Een router en dan toch een extra firewall? - Privacy en beveiliging

maandag 24 mei 2004 12:08

Acties:

Verwijderd

Topicstarter

Ik heb sinds kort een simpel netwerkje (draadloos). De bewveiliging moet ik nog helemaal uitpluizen hoe dat goed in te stellen, maar ik zat wel aan het volgende te denken.
Overal hoor en lees je, dat je de ingebouwde firewall van XP moet uitzetten. En ook eventuele extra firewaals zoals ZA van je pc verwijderen. Want, dat zou in combi met je router niet werken, het interne verkeer kan gestoord worden of geblokkeerd.
Goed, heb ik dus gedaan, XP uit en ZA eraf. Want de router (LinksysWRT54G) heeft een ingebouwde firewall.

Maar toch, ik voel me een beetje "naakt", een beetje ongewoon, zo zonder de "vertrouwde" alerts van ZA. Ik merk ook helemaal niks van die ingebouwde firewall, geen alerts, niks. Ook alerts die ik min of meer gewoon was, zoals van Livenote en CBA Messenger, die zie ik nu niet meer. Gaan die nu verbinding maken? Dan ga je toch na zitten denken: Hoe goed zijn die ingebouwde exemplaren eigenlijk? Ben ik wel veilig? Van ZA en andere merken zie je met enige regelmaat nog wel eens een test.

Nou las ik hier in de faq, tot m'n stomme verbazing het volgende:

.............. Wil je deze verbindingen naar het internet toe toch beveiligen, dan moet je gebruik maken van een tweede firewall, één die wél uitgaande verbindingen kan controleren: de personal firewall. Deze personal firewalls zijn er natuurlijk in alle soorten en maten, zoals hieronder opgesomd...........

Dus hier uit zou blijken dat je toch een extra firewall kan/mag/moet installeren??
Ik heb het nog niet geprobeerd, maar ik zou graag eens wat meningen willen horen! Dus of het kan, maar ook over de "kwaliteit" van de ingebouwde exemplaren.

maandag 24 mei 2004 12:13

Acties:

Verwijderd

De kwaliteit van die firewalls, voor zover je van een firewall mag spreken, is nagenoeg 0.
Ik zou zeker nog een PF installeren.

maandag 24 mei 2004 12:24

Acties:

Joen

Ik heb ook gewoon een softwarematige Personal Firewall geïnstalleerd op alle PC's bij mij in huis. Puur omdat je zodoende tenminste kan zien of je daadwerkelijk een beetje beschermd wordt.
Ik heb verder geen hardwarematige firewalls, alleen een Thomson Alcatel SpeedTouch 510i modem met NAT er in. Ik lees hier en daar verhalen dat NAT de volwassen vervanger voor firewalls moet zijn.

Maar de SpeedTouch is dat zeker niet.

maandag 24 mei 2004 12:27

Acties:

TERW_DAN

Met een hamer past alles.

Ik heb hier een sitecom routertje liggen en die ingebouwde firewall houdt verder alles tegen, heb verder totaal geen last van zooi op mijn systeem of wat dan ook (en kan in de logs zien dat alles netjes geblocked wordt).

dus imho is het onzin.

maandag 24 mei 2004 12:29

Acties:

Dionysus

Tuurlijk kan je nog een extra firewall installeren, maar in mijn optiek is dat onnodig. Het ideale van een router met vuurmuur is juist dat je niet meer lastiggevallen wordt door al die meldingen. En natuurlijk is NAT geen firewall NAT is het protocol dat je gebruikt om internet te delen een firewall zorgt ervoor dat de poorten gesloten zijn.

maandag 24 mei 2004 12:30

Acties:

Joen

Jah, dat is dus een manier om te controleren of een hardwarematige firewall werkt: logs.
Alleen hebben dat soort apparaten meestal een beperkter geheugen en kunnen dus makkelijker vastlopen.
Ik heb bij de Sitecom DC-202 (dat typenummer dacht ik zo uit mn hoofd) van een collega van mn vader al wel 3 vastlopers gehad binnen ongeveer 2 maanden tijd.

Haldo schreef op 24 mei 2004 @ 12:29:
Tuurlijk kan je nog een extra firewall installeren, maar in mijn optiek is dat onnodig. Het ideale van een router met vuurmuur is juist dat je niet meer lastiggevallen wordt door al die meldingen. En natuurlijk is NAT geen firewall NAT is het protocol dat je gebruikt om internet te delen een firewall zorgt ervoor dat de poorten gesloten zijn.

In mijn SpeedTouch 510i is een NAPT instellingen pagina waar je anders toch echt poorten moet open gooien als je een eigen server draait.
Dus als het geen firewall en geen NAT is, wat is dan wel...

BTW, alle uitgaande verbindingen worden door de SpeedTouch 510i we geaccepteerd zonder instellen.

[ Voor 52% gewijzigd door Joen op 24-05-2004 12:32 ]

maandag 24 mei 2004 12:32

Acties:

cutter

Wannabe i7 fanboy

Oi Atlas

Als je achter NAT zit en niet je router hebt ingesteld dat alles naar jouw pc wordt gestuurd zit je redelijk goed. Problemen ontstaan als je allerlei zut op je pc installeert die van binnen naar buiten contact legt. Om daar controle over te houden kun je een software firewall installeren. Stel dat je poort 80 van binnen naar buiten blokkeert, dan kun je niet meer inetten, ook al zijn er programma's die eigenhandig info over poort 80 versturen. Adobe bijvoorbeeld om te kijken of er updates zijn.

maandag 24 mei 2004 12:37

Acties:

UltraSub

Verwijderd schreef op 24 mei 2004 @ 12:08:
.............. Wil je deze verbindingen naar het internet toe toch beveiligen, dan moet je gebruik maken van een tweede firewall, één die wél uitgaande verbindingen kan controleren: de personal firewall. Deze personal firewalls zijn er natuurlijk in alle soorten en maten, zoals hieronder opgesomd...........

Blijkbaar staat je router zo ingesteld dat alle uitgaand verkeer vanaf het lokale net wordt toegestaan, en inkomende connecties die gerelateerd zijn aan een uitgaande connectie waarschijnlijk ook.
Is wel de oplossing voor een altijd werkende firewall, zonder al te veel gezeik voor een normale gebruiker.
De beste? Nee.. Het is natuurlijk mooier om uitgaand ook allemaal te blocken, en per connectie te bekijken of iets mag of niet. Praktisch?
Hangt van je situatie af.
In principe is outgoing ook bijna altijd in orde, trojans en virussen daar gelaten.
Als je er nou voor zorgt dat die niet binnen komen....

maandag 24 mei 2004 12:52

Acties:

robbydw

live your life

Wat je kunt doen is je Netwerk scannen via de website van Symantec. Tijdens deze scan wordt gekeken of je PC's in je netwerk worden blootgesteld aan online bedreigingen zoals zij het zeggen.

http://security.symantec....3&pkj=XJNWFIZTYMWPAZTJWUF

Heb scan zelf gedraaid en het lijkt erop dat de "firewal" in mijn Speedtouch 510i voldoende veiligheid biedt

Geen commentaar

maandag 24 mei 2004 12:52

Acties:

Dionysus

JeroenM_tbs schreef op 24 mei 2004 @ 12:30:
In mijn SpeedTouch 510i is een NAPT instellingen pagina waar je anders toch echt poorten moet open gooien als je een eigen server draait.
Dus als het geen firewall en geen NAT is, wat is dan wel...
BTW, alle uitgaande verbindingen worden door de SpeedTouch 510i we geaccepteerd zonder instellen.

Inderdaad op veel van die modems is het onduidelijk wat voor services gebruikt worden en in hoeverre er geblokkeerd wordt. Enkel het NAT protocol lijkt me niet afdoende om je netwerk een beetje veilig (schoon) te houden. De meeste firewalls staan alle uitgaande verbindingen standaard toe, op zich is dat ook geen probleem totdat een pc een virus/trojan/spyware etc.... bevat. Het is dan ook aan de users dat ze hun pc niet vervuilen met rare programmatuur. En dat is ook mijn grootste probleem met progs als zonealarm, het geeft een soort van schijnveiligheid, als een user een keer een programma/applicatie toestemming geeft om verbinding naar buiten te maken dan is het kwaad al geschied.

maandag 24 mei 2004 19:29

Acties:

Primal

Even iets ter verduidelijking wat betreft NAT. Vele Ethernet modems (en ook routers) voor thuisgebruik (!!) ondersteunen NAT en hebben vaak een filtering firewall. Het gebruik van NAT voegt zeker een behoorlijke veiligheid toe, echter alleen voor verkeer naar binnen toe. Met andere woorden: Een computer dat zich achter een modem/router bevindt, dat NAT toepast, kan een verbinding opbouwen met een computer op het Internet. Andersom gaat niet aangezien een router een tabel bijhoudt met opgezette verbindingen (port-forwarding of DMZ buitenbeschouwing gelaten).

In hele simpele bewoording:

NAT (Network Address Translation) doet niets anders dan pakketjes die vanaf het WAN/LAN binnenkomen, omschrijven naar een pakketje dat afgeleverd kan worden aan een computer achter de router. Mits het originele pakketje over een bij de router bekende verbinding binnenkomt. De router houdt een tabel bij met alle verbindingen die opgezet zijn door computers achter de router. Een pakketje wat binnenkomt op een onbekende verbinding wordt simpelweg genegeerd.
Pakketjes die vanaf een computer achter de router het WAN/LAN opgestuurd worden, worden dusdanig omschreven dat ze bij hun einddoel afgeleverd kunnen worden. Het einddoel heeft (afhankelijk van het gebruikte protocol) verder geen weet van welke computer achter de router het pakketje heeft gestuurd (het einddoel weet uberhaupt niet dat er een router tussenzit, de router is in zijn ogen de computer).

Is een verbinding echter tot stand gebracht door een computer achter een router (met NAT) met een computer op het Internet, dan zal de router verdere verkeer met betrekking tot die verbinding geen strobreed in de weg leggen.
De veelal ingebouwde firewall's zijn alleen maar filtering firewalls, dat wil zeggen dat ze rules kunnen opnemen waarmee een gebruiker kan aangeven dat alleen data op een bepaalde poort (of bereik van poorten) geaccepteerd mag worden als het van een bepaald IP-adres (of IP-bereik) af komt.

Modernere personal firewalls kunnen ook patronen in het dataverkeer ontdekken, die bijvoorbeeld kunnen duiden op een hackpoging.

Het is dus zeer zeker wel aan te raden om ook op de PC's achter de router een personal firewall te installeren om in ieder geval de volgende redenen:

- Uitgaand verkeer wordt ook gecontroleerd (evt. op patronen => IDS)
- Ingaand verkeer wordt ook gecontroleerd op patronen (IDS)
- Indien je poorten op de router hebt ge-forward naar een van de PC's achter je router
- Indien je een of meerdere PC's in DMZ hebt staan.

Sommige van de goedkopere routers hebben ook een mogelijkheid tot IDS.

"The fastest code, is the code that is never called."

maandag 24 mei 2004 19:36

Acties:

Joen

Zou je me nog ene keer kunnen uitleggen wat DMZ is of een linkje voor me hebben. Want ik lees het soms wel, maar snap nog steeds niet waar het exact voor is.

maandag 24 mei 2004 21:22

Acties:

SysRq

DMZ = Demilitarized Zone

Een DMZ is een zone (ipadres) die volledig van buitenaf te benaderen is. Oftewel: in een dmz heb je geen enkele bescherming van de router-firewall. Want: alle verzoeken van buitenaf gaan door naar de DMZ.

code:

Publiek ip: xxx.xxx.xxx.xxx
Intern ip : 192.168.0.1
DMZ: 192.168.0.1

Verzoek van buiten: router stuurt door naar 192.168.0.1

Een dmz kan soms handig zijn als je niet alle poorten (die van buiten te benaderen moeten zijn) afzonderlijk wilt in voeren in je router.

Eigenlijk zie ik het voordeel van een DMZ niet zo in. In princiepe kun je iedere poort op de router laten forwarden. Je hebt dan veel meer controle en veiligheid.

-

maandag 24 mei 2004 23:59

Acties:

Joen

Ahah, zo ja. Dan zit dat dus ook min of meer in de SpeedTouch 510i, maar dan onder da naam "Virtual server".
Ik heb het aanstaan en de verdere firewall afhandeling door de softwarematige firewall op mn servertje.

dinsdag 25 mei 2004 00:23

Acties:

EricJH

Hulde aan het betoog van Primal.

Dus om te weten of je geen rotzooi het web opstuurt zet je de personal firewall aan. En om niet gehackt te worden door rotzooi of hackpogingen van huisgenoten. Bij mij in het sudentenhuis staat geen Windows PC zonder firewall etc.

Wormvirussen worden dan altijd zichtbaar omdat iets nieuws naar buiten wil.Draaiden meer mensen een personal firewall dan was er veel minder last van wormvirusverkeer op het web. Zo simpel is het helaas.

Noesje succes met het beslissingsproces wat je wel en niet het web op laat gaan. Dat is het lastigste als je begint met een firewall.

dinsdag 25 mei 2004 08:16

Acties:

UltraSub

EricJH schreef op 25 mei 2004 @ 00:23:
Wormvirussen worden dan altijd zichtbaar omdat iets nieuws naar buiten wil.Draaiden meer mensen een personal firewall dan was er veel minder last van wormvirusverkeer op het web. Zo simpel is het helaas.

Noesje succes met het beslissingsproces wat je wel en niet het web op laat gaan. Dat is het lastigste als je begint met een firewall.

Klopt. Maar vergeet niet dat 95% van de gebruikers van zo'n personal firewall, er geen zak van snapt, en dus maar overal ja op antwoordt, met een vinkje wel te verstaan.
Dusss... Zoveel zou dat wormverkeer niet afnemen

Maar ik snap je punt.

dinsdag 25 mei 2004 09:18

Acties:

n00bs

Het is weer Zomer!

Ik gebruik dus naast mijn router die met NAT geconfigged is, ook nog een personal firewall (Zone Alarm PRO). Dit omdat ik niet mijn volledige vertrouwen leg in mijn crappy routertje. Mocht er namelijk een backdoor of exploit voor komen, weet ik dat ik nog steeds safe zit dmv de 2e beveiligingslinie.
Daarnaast heeft ZA het voordeel dat ik het verkeer meer gedetailleerd kan regelen en loggen. Zo heb je de beschikking om niet alleen op IP niveau te filteren, maar ook op Applicatie niveau. Daarnaast is het met de meeste goedkopere routers niet mogelijk om bepaald verkeerd van bepaalde IP's te trusten en andere te blocken, dit kan wel met ZA.
Voor de rest heb je de controle over uitgaand verkeer, wat je niet hebt met je NAT verbinding. Zo kan ik zelf bepalen welke apps. naar buiten mogen connecten en hierdoor is het ook vaak snel vast te stellen als je een Worm/Virus/Trojan hebt opgelopen.
Een andere functie van dit soort Personal Firewalls is de mailbeveiliging dat een Router niet kent.

NAT is leuk en je hebt idd. een redelijke beveiliging, zeker als de persoon die gebruik maakt van deze verbinding weet wat die doet. Maar toch zou ik niet hier mijn volledige vertrouwen op durven te leggen

dinsdag 25 mei 2004 09:57

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

SysRq schreef op 24 mei 2004 @ 21:22:
Een DMZ is een zone (ipadres) die volledig van buitenaf te benaderen is. Oftewel: in een dmz heb je geen enkele bescherming van de router-firewall. Want: alle verzoeken van buitenaf gaan door naar de DMZ.

Dat is pas het halve verhaal, de DMZ hoort ook van de rest van je LAN te zijn gescheiden. Er is dus geen direct contact tussen DMZ en LAN, anders heb je nl. een groot beveiligingsgat.

Helaas hebben veel goedkope routers daarom ook geen DMZ, maar noemen ze "een machine waar alle onbekende pakketjes naartoe worden gestuurd" foutief een DMZ.

Ontopic: een personal FW achter NAT is IMHO vooral interessant om outbound verkeer en in&outbound per applicatie te regelen. Sommige apps of services hoeven van mij geen verbinding naar internet of het LAN. Al gebruik ik op mijn eigen prive-PC achter NAT trouwens geen PFW.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 28 mei 2004 23:16

Acties:

SysRq

F_J_K schreef op 25 mei 2004 @ 09:57:
[...]

Dat is pas het halve verhaal, de DMZ hoort ook van de rest van je LAN te zijn gescheiden. Er is dus geen direct contact tussen DMZ en LAN, anders heb je nl. een groot beveiligingsgat.

Helaas hebben veel goedkope routers daarom ook geen DMZ, maar noemen ze "een machine waar alle onbekende pakketjes naartoe worden gestuurd" foutief een DMZ.

Ik heb zelf dus een goedkope router blijkt

Overigen heet het dan een Virtual DMZ Host

Ik zou trouwens niet weten waarom je geen pfw op je pc hebt? Qua resources zul je er niet veel van merken. Hinder heb je er ook niet van (op de inwerkperiode na dan

)

-

zaterdag 29 mei 2004 11:07

Acties:

crisp

Devver

Pixelated

Een echt DMZ ziet er meestal zo uit:

code:

INTERNET

============firewall=============
DMZ

 webserver  webserver  webserver


==========firewall/NAT===========
LAN

      applicatie  applicatie
        server      server

            database
             server


 client  client  client  client

oftewel: servers die direct vanaf internet te benaderen zijn (via open poorten in de buitenste firewall) zijn fysiek afgeschermt van je LAN. Tussen DMZ en LAN zit dan nog een firewall die meestal van NAT gebruikt maakt, of een soort van smart proxy is. Ook vanuit je LAN kan je dan de toegang tot het DMZ beveiligen/restricten.
Een hacker die uitbreekt in je DMZ kan dus niet zichzelf zomaar toegang verschaffen tot applicatie-servers, database-servers e.d. omdat daarvoor nog een hindernis overwonnen moet worden.

Intentionally left blank

zaterdag 29 mei 2004 23:57

Acties:

Verwijderd

UltraSub schreef op 24 mei 2004 @ 12:37:
[...]
Hangt van je situatie af.
In principe is outgoing ook bijna altijd in orde, trojans en virussen daar gelaten.
Als je er nou voor zorgt dat die niet binnen komen....

Mwoh. ik vind niet dat mijn printerspooler, Word of Patience naar het internet hoeven. Dus die wil ik heel graag de toegang blokkeren. Nog afgezien van allerlei virussen en exploits. Natuurlijk moet je ervoor zorgen dat die zooi er niet op komt maar je kunt nu eenmaal niet alles voor zijn.... Mijn advies: gewoon op elke pc achter de router een personal firewall installeren. Het zit niet in de weg en verder heeft het nog het voordeel dat je je interne netwerk kunt regelen vwb bestandstoegang e.d.

[ Voor 86% gewijzigd door Verwijderd op 30-05-2004 00:00 ]

woensdag 2 juni 2004 12:26

Acties:

Verwijderd

Ik zal niet meer spammen.

[ Voor 86% gewijzigd door BalusC op 19-07-2004 12:13 ]