Windows Firewall achter NAT nodig?

[ Voor 6% gewijzigd door Verwijderd op 18-01-2008 07:33 ]

Verwijderd schreef op vrijdag 18 januari 2008 @ 06:31:
Is jou livebox een router?

Dan heb je die firewall ook niet eens nodig die je gebruikt in Windows. Zowiezo zijn firewalls vanaf een PC behoorlijk overbodig als je achter een router zit die standaard alles dichtheeft.

Verwijderd schreef op vrijdag 18 januari 2008 @ 06:40:
[...]

Vindt het zelf maar hopeloos irritant een stukje softwarematige firewall achter een router die dichtstaat.

[ Voor 53% gewijzigd door Borromini op 18-01-2008 08:43 ]

Verwijderd schreef op vrijdag 18 januari 2008 @ 07:26:
Ik vind dat pas onzin. Norton is zeker zo slecht niet als veel mensen roepen.

DeMoN schreef op zaterdag 19 januari 2008 @ 01:11:
[...]


Stop.
Bedoel je hier niet Symantec AV i.p.v. Norton? Anyway, alle producten van Symantec brengen sowieso schaarser updates uit dan andere AV-vendors.

offtopic:
Verplaatst vanuit iexplorer zomaar op 'blocked'?, daarom is de topicstart wat abrupt.
En ja, ik moest even nadenken over een titel

[ Voor 17% gewijzigd door F_J_K op 19-01-2008 12:18 ]

[ Voor 33% gewijzigd door DeMoN op 21-01-2008 00:17 ]

Verwijderd schreef op maandag 21 januari 2008 @ 11:55:
..... Ik vraag me dan ook serieus af wat de lol hiervan is om iemand z'n pc plat te gooien.......

... Ik draai nu al een paar weken zonder virusscanner icm Windows 2000. Ik weet wat ik doe, en dat kan prima. Ik hang ook niet rond op ongure site en mijn mailserver zorgt ervoor dat mail met stomme bijlages al vanaf de server geweerd worden.....

Verwijderd schreef op maandag 21 januari 2008 @ 11:55:

Ik draai nu al een paar weken zonder virusscanner icm Windows 2000. Ik weet wat ik doe, en dat kan prima. Ik hang ook niet rond op ongure site en mijn mailserver zorgt ervoor dat mail met stomme bijlages al vanaf de server geweerd worden. Ter behoud check ik deze mail nog vaak eens per webbased mail, en download ze dan zodra deze 'safe' zijn naar m'n eigen PC. Irritante werkwijze zou je zeggen, maar als je jezelf dit eenmaal hebt aangeleerd is dit nog geen 5 minuten werk per dag.

[ Voor 0% gewijzigd door Verwijderd op 21-01-2008 18:34 . Reden: Typowww ]

Verwijderd schreef op maandag 21 januari 2008 @ 18:33:
[...]
Juist... weer iemand die DENKT zoveel verstand van pc's te hebben dat ie geen virusscanner hoeft te draaien nooit gehoord van aanvallen vanaf internet waarbij jij als gebruiker geen enkele actie hoeft te ondernemen om besmet te raken (zoek eens op google op remote code injection)?
Zeker als je nog met Windows 2000 werkt!

GH45T schreef op maandag 21 januari 2008 @ 18:51:
@Q-t, veilig een pc gebruiken zonder virusscanner kan wel.

[ Voor 4% gewijzigd door Verwijderd op 21-01-2008 20:33 . Reden: Aanvulling ]

Verwijderd schreef op maandag 21 januari 2008 @ 20:31:
[...]


Riiiiight, als je hem niet koppelt aan internet (direct of indirect) wel jah...
Luister, ik bedoel dat niet lullig, maar het is wel dégelijk een groot risico, en niet alleen voor hemzelf, maar ook voor ieder ander die aan zijn bak aan internet 'hangt'.

Je kunt nog zoveel "functionaliteit" van je browser uitschakelen, maar zodra jij een slim in elkaar gedraaide site opent (verder niets, alleen openen, er hoeft maar een plaatje ingeladen te worden en dat is zelfs op bijv. www.nu.nl enige tijd geleden nog gebeurd!) kun je de sjaak zijn v.w.b. remote code injection. Met IE, met Firefox en met iedere browser die je dan wilt gebruiken, want er is er geen enkele waterdicht (behalve Lynx misschien )

En daar ben je dus zonder virusscanner, achter een router, met een dichtgetimmerde Windows-bak volledig vatbaar voor.
En dát is het probleem wat ik probeer duidelijk te maken.

Verwijderd schreef op vrijdag 18 januari 2008 @ 06:31:
Is jou livebox een router?

Dan heb je die firewall ook niet eens nodig die je gebruikt in Windows. Zowiezo zijn firewalls vanaf een PC behoorlijk overbodig als je achter een router zit die standaard alles dichtheeft.

Ik draai nu al een paar weken zonder virusscanner icm Windows 2000. Ik weet wat ik doe, en dat kan prima.

Can't stress this strongly enough, A ROUTER IS NOT A FIREWALL. That said,
if they have no critical data, can handle a reasonable amount of
downtime for rebuilding their network if they're hacked, and have no money,
then maybe its not worth it, otherwise I strongly recommend putting in a
firewall. Here are a few points as to why this is better:

1) A router is designed with the idea of assisting communication, while a
firewall is designed with the idea of limiting it.

2) Firewalls can do stateful packet inspection

3) As you mentioned, firewalls have more granular control, allowing you to
control traffic both ways for example.

4) Many cheap routers have "backdoors" or "administrative passwords" which
allow the company techs to get in regardless of what you've set since, these
can often be found on warez sites.

5) The default settings on linksys routers (which can come up after a power
loss for example) are not secure.

6) Linksys routers have no logging capability.

7) NAT is no protection unless you have a method of dropping source routed
packets.

This is an inaccurate statement and a faulty analogy that may well
contribute to confusing dramatically different technological concepts. The
difference between the two concepts is entirely functionally based.

Network Address Translation (NAT) comes in many flavors. But the heart of
the concept is that it's a method for mapping one IP address to another, be
it statically or dynamically. The most common variety has come to be the
overloaded version where multiple non-routable/unregistered IP addresses are
mapped to one publicly addressable/registered IP address. The reason this
is so popular is because of the relatively limited size of the registered IP
address range in IPv4 (this will hardly be a problem once IPv6 is adopted)
and thus the fact that most of us who pay for connections for our home don't
want to shell out for multiple static IP's from our ISP's as it gets
expensive because they're a somewhat scarce resource.

For a comprehensive but accessible overview of NAT, see:
http://computer.howstuffworks.com/nat.htm

Note, however, that the overloaded version is not the only implementation of
NAT. There is even a specification for static, 1:1 mappings between a set
of unregistered IP's (i.e. 192.168.1.1) and a set of registered IP's. All
traffic reaching the NAT box for a specific registered IP will be mapped to
the associated private IP address.

A firewall is commonly a piece of software or hardware that sits between two
network segments and is designed to prevent some network traffic from being
passed through it based on a specifically stated policy (paraphrased from
the wikipedia article on firewalls). Note, in the case of a software
firewall on an individual computer, the distinction between network segments
is logical only and not physical, but suffice to say that the firewall
software essentially sits between the OS's tcp/ip stack and the network
interface.

So, the difference between the NAT and Firewalls should be clear. NAT
systems are intended to map sets of IP addresses and Firewalls are intended
to actively inspect traffic and drop or allow traffic based on a
specifically formulated policy.

Using a dynamic/overloaded NAT implementation to allow a small network of
machines with non-routable addresses to access the internet via a single
routable IP address can make attacks from the outside more difficult as it
does break the concept of end to end connectivity that many network
protocols rely on, but it's not now, nor ever was it intended to be a
security measure. Depending on the implementation details and a NAT system
may still allow external access to the machines it sits in front of (this is
especially true in the case of static 1:1 mappings, but it may happen even
with the popular dynamic/overloaded implementations) Essentially, the
popular versions of NAT embody the concept of security through obscurity.
That concept has proven time and time again to be unreliable.

Now, that having been said, many of the cheap NAT boxes out there include
simple firewall implementations, but very few people actually make use of
those "advanced" settings in practice. My point, however, is and has been
that NAT and Firewalls are complimentary technological concepts but they are
intended for dramatically different purposes and neither is truly reliable
or effective at doing what the other does. -- To adapt the analogy I railed
against, you could call your NAT implementation coffee and the Firewall
cream. You might well use either separately, and they work well together
but you'd be mistaken to confuse the two.

[ Voor 61% gewijzigd door Bor op 21-01-2008 21:17 ]

Verwijderd schreef op maandag 21 januari 2008 @ 22:19:
[...]
Ja schop eens een boom om ofzo? Mijn pc is helemaal niet geinjecteerd met een Trojan of een Backdoor virus, wat volgens jou onderdeel maakt van een botnet. Mehoella

Ongure websites waarbij dit soort meuk geinstalleerd wordt, kom ik niet eens op. Op Tweakers en een paar andere handjevol websites zul je mij nergens anders ook treffen.

En dan nog, als je router voor verkeer vanaf buitenaf dichtstaat, dan heb je er niets aan. Kan je nog wel 100'en trojans installeren, maar letterlijk een overtake van je PC kan je wel schudden.

en om even de proef op de som te nemen heb ik op netstat een hoopje verbindingen staan die voor HTTP & MSN wijzen.

[ Voor 18% gewijzigd door Bor op 21-01-2008 22:29 ]

Liever een goede router met firewall functie + een op de achtergrond functionerende virusscanner, dan een softwarematige firewall alleen. Die moet je na herinstallatie ook weer configureren steeds, wat met een router niet is. Eenmaal de juiste poorten geforward en je hoeft nooit meer wat te doen eraan.

[ Voor 52% gewijzigd door Bor op 21-01-2008 22:47 ]

Verwijderd schreef op dinsdag 22 januari 2008 @ 01:00:
[...]


Zelden dat ik mijn router reset.

Leaktest geeft overigens 'passed' weer. Dat komt mede doordat ik nu achter een Eminent modem hang met wel de firewall aan maar verder geen rules gedefineerd. Als ik van de week hier klaar ben zal dat ongetwijfeld wel anders zijn

leuk_he schreef op maandag 21 januari 2008 @ 18:49:
[...]
.....
Echter MEER firewalls maken de boel niet zomaar veiliger.........

[ Voor 26% gewijzigd door Techneut op 22-01-2008 10:43 ]

Techneut schreef op dinsdag 22 januari 2008 @ 10:21:
[...]
Is ook volstrekt zinloos, ze kunnen elkaar zelfs tegenwerken en het wordt daarom absoluut afgeraden. Als je een software-firewall installeert en start, schakelt hij doorgaans automatisch de Windows firewall uit. Software-firewall en die in een router achter elkaar (ze zitten in feite ook achter elkaar en niet naast elkaar) is geen enkel probleem, het heeft geen enkele zin om de laatste uit te schakelen.

Techneut schreef op dinsdag 22 januari 2008 @ 10:21:
[...]
Kortom, alleen binnenkomen door aan te kloppen. Precies zoals het hoort, leuke test.