Waarom een aparte firewall

Wellicht omdat je lokale netwerk en alle apparatuur die daar aan verbonden zit, rechtstreeks te bereiken is vanaf het "enge internet" dmv een extern IP adres die aan je modem/router is toegewezen ?

Iedereen en alles kan dus theoretisch op je interne netwerk naar binnen als je geen firewall op of na je router hebt staan.

Je anti virus software en firewall op de computers zelf gaan wel iets uitmaken, maar als je interne netwerk "open" staat voor iedereen en alles, dan is het wachten wanneer je printers, switches, Wifi punten etc en uiteindelijk ook je computers continue worden aangevallen.

[ Voor 50% gewijzigd door Breezers op 22-11-2016 15:50 ]

Breezers schreef op dinsdag 22 november 2016 @ 15:08:
Wellicht omdat je lokale netwerk en alle apparatuur die daar aan verbonden zit, rechtstreeks te bereiken is vanaf het "enge internet" dmv een extern IP adres die aan je modem/router is toegewezen ?

Iedereen en alles kan dus theoretisch op je interne netwerk naar binnen als je geen firewall op of na je router hebt staan.

Je anti virus software en firewall op de computers zelf gaan wel iets uitmaken, maar als je interne netwerk "open" staat voor iedereen en alles, dan is het wachten wanneer je printers, switches, Wifi punten etc en uiteindelijk ook je computers continue worden aangevallen.

Onder andere dit.
Zelf werk ik voor een van de grotere cyber security bedrijven in het land, en wij doen onder andere actieve threat monitoring.
Als je ziet wat er op een dag langs komt, al zijn het maar gewoon botjes die het hele internet afscannen, dan snap je dat je een firewall nodig hebt.
En de kans is groot dat je ISP de SMB poorten niet afvangt (weet niet zeker of ze dat op zakelijk wel of niet doen) en dat wil je al helemaal niet op je netwerk hebben

Welke router krijg je dan? Mijn Experiabox V10 heeft namelijk gewoon een firewall.

TKroon schreef op donderdag 24 november 2016 @ 09:05:
Welke router krijg je dan? Mijn Experiabox V10 heeft namelijk gewoon een firewall.

Geen experiabox.het zal wel een switch worden waar glas op binnen komt en ethernet uitgaat.daarachter moet ie zijn firewall knopen

Als het zakelijk is krijgt hij een switch inderdaad met daarvoor een fiber endpoint dinges. Ben de naam ff kwijt. Maar als consument krijg je altijd een experiabox. Met de experiabox zit je in de basis wel goed. Heb je het zakelijk dan wil je absoluut niet zonder firewall. Dan is het een kwestie van wachten voordat je een bot binnen hebt op 1 van je devices.

Overigens krijg je bij zakelijk internet van kpn geen berg met ip adressen (ipv4 tenminste, ipv6 wel lijkt me). Maar dan moeten al je apparaten ipv6 compatible zijn. Dus een nat laag is vaak geen overbodige luxe.

vincedd schreef op donderdag 24 november 2016 @ 10:05:
[...]


Geen experiabox.het zal wel een switch worden waar glas op binnen komt en ethernet uitgaat.daarachter moet ie zijn firewall knopen

Ik had inderdaad wel uit de TS op kunnen maken dat het zakelijk was inderdaad

Verwijderd schreef op dinsdag 22 november 2016 @ 14:52:
\Waarom heb ik toch een aparte firewall nodig? Ik kan er tot nog toe geen antwoord op krijgen waarmee ik overtuigd raak dat het noodzakelijk is om er een aan te schaffen.

Verkeerde verwachtingen
Een firewall is inderdaad niet noodzakelijk. Als je alles netjes beveiligd en je zaakjes op orde hebt dan is een firewall overbodig.Helaas leert de praktijk dat er altijd iets mis gaat.

CAPSLOCK2000 schreef op vrijdag 25 november 2016 @ 00:13:
[...]
Verkeerde verwachtingen
Een firewall is inderdaad niet noodzakelijk. Als je alles netjes beveiligd en je zaakjes op orde hebt dan is een firewall overbodig.Helaas leert de praktijk dat er altijd iets mis gaat.

Realiteit is echter meestal dat het technisch onmogelijk is om je zaakjes netjes op orde te hebben zonder firewall.

Normaliter staat er bijv wel een printer op het netwerk, of nog leuker een multifunctional je wilt niet weten wat voor mogelijkheden die dingen hebben als je kwaad wilt en hier heb je geen McAffee of Firewall voor.
U gebruikt VOIP, mooi dan is elk los toestel wat is aangesloten een attack punt wat niet onder McAffee of lokale firewall valt.
U staat het toe dat zakenrelaties gebruik maken van uw wifi, die zullen heel blij zijn als ze weggaan met een virus / exploit / malware.
Uw personeel gooit hun smartphones ook op de wifi, welkom 8 nieuwe attack vectors die niet onder McAffee of lokale firewall vallen.

Laatst was er ook een kleine DDOS met een Internet of Things, hoe denkt u dat dit mogelijk was, mede door geen firewalls terwijl er wel allerlei dingen op die internet verbinding draaien.

Uw data kan op zichzelf wel veilig zijn in de cloud, maar als uw printer/ander apparaat begint mee te doen met een DDOS actie dan kan en mag KPN uw internet verbinding onder curatele stellen totdat het opgelost is en dan staat uw bedrijf gewoon stil, want dan heeft u geen internet verbinding dus komt u niet bij uw data (is wel zo veilig op zich, voorkomt human error)

De realiteit is simpelweg dat er meestal meer aangesloten is op een internetlijn (via een netwerk) dan enkel de pc's en dat het merendeel daarvan geen eigen firewall oid heeft.

Craven schreef op donderdag 24 november 2016 @ 10:09:
Als het zakelijk is krijgt hij een switch inderdaad met daarvoor een fiber endpoint dinges. Ben de naam ff kwijt. Maar als consument krijg je altijd een experiabox. Met de experiabox zit je in de basis wel goed. Heb je het zakelijk dan wil je absoluut niet zonder firewall. Dan is het een kwestie van wachten voordat je een bot binnen hebt op 1 van je devices.

Overigens krijg je bij zakelijk internet van kpn geen berg met ip adressen (ipv4 tenminste, ipv6 wel lijkt me). Maar dan moeten al je apparaten ipv6 compatible zijn. Dus een nat laag is vaak geen overbodige luxe.

Tegenwoordig krijg je geloof ik geen Lightning Edge meer maar een Cisco 8xx Series router, die is echter geloof ik inderdaad niet gefirewalled, en stuurt gewoon alles 1 op 1 door naar de apparatuur erachter (normaliter een eigen router / UTM). Als je bijv een PC direct achter de Cisco hangt en een extern IP uit je IP blokje geeft dan staat gewoon alles open naar buiten dat niet op de PC zelf gefirewalled is.

Dennism schreef op vrijdag 25 november 2016 @ 00:47:
[...]


Tegenwoordig krijg je geloof ik geen Lightning Edge meer maar een Cisco 8xx Series router, die is echter geloof ik inderdaad niet gefirewalled, en stuurt gewoon alles 1 op 1 door naar de apparatuur erachter (normaliter een eigen router / UTM). Als je bijv een PC direct achter de Cisco hangt en een extern IP uit je IP blokje geeft dan staat gewoon alles open naar buiten dat niet op de PC zelf gefirewalled is.

Dat noemen we ongefilterd internet, en dat is juist een groot goed, mits je zelf firewalling toepast

ChaserBoZ_ schreef op vrijdag 25 november 2016 @ 09:42:
[...]


Dat noemen we ongefilterd internet, en dat is juist een groot goed, mits je zelf firewalling toepast

Klopt, maar zo nu en dan voor ons ITers ook soms zeer onhandig wanneer we weer eens problemen moet oplossen bij een klant die van bijv. ADSL naar glas gegaan is en niet zelf Firewalling heeft ingeregeld.

Move PNS > NT