Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.

Een dubbele Nat is slecht voor de connectiviteit,

Door Anoniem: NAT heeft weinig met veiligheid te maken, een dubbele nat maakt het niet meer of minder veilig.
Firewall is het sleutelwoord om jezelf te beschermen in deze context.

Door Bitwiper: Een dubbele NAT is inderdaad net zoiets als een dubbele hor, weinig zinvol (tenzij er 1 of meer gaten in jouw enkele hor zitten)

Echter om NAT (meestal PNAT) te kunnen doen heb je gewoon een statefull firewall nodig en dat is wat er in elke modem/router zit die NAT ondersteunt.

De zeikdiscussie of een firewall "beter is dan NAT" gaat erover welke aanvullende functionaliteit beschikbaar is (er zijn modem/routers waar je ook gewoon uitgaand verkeer op poorten als 135 t/m139 en 445 kunt blokkeren), en dan blijkt "firewall" een zeer breed begrip te zijn waar iedereen een andere invulling aan geeft.

En sowieso zijn firewalls, net als antivirus, stompzinnig overhyped v.w.b. het blokkeren van malware en het voorkomen van ongewenste extrusions van vertrouwelijke informatie. Aangezien aanvallers poortnummers naar keuze kunnen gebruiken, kan een firewall (die niet op het endpoint zelf draait) bij versleuteld verkeer alleen discrimineren op externe IP-adressen. Die kun je black- of whitelisten, maar dat is een heel gedoe zonder garanties - vaak met boze mensen aan de telefoon als gevolg.

Last but not least, zodra een aanvaller "binnen is" helpt een perimeter firewall geen zier in het voorkomen van schade (ransomware al helemaal niet, en er is altijd wel een tunneltje naar buiten te vinden waarmee jouw klantendatabase kan worden gedeeld met een "trusted" extern endpoint zoals Dropbox, SharePoint, mail- of DNS server).

Door Bitwiper: Een dubbele NAT is inderdaad net zoiets als een dubbele hor, weinig zinvol (tenzij er 1 of meer gaten in jouw enkele hor zitten)

Echter om NAT (meestal PNAT) te kunnen doen heb je gewoon een statefull firewall nodig en dat is wat er in elke modem/router zit die NAT ondersteunt.

De zeikdiscussie of een firewall "beter is dan NAT" gaat erover welke aanvullende functionaliteit beschikbaar is (er zijn modem/routers waar je ook gewoon uitgaand verkeer op poorten als 135 t/m139 en 445 kunt blokkeren), en dan blijkt "firewall" een zeer breed begrip te zijn waar iedereen een andere invulling aan geeft.

En sowieso zijn firewalls, net als antivirus, stompzinnig overhyped v.w.b. het blokkeren van malware en het voorkomen van ongewenste extrusions van vertrouwelijke informatie. Aangezien aanvallers poortnummers naar keuze kunnen gebruiken, kan een firewall (die niet op het endpoint zelf draait) bij versleuteld verkeer alleen discrimineren op externe IP-adressen. Die kun je black- of whitelisten, maar dat is een heel gedoe zonder garanties - vaak met boze mensen aan de telefoon als gevolg.

Last but not least, zodra een aanvaller "binnen is" helpt een perimeter firewall geen zier in het voorkomen van schade (ransomware al helemaal niet, en er is altijd wel een tunneltje naar buiten te vinden waarmee jouw klantendatabase kan worden gedeeld met een "trusted" extern endpoint zoals Dropbox, SharePoint, mail- of DNS server).

Door MathFox: Bij een wat grotere organisatie is het nuttig om een gesegmenteerd netwerk te hebben met firewalls tussen de verschillende afdelingen, als extra toegangsbescherming en om verspreiding van malware binnen het LAN te beperken. In een thuissituatie heb je misschien iets aan een "gasten-netwerk", maar dat hangt af van wat je aan je LAN hebt hangen.
En eens dat het hebben van een goed geconfigureerde firewall/NAT beter is dan twee slecht geconfigureerde.

Door Anoniem:
Waar beschermt de gasten netwerk dan tegen?
Kunnen mensen in de gasten netwerk mij dan nogsteeds zien en kan ik de gasten netwerk zien?

Ik ben psychiater en heb thuis een kleine adminstratie servertje.

Een dubbele Nat is slecht voor de connectiviteit, maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt?

Hoe pak jij netwerk beveiliging dan thuis aan?

Denk ook aan backups!

Door Anoniem: Hoe bescherm je je tegen DNS tunneling?

Door Anoniem: Hoe pak jij netwerk beveiliging dan thuis aan?

Door Bitwiper: en
Het is goed mogelijk dat jullie het niet met mij eens zijn en daarom mijn bijdrage aanhalen, maar waarom schrijf je dan niet wat je bestrijdt? Andersom, als jullie geïnteresseerd zijn in hoe ik dingen aanpak, waarom quoten jullie dan mijn hele bijdrage?

Ik wil best het e.e.a. toelichten, maar niet als ik het gevoel heb dat ik in de zeik genomen word.

Door Anoniem: Ik ben serieus geintereseerd in jouw aanpak en als het niet goed is wil je nog steeds bedanken voor de moeite

Door Bitwiper: OK dan!

M.b.t. DNS tunneling
Het is erg lastig om je tegen tunneling (o.a. DNS) te beschermen. Vooral als je Windows 10, een recente MS Office versie, SharePoint/OneDrive en een virusscanner gebruikt, is je PC voortdurend met vele verschillende IP-adressen aan het communiceren, meestal via https. Ik geen idee welke informatie mijn PC allemaal verlaat (en dat vind ik een slechte zaak).

Voordat die https tunnelverbindingen worden geopend, vindt altijd een DNS request plaats, vaak naar domeinnamen waarin ergens wel een "lijkt op Microsoft" subdomein in terug te vinden is. Als ik cybercrimineel was zou ik zeker iets als mslive.whatever-cdn.com registreren en daar een Let's Encrypt certje opzetten om vertrouwelijke data vanaf computers met mijn malware naar te uploaden. Dat is veel minder zichtbaar dan via DNS (zodra we encrypted DNS hebben, kan dat "interessanter" worden, maar zodra megabytes via DNS vertrekken is er wel iets vreemds aan de hand)..

Tenzij je bereid bent om er veel tijd in te stoppen (ik niet), vrees ik dat er, vooral thuis, niks anders opzit dan software die je installeert te beperken tot die software van fabrikanten die je vertrouwt. En na download grondig vast te stellen dat die software daadwerkelijk afstamt van de bedoelde fabrikant (zonder dat daar "onderweg" ongewenste meuk aan is toegevoegd).

In "grotere omgevingen" dan thuissituaties is DNS verkeer (zeker zolang het nog onversleuteld is) een prima bron voor intrusion detection, alhoewel je dan voor false positives moet waken (er zijn overijverige webbrowsers die voor elke domeinnaam genoemd in bijv. een Google zoekresultaatpagina alvast het IP-adres opvragen, waardoor je lookups van foute sites voorbij kunt zien komen - zonder dat de gebruiker er verbinding mee maakt).

In https://isc.sans.edu/forums/diary/Using+RITA+for+Threat+Analysis/23926/ wordt "DNS Tunneling Detection" expliciet genoemd. Nb met genoemde tools heb ik zelf geen ervaring. Voor een ouder artikel over DNS traffic voor intrusion detection zie https://isc.sans.edu/forums/diary/A+Poor+Mans+DNS+Anomaly+Detection+Script/13918/.

M.b.t. NAT
In mijn Fritz!Box thuis heb ik uitgaand verkeer voor een aantal poorten geblokkeerd (Microsoft poorten en SNMP). Puristen mogen van mij "Network address translation is geen beveiligingstechniek" roepen, maar zonder NAT hadden heel veel meer thuiscomputers in botnets gezeten dan nu het geval is (of Microsoft had serieus moeten gaan beveiligen). Zoals ik eerder schreef, voor (P)NAT heb je statefull firewall-functionaliteit nodig.

Dat ik computers qua luisterende poorten (of WPAD en/of NBNS broadcasts verzenden en zo smeken om door tools als Responder te worden misleid) graag dichtgetimmer is dan ook niet omdat ik mijn NAT minder vertrouw dan een dedicated firewall (die ik, anders dan in diezelfde Fritz!Box, niet heb), maar omdat ik ervan uitga dat elk device aan een netwerk gecompromitteerd kan raken, en omdat ik mijn notebook ook wel eens aan andere netwerken koppel. Zie https://www.security.nl/posting/575928/Netwerken+kwetsbaar+door+automatische+dns-registratie en https://isc.sans.edu/forums/diary/Lets+Trade+You+Read+My+Email+Ill+Read+Your+Password/24062 voor recente waarschuwingen op dit vlak.

Kortom:
- NAT is niet ontworpen met beveiliging als doel, maar blokkeert verbindingen geïnitieerd op internet net zo goed als een "echte" firewall;
- NAT noch een firewall beschermt jouw PC tegen aanvallen van achter zo'n netwerkdevice (LAN/WLAN-zijde). Zeker notebooks die je aan andere netwerken knoopt horen zelf zo goed mogelijk beveiligd te zijn;
- Ga ervan uit dat alles gehacked is tenzij je er voldoende vertrouwen in opbouwt dat dit niet zo is;
- Installeer alleen software die je echt nodig hebt en check de authenticiteit. Zoek alternatieven als je e.e.a. niet vertrouwt;
- Ga ervan uit dat DNS antwoorden onbetrouwbaar zijn. Zorg dat jouw webbrowser up-to-date is, en gebruik zo mogelijk beschermende plugins als NoScript en https everywhere;
- Gebruik een non-privileged account tenzij je beheertaken moet uitvoeren die bijzondere privileges vereisen.
(Er zijn natuurlijk veel meer maatregelen die je kunt nemen).

Nah je hebt heel deskundig advies gegeven en meen serieus dat ik hierover ga nadenke, dankjewel!

Door Anoniem:
Bij voorkeur offsite backup. Zodat niet indien je servers wordt gestolen, verloren gaat in brand, etc hetzelfde gebeurt met je backup. Veel mensen hebben backup device staan naast de server. Dat is onhandig.

Offsite backup is handig als het vervelend is als je zelf niet meer kunt beschikken over je gegevens en er een zeker
risico is van brand of inbraak.
Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico. Kijk maar naar al die artikelen op deze site waarin er ineens een
(meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

Dus je moet altijd blijven opletten.

Door Anoniem: Dubbel NAT, wat is jouw netwerk architectuur? Thuis netwerkt met een standaard KPN modem, dan kan Dubbel NAT jouw wel helpen, daar die KPN Experiabox(en) meer als een open netwerk fungeren. En je kunt ze niet beheren en vertrouwen, en wie weet is de firmware zo lek als een mandje. Bij de mediamarkt een asus doosje halen en deze achter jouw KPN doos installeren. Dan jouw computer achter deze asus doos installeren. Daarna ook altijd jouw firewall goed configureren, op de asus doos als ook op de apparaten erachter (voor zover mogelijk).

Alle andere netwerken verdienen een andere aanpak.

Is het hebben van twee firewalls extra veilig? Ik heb een ingebouwde firewall in mijn modem/router en de router en modem

Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls

Door Anoniem:
Offsite backup hoeft niet te betekenen, dat de data elders via het net bereikbaar zijn.

Offsite is ook een backup tape, die regelmatig (dagelijks of uiterlijk wekelijks) elders wordt bewaard. Bij voorkeur in een kluis en bij voorkeur encrypted, waarbij je wel moet zorgen, dat je ook bij de sleutel kunt, anders wordt herstellen onmogelijk.

En je kunt ze niet beheren en vertrouwen,

Thuis netwerkt met een standaard KPN modem, dan kan Dubbel NAT jouw wel helpen

Backups maak ik in de cloud bij Amazon en zij beveiligen dat. De verantwoording van het beveiligen van de server ligt bij.

Echter als je voornaamste risico is dat ANDEREN kunnen beschikken over je gegevens terwijl dat niet de bedoeling
is, dan is offsite backup juist weer een extra risico

Kijk maar naar al die artikelen op deze site waarin er ineens een (meestal oude) database met klantgegevens gelekt blijkt te zijn omdat deze ergens te slecht beveiligd was opgeslagen.

Alle andere netwerken verdienen een andere aanpak.

Ja daar heb je het al weer, extra maatregelen zijn nodig en er is een extra risico waartegen je je moet beveiligen.

O gaan we weer pedant doen? Het HOEFT niet maar het IS wel een extra risico dat het mis gaat!

Door Anoniem:
Hmm die verantwoordelijkheid ligt daar. Impliceert dat ook dat ze verantwoording aan je afleggen, en dat ze je schadeloos stellen als het mis gaat. Of bedoel je ''ik hoop dat ze het goed doen'' ? ;)

Door Anoniem:
Alsof je de backup, indien deze onsite is, niet hoeft te beveiligen. Verder is er niets op tegen dat je je IT infrastructuur moet beveiligen. Waarom zo dramatisch ?


Pff kan je alleen je punt maken door mensen persoonlijk aan te vallen, of door in hoofdletters te schrijven ? Zet je punt geen kracht bij.

Zowel backups kunnen inderdaad, of ze nou offsite of onsite staan, online of offline zijn. Je zal je zaken *altijd* moeten beveiligen. Onsite, danwel offsite.

maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt

Door Anoniem: Ze bedoelen met dubbel nat vast 2 routers. Een buiten de scope van eigen beheer. En de andere binnen de scope van eigen beheer. Maar de configuratie zoals gegeven/gevraagd is dan een dubbel NAT.


Wel, ze kunnen dan niet direct met jouw computer verbinden. Met ze wordt dan bedoeld de hackers van het op het internet aangesloten router/modem.

Ik heb gegoogled maar niet echt iets nuttigs tegen gekomen.
Een dubbele Nat is slecht voor de connectiviteit, maar zou een dubbele Nat je netwerk niet veiliger maken uiteindelijker omdat het het connecteren van services moeilijker maakt?

Where would TWO NAT routers be useful?

Completely isolating a router's DMZ network and servers.

Isolating an open or low-security wireless access point.

Protecting one "high-value" machine from the rest of the network.

Je kunt er een PC of een apart lokaal netwerk dat je af en toe gebruikt mee "isoleren" van een minder veilig lokaal netwerk. Ik bedoel dit:
stel het ene netwerk loopt besmettelijke malware op die zich over het lokale netwerk verspreidt,
dan kan een extra NAT-router voorkomen dat de hier op aangesloten PC of netwerkje ook wordt geïnfecteerd.
(als je vervolgens gaat communiceren met 1 van de besmette apparaten in het eerste netwerk ben je natuurlijk toch nog besmet).

Door Anoniem: Ik laat iedereen in huis gebruik maken van de modem/router van KPN waar Nat aanstaat. Daar achter plaats ik mijn router waar de Server extra beveiliging dient te worden geïsoleerd van de rest van de netwerk is.
Moet ik daarvoor nog iets instellen of is dat standaard al het geval?
Mijn kinderen kunnen dan de Server niet bereiken toch(stel je voor ze krijgen ransom/virus)?

Een server is natuurlijk zinloos als deze vanaf geen enkel device benaderd kan worden. Je zult dus in de "binnenste NAT router" 1 of meer "poorten moeten open zetten". Stel op jouw server draait een web service die luistert op poort 80, dan zal die binnenste NAT router netwerkverkeer geïnitieerd aan de LAN zijde, gestuurd naar poort 80 op het LAN IP-adres van die router, moeten doorlaten (daarbij het IP-adres vertalend naar 10.0.0.2) naar de server.

Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!
Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)
Deze kan hij net zo goed bijzetten in hetzelfde netwerk als de server.
Mochten er andere apparaten zijn voor zakelijk gebruik dan zou ik ze allemaal in het extra beveiligde netwerk zetten.
Zo hou je het zakelijk gedeelte gescheiden van het speelgedeelte. Als het kan lijkt me dat het beste.

En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.
En stel dat de printer die mogelijk ook door het speelgedeelte wordt gebruikt daardoor besmet is geraakt, dan kan ook het extra beveiligde netwerk eventueel worden besmet. Maar ik weet niet of deze situatie in deze case bestaat,
en als de printerfabrikant printerfirmware actief bijwerkt en de gebruiker zich ervan gevergewist dat deze in de printer is geladen, dan is er weinig kans dat er een infectie/besmetting zal plaatsvinden via de printer.

groetjes,
Anoniem 14:01

Door Anoniem: Poorten openzetten verzwakt volgens mij de bescherming van de server!

Door Anoniem: Als ik het zo hoor heeft topicstarter een bedrijfsPC of -terminal en een bedrijfsserver. (correct??)

Door Anoniem: En deel je vanuit het zakelijk gedeelt bijv. een printer in het speelgedeelte dan hoeven er denk ik geen speciaal poorten worden open gezet, want dit gaat automatisch. Ik ben er niet helemaal zeker van of je nog ergens iets moet instellen, maar als dat het geval is zal het met routering te maken hebben en niet met openen van poorten.

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.

Door The FOSS: Misschien is het voor de zakelijke toepassingen beter om die apparatuur helemaal niet aan het thuisnetwerk te verbinden. In plaats daarvan een dedicated data verbinding (mobiel netwerk) via een insteekdingetje waar een SIM-kaartje in kan. Ik weet niet hoeveel data je nodig hebt maar voor € 35,- p/m heb je al een 'onbeperkt' abonnement. Als je minder nodig hebt wordt het goedkoper. Bij verwerking van gevoelige persoonsgegevens kan je niet voorzichtig genoeg zijn. Met volledige fysieke scheiding van toegang tot internet en apparatuur daarvoor, heb je de meeste zekerheid. Consumentengebruik met consumentencomputers met consumentenbesturingssystemen combineert niet zo goed met zakelijke gebruik plus hoge eisen aan beveiliging.

En volledige schijfversleuteling voor je zakelijke laptop; in BIOS instellen dat alleen van de harde schijf kan worden opgestart; plus evt. een BIOS wachtwoord.

Door Anoniem:
Ik vind je idee heel leuk en ga kijken naar de mogelijkheden!
Moet dan nogsteeds uitzoeken hoe ik mijn laptop en server dan veilig kan beveiligen en dan nogsteeds wil ik mijn zakkelijke laptop en server van elkaar scheiden (dat kan ook natuurlijk met 2 simkaarten)

Door Anoniem: Nee, je kunt beter één goed geconfigureerde firewall hebben dan 2 niet geconfigureerde firewalls

Door Anoniem: Beetje kortzichtige reactie, immers alle niet goed/geconfigureerde componenten zijn eerder een gevaar dan een zegen... Twee (goed geconfigureerde) firewalls kunnen wel degelijk een betere bescherming bieden. Echter je moet dan denken aan firewalls obv een verschillend OS en firewall 'applicatie'. De kans dat een kwetsbaarheid in beide firewalls voorkomt is aanmerkelijk lager. Echter het beheer dient ook op orde te zijn. Wat in dergelijke situaties nog wel eens het geval wil zijn is matige kennis van een van de twee firewalls of OS-en.

Door Bitwiper: Absoluut. Maar een onbereikbare server kun je net zo goed uitzetten, da's nog veiliger.

Of Anoniem 29-09-2018, 17:15 de TS is, weet ik niet zeker, maar dat is de bijdrage waar ik op reageerde.

De verwarring ontstaat mogelijk omdat je niet precies weet wat een "NAT router" doet.

In de basis is NAT (Network Address Translation) het, on-the-fly, wijzigen van IP-adressen in netwerkpakketjes (voor die basisfunctionaliteit heb je geen router nodig). Wat in de volksmond een NAT router heet is een veel complexer apparaat. Het doel daarvan is namelijk om een REEKS interne IP-adressen te "verstoppen" achter 1 publiek IP-adres.

Een bijwerking van deze techniek (ook bekend als masquerading, zie https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html) is dat vanaf internet alleen pakketjes naar het publieke IP-adres van de router gestuurd kunnen worden. Vervolgens moet die router "weten" naar welk intern IP-adres die pakketjes moeten worden gestuurd. Daarvoor heeft zo'n router een NAT-tabel:
Na aanzetten van de NAT router is de NAT tabel leeg. Als er vanaf internet een pakketje naar 80.80.80.80 wordt gestuurd, heeft de router geen idee naar wel intern device dat pakketje doorgestuurd zou moeten worden (dat zou in de NAT tabel moeten staan, maar die is leeg). Als de router zelf op een bepaald poortnummer luistert, en het pakketje voor die poort bestemd is, wordt het pakketje aangenomen; anders zal het worden gedropt.

Zodra een intern device een pakketje naar een internet IP-adres stuurt, zal de router een regel voor de terugweg (voor antwoordpakketjes dus) in de NAT-tabel opnemen. Als device 2 verbinding maakt met https://www.security.nl/ (met IP-adres 82.94.191.109), komt de volgende regel in de tabel:
Daarbij kan de afzenderpoort 12345 in principe elke willekeurige waarde tussen 0 en 65536 hebben. Antwoordpakketjes van www.security.nl gaan via de omgekeerde route naar device 2.

Als meer dan 1 intern device verbinding maakt met www.security.nl en daarbij toevallig dezelfde afzenderpoorten worden gebruikt, zou de NAT router beide verbindingen niet meer uit elkaar kunnen houden. Daarom is in de praktijk altijd sprake van PNAT - er vindt ook port translation plaats:
Zo kan de (P)NAT router antwoordpakketjes naar het juiste device sturen.

Maar wat nu als het interne device 3 een webserver is die vanaf internet bereikbaar moet zijn? Daarvoor kun je een statische regel in de NAT tabel maken, als volgt:
Bovenstaande regel zorgt ervoor dat pakketjes vanaf een willekeurig publiek IP-adres met een willekeurig afzenderpoortnummer gestuurd naar 80.80.80.80 met poortnummer 80 worden doorgezet naar de interne webserver. Op die manier kun je dus poorten openzetten in deze "NAT router", die effecief gewoon een firewall is - zonder zo'n "opengezette poort" kunnen interne devices niet vanaf internet worden bereikt, terwijl van binnenuit geïnitieerde verbindingen wel antwoord kunnen krijgen.

Kortom, wat in de volksmond een "NAT router" wordt genoemd is simpelweg een voorgeconfigureerde firewall die GEEN netwerkpakketjes van buiten naar binnen toestaat, tenzij het om antwoordpakketjes gaat - op van binnenuit geïnitieerde verbindingen. Met statische NAT-tabel regels kun je, indien nodig, poorten open zetten (vanaf WAN/internetzijde) voor 1 of meer specifieke interne IP-adressen. Met "dubbele NAT" kan dat op twee plaatsen, en kun je dus verder segmenteren (zie mijn vorige bijdrage).

Overigens raad dit soort low-budget oplossingen af voor professionele ongevingen, behoudens de voorbeelden die ik in mijn vorige hijdrage gaf. Maar voor thuis is dit m.i. prima: lekker goedkoop en eenvoudig te configureren.

Door Anoniem: Weet ik. Maar het was niet gegeven dat de server bereikbaar moet zijn vanaf internet. Leek me juist dat dit niet de bedoeling is. Een bedrijfsPC hangen op hetzelfde netwerk waar de kinderen spelen had nog een reden kunnen zijn voor dat routeren (sorry, ik noem het dus routeren om van de WAN van een andere router bij een device op het LAN van die andere router te komen, in dit geval de server) maar het is sowieso niet handig dat een bedrijfsPC op hetzelfde netwerk zit als waar de kinderen spelen. Die kan je dan beter verplaatsen naar het lokale netwerk waar de server aan hangt. Dat scheelt dan bovendien dat stukje routeringsrompslomp. Snappu?
Maar ik zie nu dus dat men de bedrijfslaptop van de server wil scheiden, en ik begrijp even niet waar die server dan precies voor dient. Ik bedoel ik zie niet direct in waarom bedrijfslaptop en (bedrijfs?)server moeten worden gescheiden. Maar misschien heeft de server (ook?) een ander doel.

Door Anoniem: Firewallen is zowiezo een hele lastige klus en als je het niet beheerst kan je er beter niet aan zitten.

Door Anoniem: Veel consumenten routers hebben maar een basic firewalls en DOS bescherming wat je niet echt veel meer beveiliging biedt dan de firewall in je OS.

Oneens. Op de meeste Windows consumenten PC's draaien de server-, RDP- en remote registry services en worden belachelijk simpele wachtwoorden gebruikt, met een OS firewall die open staat voor genoemde services. Zonder NAT routers zouden er nog véél meer zombie PC's aan internet hangen.

Door Bitwiper:
Eens. Ik heb meerdere door "professionals" opgezette en "beheerde" firewalls gezien waarin allerlei poorten waren opengezet zonder dat was gedocumenteerd waarom, voor wie en sinds/tot wanneer. En als er geen verkeer te zien is, en je veiligheidshalve de poort maar dicht zet, er een maand later iemand komt klagen dat zijn applicatie "ineens" niet meer werkt.