Microsoft: Firewalls houden hackers niet buiten
Bedrijfsnetwerken worden niet voldoende door firewalls beschermd, aldus een Microsoft security expert. "Firewalls zijn net debiele routers. Ze kijken alleen naar de poorten, bronnen en bestemmingen die ze bevallen. Als een trein via Eurostar van Gare du Nord naar Waterloo gaat dan mag je het land binnenkomen, omdat je het vertrouwt. Dat is wat firewalls op dit moment doen. Ze kijken niet of al-Qaeda meerijdt," aldus Fred Baumhardt die een lezing gaf over de noodzaak van een nieuwe generatie firewalls. Baumhardt gaf verder als voorbeeld hoeveel hackers poort 80 gebruiken om een netwerk binnen te komen en dit als betrouwbaar verkeer gezien wordt. Hij voegt in dit artikel verder toe dat het belangrijk is om het netwerk niet alleen aan de buitenkant, maar ook aan de binnenkant moet beschermen.
Reacties (27)
Kletskoek Microsoft! Mijn systeem heeft duizenden aanvallen overleefd
dankzij een Firewall.!
dankzij een Firewall.!
Poort 80 aanvallen heeft bij mijn firewall geen zin. Die haalt de aanval
er meteen uit...
er meteen uit...
moderne firewalls doen wel degelijk de pakketjes open.
Dus als al quada in de trein zit, zullen ze wel ontdekt worden.
Maar het is algemeen bekend dat microsoft een tijdje achter loopt.
Ik zou nooit security oplossingen van deze partij betrouwen
Dus als al quada in de trein zit, zullen ze wel ontdekt worden.
Maar het is algemeen bekend dat microsoft een tijdje achter loopt.
Ik zou nooit security oplossingen van deze partij betrouwen
Mee eens. Deze 'security expert' vergelijkt ISA 2004 met
domme firewalls en gaat gemakshalve even voorbij aan andere
moderne 'intelligente' firewall-achtige apparaten zoals
esafe. Kortom dit is weer een typisch staaltje
Microsoft-marketing. Een van de 'voordelen' van ISA is,
dat het het propriëtaire NTLM-protocol gebruikt om
gebruikers te authenticeren. Zo probeert M$ aan alle kanten
meer grip op het internet te krijgen.
domme firewalls en gaat gemakshalve even voorbij aan andere
moderne 'intelligente' firewall-achtige apparaten zoals
esafe. Kortom dit is weer een typisch staaltje
Microsoft-marketing. Een van de 'voordelen' van ISA is,
dat het het propriëtaire NTLM-protocol gebruikt om
gebruikers te authenticeren. Zo probeert M$ aan alle kanten
meer grip op het internet te krijgen.
Niet om vervelend te doen, maar zijn verhaal heeft wel een
kern van waarheid.
De meeste firewalls, halen de pakketjes die er door gaan
niet uit elkaar om te kijken of er een aanval op
applicatielaag in verborgen zit.
Als een hacker via poort 80 een attack uitvoerd op een
Outlook lek op je pc, dan zijn de meeste bedrijven hiervoor
niet goed genoeg beveiligd.
Om dergelijke attacks te zien en ook daadwerkelijk tegen te
houden, zou een oplossing bijvoorbeeld zijn om een Intrusion
Prevention oplossing te implementeren in je netwerk of op de
servers.
Kortom, het is geen kletskoek van MicroSoft.
kern van waarheid.
De meeste firewalls, halen de pakketjes die er door gaan
niet uit elkaar om te kijken of er een aanval op
applicatielaag in verborgen zit.
Als een hacker via poort 80 een attack uitvoerd op een
Outlook lek op je pc, dan zijn de meeste bedrijven hiervoor
niet goed genoeg beveiligd.
Om dergelijke attacks te zien en ook daadwerkelijk tegen te
houden, zou een oplossing bijvoorbeeld zijn om een Intrusion
Prevention oplossing te implementeren in je netwerk of op de
servers.
Kortom, het is geen kletskoek van MicroSoft.
Overigens is eSafe geen firewall, maar een proxy achtige
appliance die content security doet..
Edwin
appliance die content security doet..
Edwin
Door Anoniem
Poort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
Wat een dikke vette onzin. Ooit gehoord van cross sitePoort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
scripting? SQL injection? Goeie firewall die dat tegenhoud.
Verkeer van binnenuit dan? Waarom zou een trojan een
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
06-10-2004, 13:03 door
Alain
Heeft het Deep Packet Inspection (filteren op applicatie
niveau) veel impact op de performance van het netwerk?
Of indien het alleen gebeurt op de servers (binnen de DMZ),
wat voor impact heeft het op de performance van de host /
server?
niveau) veel impact op de performance van het netwerk?
Of indien het alleen gebeurt op de servers (binnen de DMZ),
wat voor impact heeft het op de performance van de host /
server?
06-10-2004, 13:07 door
Poele
Wat maakt een apparaat een firewall? Een Cisco PIX is een firewall. Maar is
een eSafe dat ook? Of is dat een content scannings device? Om deze
discussie te kunnen voeren moeten we wel eerst overeenstemming hebben
over het onderwerp. Wanneer we PIX-achtige apparaten als firewall
beschouwen en een eSafe-achtig ding niet, dan heeft MS gelijk.
My 50 cents.
een eSafe dat ook? Of is dat een content scannings device? Om deze
discussie te kunnen voeren moeten we wel eerst overeenstemming hebben
over het onderwerp. Wanneer we PIX-achtige apparaten als firewall
beschouwen en een eSafe-achtig ding niet, dan heeft MS gelijk.
My 50 cents.
Deep inspection zit bijvoorbeeld op de NetScreen firewallen
en kunnen BEPERKT op applicatielaag controleren.
Zover ik weet is er geen enkele firewall die een volledige
Intrusion Prevention oplossing biedt (zoals NetScreen IDP of
McAfee IntruShield)
Edwin
en kunnen BEPERKT op applicatielaag controleren.
Zover ik weet is er geen enkele firewall die een volledige
Intrusion Prevention oplossing biedt (zoals NetScreen IDP of
McAfee IntruShield)
Edwin
Isa server is nog steeds brandhout, vanaf de eerste versie al.
Simpele firewall werkt prima in de meeste gevallen, de grootste bedreiging
komt nog steeds van binnenuit. D.w.z. eit-jes van gebruikers en virussen,
etc. die door eit-jes worden geactiveerd.
Simpele firewall werkt prima in de meeste gevallen, de grootste bedreiging
komt nog steeds van binnenuit. D.w.z. eit-jes van gebruikers en virussen,
etc. die door eit-jes worden geactiveerd.
MS heeft sowieso gelijk. Maar het is ook niet meer dan
logisch. Als je je voordeur zwaar beveiligd, en je geld op
tafel legt, hoeft men alleen maar door de voordeur te komen.
Als je je geld ook nog in een kluis legt, wordt het een stuk
moeilijker voor de inbreker. Hetzelfde geld voor een
netwerk. Daar hoef je niet echt een security expert voor te
zijn.
logisch. Als je je voordeur zwaar beveiligd, en je geld op
tafel legt, hoeft men alleen maar door de voordeur te komen.
Als je je geld ook nog in een kluis legt, wordt het een stuk
moeilijker voor de inbreker. Hetzelfde geld voor een
netwerk. Daar hoef je niet echt een security expert voor te
zijn.
Een goede Firewall bezit z.g. Aanvalshandtekeningen. Vindt er een
aanval plaats, dan haalt de Firewall die er uit. Wie een domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
aanval plaats, dan haalt de Firewall die er uit. Wie een domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
Door Anoniem
scripting? SQL injection? Goeie firewall die dat tegenhoud.
Door Anoniem
Poort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
Wat een dikke vette onzin. Ooit gehoord van cross sitePoort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
scripting? SQL injection? Goeie firewall die dat tegenhoud.
Een goede firewall haalt ook deze troep eruit hoor!
Door Anoniem
Verkeer van binnenuit dan? Waarom zou een trojan een
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
Verkeer van binnenuit dan? Waarom zou een trojan een
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
Ooit gehoord van Leak-proof firewalls? Ooit gehoord van een
Virusscanner?
Door Anoniem
Een goede Firewall bezit z.g. Aanvalshandtekeningen. Vindt
er een
aanval plaats, dan haalt de Firewall die er uit. Wie een
domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
Een goede Firewall bezit z.g. Aanvalshandtekeningen. Vindt
er een
aanval plaats, dan haalt de Firewall die er uit. Wie een
domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
Dit is iets van de klok en de klepel, want je verteld maar
een deel van het verhaal.
Zoals reeds eerder gemeld, vangen de meeste firewals geen
aanvallen op applicatieniveau af.
Firewalls werken veelal met signatures
(aanvalshandtekeningen) om zo aanvallen op netwerkniveau
etc, te kunnen herkennen en te blokken.
Daar houdt het dan ook echt wel op.
ISA 2004 is overigens de eerste uit de ISA reeks waar een
softwarematige firewall in zit... voorheen was het meer een
proxy server.
Beveiligen van je netwerk is niet voldoende met de klasieke
oplossingen (firewall, virusscanner).
Het kost alleen enorm veel geld om het goed aan te pakken en
je moet een balans zoeken tussen
- Goede beveiliging
- Kosten
- Acceptabele risico
Edwin
06-10-2004, 14:36 door
SirDice
Een firewall werkt op laag 3/4. Een content scanner werkt op laag 7. Je ziet
echter tegenwoordig steeds meer content scanners met firewall
functionaliteit en firewalls met content scanner functionaliteiten.
Als je naar een "echte" firewall kijkt (1 die alleen op laag 3/4 werkt) dan heeft
deze meneer gelijk. Als je je website beschikbaar wilt maken voor de rest
van de wereld zul je er een gaatje in moeten prikken.
Jammer genoeg werkt MS zelf mee aan het onveiliger maken van een
relatief "onschuldige" http poort. Men heeft tenslotte SOAP ontwikkelt om
daarmee een firewall te kunnen "omzeilen". (Dit omdat elke weldenkende
security specialist weet dat RPC heel gevaarlijk is en dit dus niet toestaat
door de firewall. SOAP is simpel gezegt RPC over HTTP).
echter tegenwoordig steeds meer content scanners met firewall
functionaliteit en firewalls met content scanner functionaliteiten.
Als je naar een "echte" firewall kijkt (1 die alleen op laag 3/4 werkt) dan heeft
deze meneer gelijk. Als je je website beschikbaar wilt maken voor de rest
van de wereld zul je er een gaatje in moeten prikken.
Jammer genoeg werkt MS zelf mee aan het onveiliger maken van een
relatief "onschuldige" http poort. Men heeft tenslotte SOAP ontwikkelt om
daarmee een firewall te kunnen "omzeilen". (Dit omdat elke weldenkende
security specialist weet dat RPC heel gevaarlijk is en dit dus niet toestaat
door de firewall. SOAP is simpel gezegt RPC over HTTP).
Leuke van al die gecombineerde apparaten (die dus van alles
kunnen) is dat je maar 1 apparaat hoeft aan te schaffen,
maar daarmee je kwetsbaarheid (single point of failure)
vergroot.
Kortom.. moet je weer een fail-over unit aanschaffen.
ik quote mijzelf:
Security kost geld, maar het gaat om de mix:
- Goede beveiliging
- Kosten
- Acceptabele risico
Edwin
kunnen) is dat je maar 1 apparaat hoeft aan te schaffen,
maar daarmee je kwetsbaarheid (single point of failure)
vergroot.
Kortom.. moet je weer een fail-over unit aanschaffen.
ik quote mijzelf:
Security kost geld, maar het gaat om de mix:
- Goede beveiliging
- Kosten
- Acceptabele risico
Edwin
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
06-10-2004, 16:39 door
Poele
Door Anoniem
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Vertel dat CheckPoint eens...
Door Anoniem
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Je kan wel degelijk je eigen webservers runnen. Plaats ze
alleen fatsoenlijk in een DMZ. Zorg er tevens voor dat er
geen verkeer mogelijk is vanuit de DMZ naar het interne
netwerk. Op die manier kan alleen de webserver via dat
'gapende' gat door de firewall benaderd worden. Mocht de
webserver gecompromiteerd worden dan is alleen dat apparaat
de klos en blijft de rest doordraaien. Plaats tussen de
firewall en het interne netwerk nog een proxy en je zit
redelijk safe.
Valt of staat dit alles niet met de definitie van "firewall" ?
Ofwel de aloude toren van:
packet filter
static packet filter
content filter
deep inspection
??
Vergelijken van appels met peren dus....
Ofwel de aloude toren van:
packet filter
static packet filter
content filter
deep inspection
??
Vergelijken van appels met peren dus....
blijkbaar wel voor een aantal mensen hier onder ons (zie
eerste paar posts)
Edwin
eerste paar posts)
Edwin
Door Anoniem
Kletskoek Microsoft! Mijn systeem heeft duizenden aanvallen overleefd
dankzij een Firewall.!
Ben ik het mee eens, maar goed hoeveel heb je gemist?Kletskoek Microsoft! Mijn systeem heeft duizenden aanvallen overleefd
dankzij een Firewall.!
10-05-2006, 16:10 door
SirDice
Pfff... Hallo.... Je reageert op posts van bijna 2 jaar oud...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
