel werk, kost wat tijd, maar zit je ook redelijk goed. en vergeet routes niet na te checken, het is niet zo moeilijk om dat te doen, doe je dat goed zul je ook geblokkeerd en gewaarschuwd worden wanneer je isp een topografie wijziging doorvoert, maar hey, dat is hoe hackers mitm toepassen hoor en blijf jij gelijk bewust van je isp kwaliteit :)_

en altijd zoveel mogelijk kaal (raw) verkeer voorkomen. geen ftp maar sftp (over ssh, of ssl wrapped), geen platte mail smtp maar smtps dus ssl wrapped. geen http maar https, geen dns (ook gecentraliseerd) maar dnscrypt bijvoorbeeld.

neem bijvoorbeeld dns naamomzetting, als je de routes naar externe dns service als opendns hard gedefinieerd hebt, daarbij ook nog wrapped met een encryptie (ssl bijvoorbeeld, niet alle dns services bieden die mogelijkheid) en daarbij ook nog dubbelcheck geautomatiseerd en dan ook nog op een ander net, plus scheiding van toepassing, wil ik de hakkert zien die daar ff 123 doorheen komt, of het virus. dan moet je verdraaid een atoombom in je schuur aan het bouwen zijn voor ze de effort neerzetten, geloof me.

De beste beveiliging is realistische. Realistische gaat uit van open karakter internet, dus scheiding van toepassing.

Bijvoorbeeld;

een aparte goedkope prepaid aanschaffen voor je bankzaken. Niemand behalve je bank vertellen (en niet via internet/telefoon) dan heb je al je communicatie van elkaar gescheiden. mensen die je telefoonnummer weten, kunnen nu nog steeds niet veel mee. Email en overig surfgedrag loskoppelen van je bankzaken via bijvoorbeeld cd. phishing mails kunnen opeens niet zo veel meer met je desktop, virussen kunnen niets dan plagen via infectie.

daarnaast altijd bedenken dat veruit de meeste 'hacks' en virussen uitgaan van standaarden, standaard gebruiker, geautomatiseerd zijn, wat het merendeel doet. dus ipv windows voor je bankzaken een aangepaste Linux gebruiken haalt al een HELE bult risico weg. als je een combinatie van maakt, en (zoals hierboven wel een beetje beschreven) de maximale combinatie, wordt het risico écht verwaarloosbaar.

helaas vanwege het open karakter, is een enkele oplossing praktisch niet realistisch. dus geen enkele standaard firewall, standaard av, standaard instellingen dat soort shit. zoiets kan dus niemand je in alle eerlijkheid bieden.

voor huis tuin en keuken gebruiker?

neem iets als packetfence, untangle, pfsense, neem ff de tijd om zoiets goed in te stellen. liefst twee desktop systemen fysiek waarbij je één gebruikt veilig/zakelijk in apart subnet op je firewall. die je veilig gebruikt/zakelijk neem daar een cd distro als lps voor bankzaken, kies een vast moment in de week voor je bankzaken. gebruik twee mail adressen, een voor zakelijk/prive en een voor faceboek en dat soort shit, het belangrijke mail adres natuurlijk nooit in aanraking brengen met je onveilige desktop/subnet. neem een goedkope prepaid voor autorisatie als met de bank, en alleen daarvoor. gebruik sandboxes en firewall ook op de desktops zelf. zit je meteen dertig keer beter gebakken dan 99% van de overige gebruikers, helemaal als je bij bankzaken via cd ook nog gebruik maakt van een andere internet isp/verbinding.

let er trouwens op dat je bijvoorbeeld geen usb schijfje van zon onveilig systeem ook gebruikt op je veilige net/desktop. zoiets haalt je hele security in een klap terug naar af. gewoon, dezelfde regels als je sleutels niet kwijt raken door ze steeds of in je zak te hebben of op je koelkast te leggen. simpel maar effectief. succes mensen, ik heb hier geen woord gelogen. het is wel zo dat bepaalde dingen misschien te ver gaan voor wat jullie normale gebruikers aan effort willen zetten.

vraag me niet naar routes of dns, als je zelf dit niet kan of wil uitzoeken via startpage.com/google en firewall handleidinkjes kan ik je slechts een statische oplossing geven en ben je daarmee niet zelf redzaam.

Beide, firewall zit tegenwoordig standaard in windows en mac.

Anti virus zal misschien 90% of meer van de malware kunnen detecteren.

Verantwoord surfgedrag (Chrome of Firefox met aantal extensions), patchen van software en niet ingaan op vage e-mails met aanhangsel in combinatie met firewall en antivirus is mijn devies.

Ja en een firewall is machteloos tegen het meeste verkeer over poort 80 en 443 om maar wat te noemen, het één sluit het ander niet uit.

Gewoon allebei gebruiken

Naar welk nieuwsbericht refereer je?

Er zijn complete virus, firewall en protectie programma's die activiteiten van elk programma om naar buiten te geraken blokkeren en pas na toestemming van de gebruiker kan er wel of niet door de blokkade heen. Ik heb deze functie alleen nog maar gezien in zakelijke software.

Je hebt het verkeerd het is geen "of" maar "en" omdat beide beveiligingen geheel verschillend zijn en dus ook verschillende lagen bestrijken. Een firewall verhindert (met enig geluk) ongeautoriseerde toegang vanaf het internet naar je computer vice versa. Een virusscanner detecteert de activiteiten van malware en dat kunnen heel wat meer activiteiten zijn dan alleen maar contacten van/naar externe computers leggen.
Wat dacht je ransomware die al je bestanden versleutelt? .Als je alleen een firewall hebt zal dat virus 100% ongestoord z'n gang kunnen gaan......

Bedankt voor je reactie. Dit was een zeer leerzaam stuk. Het was een vraag die bij mij naar boven kwam i.v.m. de melding dat de malware van tegenwoordig zo goed is dat je virusscanner alleen maar virussen kan verwijderen die het systeem al kent.

Als beginnende ITer kan ik hier zeker iets mee !

Hallo.

Naar deze: https://www.security.nl/posting/380793/Universitair+docent%3A+virusscanner+is+compleet+zinloos

Het zou namelijk top zijn als dit ook naar consumenten komt.

Dat geldt voor de detectie op basis van signatures. Een beetje AV heeft tegenwoordig ook heuristics en behavioral-blocking in huis waarmee 'verdachte' activiteit die niet door de signature-detectie wordt herkend kan worden onderschept en gerapporteerd naar de gebruiker.

En zoals de andere reageerders aangaven; het is niet een kwestie van 'of' maar van 'en'. Overigens slaat de uitdrukking 'verantwoord surfgedrag' in mijn optiek nergens op als je ook op een legitieme website slachtoffer kan worden van malafide advertenties of een XSS-aanval (waarmee bijv. inlog-tokens kunnen worden gekaapt). Tegen de laatste kan trouwens geen enkele AV of firewall je beschermen. Mogelijk wel het selectief blokkeren van JavaScript, maar ook dat biedt in enkele gevallen geen soelaas.

De meeste suites zijn zo in te stellen, de vraag is of dat wenselijk is voor de huis-tuin-en-keuken-gebruiker.

Comodo IS is zo'n voorbeeld.

Weet je wat beter is, om niet te werken als admin account, dan heb je heel erg veel minder problemen.
En ja en een virusscanner en firewall heb je nodig.