Software firewalls vs. hardware firewalls?

Ik denk dat juist het voordeel van een softwarematige firewall is, dat je eventuele lekken/bugs makkelijk kan oplossen door een upgrade/patch. Als er ergens een lekje in een harwarematige firewall zit is dat lastiger, en moet je vaak wachten op een nieuwe firmware van de fabrikant.

Mischien is die beveiligingsexpert door Xs4all ingehuurd om produkten van xs4all aan te prijzen

hawdware matige firewalls zijn moeilijker aan te passen, omdat je alleen van binnen uit hem kan veranderen en je kunt software matige firewalls makkelijk aanpassen/uitzetten met een progje.

Van dat eerste weet ik niet 100% zeker, maar met mijn router is dat wel zo.

Wat is een hardware firewall. Een cisco PIX. Die draait AFAIK gewoon een IOS. Dus gewoon software. Bovendien ook hierin zitten regelamtig bugs kan ik je uit ervaring zeggen. Ik heb nog niet echt security bugs meegemaakt bij cisco maar echte hardware matige firewalls zijn er niet AFAIK. Bovendoen software is een de config van die software 10 x zo belangrijk

Om eerst eens wat definities goed te zetten:

Hardware firewall == proprietary (en heel soms oss) software op proprietary hardware
Software firewall == proprietary of opensource software op commodity hardware

Zoveel schelen die dingen in feite dus niet van mekaar. Ik ben zelf van mening, dat met hedendaagse "software" firewalls een security perimeter op te zetten is die vele magnitudes goedkoper en veiliger is dan een "hardware" oplossing. Technisch kun je qua security meestal meer met "software" oplossingen dan met "hardware" oplossingen. Dan denk ik voornamelijk aan dingen zoals beschikbaarheid van sourcecode, de mogelijkheid om de firewall te tunen zoals je dat zelf wilt, met de features die je wilt (ipv de fts die je kunt betalen). Uiteraard mits er bij een bedrijf de kennis aanwezig is om dit te bedenken, uitwerken, implementeren, tunen, monitoren en te onderhouden. Dat is iets wat met "hardware" oplossingen beter op te lossen is (het is "standaard", er zijn certificeringen voor, etc)

Waarom die vent, waarschijnlijk, roept om hardware firewalls, is de bijgeleverde support, accountability (ze kunnen iemand een rechtzaak aandoen) en garantie. Als er geen kundige kennis in het bedrijf is om mgmt ervan te overtuigen dat het anders kan (en daar is heel wat voor nodig) is het idd beter om hardware firewalls aan te schaffen...

Voor thuisoplossingen is het wat de gek ervan bouwt hoe "veilig" beide oplossingen zijn ......

[ Voor 10% gewijzigd door Verwijderd op 23-06-2003 23:08 ]

Zogenaamde "hardware firewalls" (ik zal ze dedicated noemen) draaien net zo goed op software, namelijk hun firmware. Dedicated firewalls / routers / switches kennen ook af en toe security problemen, en hebben firmware upgrades nodig.

Wel is het zo dat dedicated firewalls specifiek voor dat ene doel ontworpen zijn, waar een computer met een OS + firewall veel generieker is.

Dit is zowel een voor- als een nadeel voor de generieke computer; aan de ene kant leidt de generiekheid tot onderdelen die niet nodig zijn voor firewalling (oftewel bloat - voor die situatie iig), wat extra exploitbaarheid kan betekenen. Aan de andere kant leidt het tot meer flexibiliteit.

Maar ik ben van mening dat een fatsoenlijk geconfigde computer niet onderdoet voor een dedicated firewall. Hierbij is natuurlijk wel "fatsoenlijk geconfigde" een belangrijk zinsdeel. Zonealarm-klikkers, of mensen "die wel even een Red hat install met standaard firewall neerpleuren" oid zijn dan natuurlijk erg gevaarlijk (al wil je zulke mensen ook niet je dure Cisco dedicated firewall laten beheren)

Verwijderd schreef op 23 June 2003 @ 22:47:
... chroot alle daemons ...

Als je een computer wil vergelijken met een dedicated firewall dan kun je er beter geen netwerkdaemons (eventueel telnet of ssh voor de interne interface uitgezonderd) op draaien. Alle software waarmee je van buitenaf een connectie kunt maken is een potentieel security gevaar.

Oh, en qua betrouwbaarheid, vrrp (Virtual Redundant Router Protocol) word al een tijdje ondersteund door iig linux (weet niet hoe het zit met fbsd ea), en kan gebruikt worden om fail-over firewalls te maken. Een variant hiervan (correct me if i'm wrong) word onder andere gebruikt in nokia hw firewalls

[ Voor 19% gewijzigd door Verwijderd op 23-06-2003 23:11 ]

Volgens mij kan een software firewall net zo veilig zijn als een hardware firewall. De mooiste oplossing voor een software firewall is een bridge bouwen op een gestripte linux distro. Zonder ip wordt het toch best lastig om die machine te hacken. Voor het management gebeuren stop je er een derde netwerkkaart in en volgens mij zit de boel dan dicht.

(Jammer dat die XS4ALL medewerker niks concreets erover heeft gezegd)

Volgens mij te abstract gezeur. Er zit zoveel verschil tussen bridging en NAT, het OS waar gebruik van wordt gemaakt, de packet filter en allerlei andere specifieke zaken. Het hangt toch echt van de situatie af. Ik zie niet in in hoeverre een OpenBSD 3.3-current + fatsoenlijke PF configuratie ed. minder secure is dan een 10 jaar oude 'hardware' firewall om het maar ff extreem uit te drukken. Of heeft die 10 jaar oude 'hardware' firewall soms ook W^X... en draait-ie ook Snort/Hogwash of iets soortgelijks? Vast niet.

Om eerlijk te zijn ben ik meer blij met m'n OpenBSD firewall dan met die Alcatel 'modem' van hen (hetgeen gewoon een router is zonder fatsoenlijke firewall hetgeen XS4ALL wanneer ze hier achter stonden beter wel hadden kunnen leveren. Dus een firewall + router in 1 die meer dan 10 mbit HD aankan zodat je 'm direct op een switch 100 mbit kan aansluiten in je interne netwerk en hij direct als firewall werkt. Daar hebben ze later die Draytek Vigor dingetjes voor genomen misschien loopt die verkoop wat slecht ik kan het me goed voorstellen ).

Waar meneer een punt heeft is dat veel beveiligingsfouten te danken zijn aan misconfiguraties van de beheerder. Tja als meneer de aardappel beheerder niet veel foutjes kan maken in z'n configuratie vanwege restricties dan zal deze minder snel unsecure zijn. Heb ik toch liever een voorkeur voor vrijheid en kennis dan een simpele, vaak duurdere oplossing. Hoewel ik PF tov... een boel andere firewall utils

Het chrooten van daemons is over het algemeen niet nodig op een 'software' firewall tenzij deze ook als server dient. Maar dat is niet zo verstandig (afhankelijk van wat voor server/daemon taken precies). Want voor een homeuser (daar gaat het hier over) is een extra server naast de firewall wel meer stroom en meer hardware dat betaalt moet worden.

CDROM als FS. Dan lijkt me read-only flash stukken sneller (maar hangt ook een prijskaartje aan). Wat misschien interessant is voor een OpenBSD firewall, is Network SHell. Met wat aanpassingen in vipw en login.conf ed. heb je een remote shell om je firewall te configureren (met OpenSSH).

k heb een hardwarematige, ze zijn mss wel goed maar hij waarschuwt je niet als iemand probeert in te breken bvb. daarvoor moet je zelf in de logs neuzen

Verwijderd schreef op 24 June 2003 @ 10:38:
k heb een hardwarematige, ze zijn mss wel goed maar hij waarschuwt je niet als iemand probeert in te breken bvb. daarvoor moet je zelf in de logs neuzen

Een goede software firewall ook niet.. Dat is de taak van een IDS.
Ik vind het ook niet verstandig om IDS en firewall te integreren, ook snort bijv. heeft weleens security bugs, en kan je daarom het beste op een aparte netwerkkaart zonder IP draaien..

Een filesysteem op CD werkt prima, alle belangrijke dingen van die CD worden toch wel in het geheugen gecached, waardoor je van die traagheid niks zal merken..

Nee, een IDS laat je juist niet communiceren met de buitenwereld. Je kan bijvoorbeeld ook een netwerkkabel gebruiken met alleen maar de receive lijnen aangesloten in het stekkertje.

Het rapporteren van gegevens vanuit snort is echter weer een wat lastiger verhaal om echt netjes op te lossen..

Dat kan wel, zelfs op verschillende manieren.. zie google.

En een IDS luistert alleen maar, en neemt geen deel aan het verkeer..

sushi-nori: Een IDS doet over het algemeen alleen maar luisteren naar een interface. Of over die interface nou IP, IPX of DECnet gaat, de IDS ontvangt het. Daarom is het ook goed mogelijk om alleen met de receive draden een IDS aan te sluiten.

Tevens, je idee over tcpdump over een seriele poort; dat kan, maar je seriele interface is nooit snel genoeg om zelfs maar een 10mbit interface sustained te kunnen loggen/monitoren....

Verwijderd schreef op 24 juni 2003 @ 11:23:
> read only flash

maar waar wil je dat mee beschrijven dan?

Dat is niet per definitie nodig voor een firewall.
Maar okay als logs opslaan nodig is. Dat kan in de RAM dan. Als-ie reboot is-ie 't dan wel kwijt... of je gebruikt read/write flash voor logs? Of een tape of een ander medium. Heb je alleen wsch. geen softupdates waardoor de consistentie van de logs niet gegarandeerd kan worden.

> Network Shell (nsh)

Is dat dan iets dat je alleen toegang zou geven via de derde interface, die geen internet verbinding heeft en verder alleen aan het interne lan verbonden is?

Idd da's een mogelijkheid. Maar het is een shell geen daemon als ssh. Dus je hebt dan nog steeds ssh (of iets anders als telnet) nodig. Als je je firewall extern/remote wilt configureren moet-ie ook extern/remote luisteren (ssh dus).

> chrooten van daemons

Nee, ik zou ook geen andere daemons draaien op een openbsd firewall. Het lijkt me het veiligst om die altijd dedicated te maken. Maar dat nsh zal toch ook een daemon willen draaien om te luisteren op een bepaalde poort via interface 3? Of als ik geen nsh gebruik, zal ik toch sshd moeten draaien?

NSH is gewoon een kleine KISS all-in-one cisco-like shell waarmee je je OpenBSD met 1 (nsh) util cisco-like kunt configureren ipv. dat je moet inloggen met een normale shell (ie. ksh) waarmee je dan /etc moet editten.Met wat aanpassingen is het vast ook draaiend te krijgen met IPF maar aangezien ik de auteur van IPF een eikel vind ga ik dat niet porten. PF draait tegenwoordig ook @ FreeBSD/NetBSD als lkm.

Kortom: ie. KSH + SSH = mogelijk teveel mogelijkheid voor een firewall; NSH + SSH = okay voor firewall; je 'software' router heeft dan cisco-like interface om te configureren. Het is een licht tooltje dus ideaal voor zo'n flash bakje daar staat overigens ook meer info over op die NSH site.

Hier staat trouwens m'n port voor OpenBSD 3.3-stable en -current, gebaseerd op een oude port. Ik zal Jose nu ff mailen met de vraag of-ie 'm wil updaten.

Ach ja wat is wijsheid. Het klinkt allemaal wel mooi, maar zo simpel is het nou ook weer niet: alsof je de keus hebt tussen a een software en b een hardware firewall en verder niets.

Een software firewall kan van alles zijn van een simpele packetfilter tot een volwaardig Intrusion Prefention System, of beide natuurlijk en dat geldt net zo goed voor hardware firewalls. En daar geldt ook nog voor dat alleen de peperdure varianten imho een meerwaarde hebben.

Ik bedoel wat is de meerwaarde van een hardware matige linux met minimale hardware om het geheel aan te sturen behalve dat het goedkoop en makkelijk is? Dus als je dan toch een kiest voor een hardware firewall neem er dan 1 met een speciaal OS dat geschreven is voor dat doel en met ditto hardware, zodat je niet bang hoeft te zijn voor bottlenecks. En door de prijs kun je je afvragen of het echt wel zo onbegrijpelijk dom is dat er in het bedrijfsleven toch nog zo vaak met software firewalls wordt gewerkt.

Immers met standaard hardware en oss kan je al een statefull packetfilter EN IDS (of IPS) draaien die een 100Mbit link kan bijbenen en stukken goedkoper is dan de 'laatste' Cisco om maar iets te noemen. En behalve de verschillen zijn er net zo goed overeenkomsten: beiden betreffen hardware aangestuurd door een OS en beiden moet/kun je configureren, dus het is niet zo dat je het over totaal verschillende oplossingen hebt.

En dan nog iets Flash software is allemaal leuk en aardig maar zolang je op wat voor manier dan ook instellingen kan opslaan ben je nog nergens. En bovendien voor standaard hardware heb je ook diverse opties om de boel readonly te maken, meer zelfs wat dacht je hiervan: 1 kernel waar je alleen logfiles mee kan schrijven en nog 1 voor het aanpassen van de configuratie, noem eens een hardware firewall die dat ook kan?