Een hardware firewall is veel te duur voor de gemiddelde
thuisgebruiker. Hele simpele appliances beginnen bij zo'n 4
tot 500 euro. Daar koopt een gemiddelde gebruiker een
computer voor.

ISPs bieden weinig tot geen support voor mensen die een
hardware firewall willen draaien (dat valt dan onder
professioneel gebruik, met bijbehorende tarieven, ehct
nonsense) en de gemiddelde gebruiker kan zo'n ding niet
installeren en beheren.

WIndows XP SP2 heeft standaard een firewall, dus geld kan
geen probleem zijn en Windows komt ook steeds met pop-ups om
de firewall aan te zetten.
Sygate Personal Firewall is ook gratis. Een hardware
firewall is niet direct nodig naar mijn mening.

Is een router met een firewall een hardware firewall?
En een (dedicated) PC met een firewall programma?

Ik denk dat ze hier ook doelen op de Firewall ingebouwd in je ADSL/Kabel
modem. De term Netwerk Firewall zou dan echter wel beter op z'n plaats
zijn ;)

Misschien scharen ze een doodeenvoudige router ook wel onder
een firewall. Helaas is het stukje te onduidelijk om dit met
zekerheid te kunnen zeggen.

een router zonder wifi kost nog geen 20 euris .. met wifi
40-45 euris. . vind ik niet veel geld voor aardige bescherming

klanten van scarlet.be die voor "scarlet one" kiezen (adsl +
telefonie), hebben een router met ingebouwde
firewall-mogelijkheid. Zeker voor Vlamingen onder jullie
lezers het overwegen waard. Ik vermoed dat scarlet.nl een
gelijkaardig product heeft.

Ik versta onder een firewall geen router met packetfilter.

Daar is dan niet iedereen het over eens:
http://www.security.nl/article/10175/1

Mwa; oud systeempje en bijv SmoothWall, M0N0Wall oid erop en
klaar.

Owkay; niet voor iedereen weggelegd, maar zeker niet per
definitie 4 a 500 Euri's ..

DDK

Vlamingen, blijf weg bij scarlet.be, tenzij u van een verhoogde bloeddruk
en woede-aanvallen kan genieten.

Ik heb altijd gedacht dat een router als hardware firewall functioneert.

De titel maakt de Amerikaanse gegevens algemeen. Maar volgens mij heb
ik zelfs op deze site berichten gezien dat de meeste Nederlanders beter
beveiligd bladeren!?

De meeste routers met ingebouwde firewall werken perfect
voor inkomend verkeer voor uitgaand verkeer een software
firewall een gratis versie voldoet ruimschoots.
En klaar is kees dus een goede bescherming hoeft zeker niet
duur te zijn.
En met de nieuwe vista hoeft je ook geen firewall voor
uitgaand verkeer meer te hebben zit er namelijk al in.

Waarom moeilijk doen, een hardware firewall is niet persé nodig.

De veiligste manier voor een thuis gebruiker is nog altijd een legale versie van
Windows zodat deze zijn updates dan doorvoeren.

Daarna ALLES GRATIS:

Gratis versie Windows Defender die momenteel als beste anti Spyware genoteerd
staat :
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Gratis Anti virusscanner (Avast) (60 dagen proef maar daarna gratis omgezet naar
definitief) :
http://www.avast.com/eng/download-avast-home.html

En dan la crème de la crème om je pc volledig dicht te spijkeren (het is nog in een
beta stadium) gratis Blink Personal Protection :
http://www.eeye.com/html/products/blink/personal/index.html

1 x per 2 weken gratis een scan door Windows Online Safety Scan :
http://safety.live.com/site/en-us/default.htm

1 x per 2 weken gratis : A-Square Web Malware Scan :
http://www.emsisoft.com/en/software/ax/

Als je echt safe wilt spelen installeer je Kubuntu wat ik nog altijd de beste Linux
distributie vind. Van de distributie voor in 2007 wordt verwacht dat deze Windows
voorbij steekt.

Als ik dan OSX in beschouwing neem (vind ik persoonlijk nog altijd het beste
besturingssysteem) dan is een hardware firewall niet nodig.

Jarenlang is er de speedtouch 510 uitgedeeld, die had al een vuurmuur ,
ik denk dat de meeste breedbanders wel een muur hebben

Het is weer als altijd, niemand kan duidelijkheid
verschaffen, van consultant tot (pro) gebruiker. Wat is een
hardware f-wall en wat is een soft f-wall. Graag met
voorbeeld uitleggen aan een simpele gebruiker! Veel dank
daarvoor.

Routers zijn er met en zonder ingebouwde firewall, ik heb hier een model
met ingebouwde firewall draaien en software matig op pc, al met al hoeft
dit echt niet duur te zijn en kan dit (mits goed geconfigureerd) een aardige
bescherming geven.

Ja en nee. De primaire taak van routers is om pakketjes
tussen netwerken te routeren, bijv. tussen een LAN (Local
Area Network, meestal een IP subnet) en de rest van de wereld.

Veel goedkope routers, inclusief ADSL MODEM's die vaak een
ingebouwde router hebben, zijn zogenaamde NAT routers
(Network Address Translation). Hoewel zo'n NAT router ook
firewalling functionaliteit aan boord kan hebben,
heeft NAT zelf niets met firewalling te maken, maar het
biedt wel een uitstekende bescherming tegen aanvallen van
buitenaf. Die bescherming is niet "by design" maar eerder
een (gunstige) bijwerking, waar je (in tegenstelling tot bij
de meeste firewalls) niks aan hoeft te configureren en
waarbij niet veel fout kan gaan.

Het hoofddoel van NAT is dat je meerdere IP-adressen
(meestal private range) achter 1 publiek IP-adres kunt
verschuilen. Als iemand vanaf het internet verbinding
probeert te maken met jouw publieke IP-adres, dan ontvangt
jouw NAT router die pakketjes. Zelfs als er maar 1 PC op is
aangesloten, heeft de router by default echter geen idee
naar welke PC die pakketjes toe moeten (hier is een
uitzondering op te maken; je kunt de meeste NAT routers zo
instellen dat bepaalde typen pakketjes naar een specifiek
intern IP adres worden doorgestuurd, zodat je bijv. zelf een
webserver kunt draaien).

Pas op het moment dat je van binnen uit een verbinding naar
buiten opzet onthoudt de NAT router dit; uitsluitend over
dat type verbindingen laat de NAT router pakketjes
door van buiten naar binnen, en is dus bidirectioneel
verkeer mogelijk.

Een gedetailleerd voorbeeld: stel 213.156.1.80 is jouw
publieke IP-adres, oftewel het "WAN" (Wide Area Network)
adres van jouw router. Stel jouw PC heeft als intern
IP-adres 192.168.0.3, en vanaf poort 1027 maak je verbinding
met 207.46.20.60 (http://www.microsoft.com) op poort 80. De NAT
router wijzigt alle uitgaande pakketjes
on-the-fly: het private afzender adres 192.168.0.3
wordt daarbij vervangen door het publieke afzender adres
213.156.1.80 (vaak wordt ook het afzender poortnummer
gewijzigd maar dat is niet van belang voor deze discussie).
Daarna stuurt de router het gewijzigde pakketje door naar de
eindbestemming. Tevens slaat de NAT router de gegevens van
de volgende twee "verbindingen" op in een interne tabel:

een schijnbare van 192.168.0.3:1027 naar 207.46.20.60:80
een echte tussen 213.156.1.80:1027 en 207.46.20.60:80

Hoewel de NAT router alles van binnen naar buiten doorlaat
(na te hebben "vertaald"), zal deze -indien dit de enige
verbinding is- uitsluitend retour-pakketjes afkomstig van
207.46.20.60:80 en bestemd voor 213.156.1.80:1027 accepteren
voor routering, en na het (in elk pakket van buiten naar
binnen) wijzigen van het doel-adres 213.156.1.80 in
192.168.0.3, die pakketjes doorsturen naar jouw PC. Alle
andere pakketjes van buiten naar binnen waar je niet om
gevraagd hebt, worden dus geblokkeerd.

Een NAT router biedt daarmee prima bescherming tegen
netwerk-aanvallen vanaf het Internet (zoals Blaster of
exploits in backup services) door als een ventiel te werken.
In tegenstelling tot (klassieke) firewalls is een standaard
NAT router niet selectief op IP-adressen en/of poortnummers,
en is dus echt iets anders. Andersom kun je met een
stateless firewall geen NAT functionaliteit emuleren;
daarvoor is minimaal een stateful firewall (die
onthoudt welke verbindingen bestaan) noodzakelijk.

Bla bla bla, daar gaan we weer, sinds Windows XP uit kwam,
heb ik alleen maar de standaard Windows XP firewall
aanstaan, en nog nooit een inbraak gehad op mijn machine. Ik
heb zelf ooit eens hier mijn IP geplaatst om te kijken wie
er in staat was om een code die op mijn desktop stond hier
te plaatsen, door de diegene die kon binnendringen op mijn
machine.

Veel Bla bla maar niemand die het schijnbaar kan.
Ik kreeg een boel reacties van : je bent wel gek om hier je
IP achter te laten, tot open mijn bijlage maar eens. Maar
niemand die echt kan binnendringen dus.

Het hele zaakje wordt gewoon weer eens uit zijn proporties
gehaald, door te zeuren over hardware matige firewalls.
Laten we eerlijk zijn, het is niks meer dan geen rara
bijlages openen, en een klein beetje te letten welke poorten
er open staan. [ Voor de thuisgebruiker dan ]

Kijk dat de beginneling vaker slachtoffer wordt, daar kan ik
best inkomen, maar voor de rest vindt ik het allemaal zwaar
overdreven wat betrefd de hardmatige firewall's. Ook de
verhalen over mac c.q linux is onzin, het is gewoon een
kwestie van welke poorten openstaan.

Of anders neem een 2de pc waar je je persoonlijke dingen op
doet, en sluit die niet aan op het internet.

Simpeler kan het niet.

Het tocht hier vreselijk met al die open deuren....

PS: Thunderbird heeft een critical bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=360409

Voor de duidelijkheid:

NAT is geen security feature, het is nooit ontworpen geweest
als security feature en het zal nooit een security feature
worden. NAT is een anachronisme, een vreselijk slechte
ontwerpbeslissing en het gevolg van politieke spelletjes van
voornamelijk amerikaanse bedrijven.

De gemiddelde softwarematige (host) firewall is niet heel
slecht, maar het is mogelijk om deze firewalls relatief
eenvoudig uit te schakelen. Firewalls in routers zijn zeer
eenvoudig te omzeilen, sommigen zijn niet eens stateful.
Over het algemeen hebben ze ook een relatief kleine table,
om de simpele reden dat de hoeveelheid geheugen (zeer)
beperkt is.

Ik snap niet waarom mensen zich druk maken.Eigenlijk vind ik het zelfs
een beetje angst zaaien zodat iedereen maar hardware firewalls moet
kopen omdat er misschien wel iemand in zou kunnen breken die je totaal
niet kent.

En het probleem zit em niet in hardware firewalls maar in trojans
scriptkiddies die via msn en die ongijn trojans proberen te versturen om
maar toegang te krijgen tot een pc in de hoop dat ze wat "intresante"
informatie kunnen vinden zijn een plaag maar dit is het probleem van de
gebruiker zelf en heeft niets te maken met hardware firewalls.Want je kan
nog zo goede firewall hebben maar nog zo dom zijn om een sub7 trojan te
acepteren.

@Koekie,

beveiliging is tenaller tijden een samenhang tussen een aantal
maatregelen, het zelf goed uitkijken wat je doet is weer een onderdeel van
dit pakket maatregelen.
De trojans vd scriptkiddies worden als het goed is onderschept door de
virusscanner.

Sterker nog, zodra mensen meer dan 1 Windows PC in huis hebben (en een printer, en/of een netwerkschijf, of misschien wel een volwaardige Linux/Samba server) willen ze bestanden uitwisselen en zetten ze CIFS open (bestanden en printers delen).

Daarna kun je net zo goed je software firewall uitzetten, want poorten als 135..139 en 445 staan dan gewoon open.

Van de services die dan luisteren is er waarschijnlijk geen een meer waar de afgelopen paar jaar geen gapend gat in geschoten is (recentelijk nog de workstation service). Met elke exploit had je meteen SYSTEM privileges en het is maar helemaal de vraag of een virusscanner hier iets tegen kan doen: het leed is in de meeste gevallen namelijk al geschied voordat er iets naar de schijf geschreven wordt.

Nog even los van de stompzinnige wachtwoorden die de meeste thuisgebruikers kiezen, vermoed ik dat NAT routers ervoor zorgen dat er niet extreem veel meer zombie-PC's zijn dan er nu al zijn. Daarom zijn NAT routers in ADSL modems wel een security feature, en zolang Microsoft haar zaakjes nog steeds niet op orde heeft hoop ik dat IPV6 toekomstmuziek blijft (in elk geval voor thuisgebruikers). Ik ben het dus totaal oneens met het laatste deel van jouw mening over NAT:

En los van security: dankzij die "vreselijk slechte ontwerpbeslissing" kan ik thuis met mijn enkele publieke IP-adres zoveel PC's op m'n lokale netwerk aansluiten als ik wil. En niet alleen ik profiteer daarvan, maar heel veel andere thuisgebruikers met mij, en ook heel wat MKB-ers vermoed ik.

Als het "goed" is.En dan heb je niet eens gehad over hyperlinks die
verstuurd worden via de email..

Eigenlijk zou ik wel eens nieuwschierig zijn of security.nl hier iets aan
kan doen voor de gebruiker en hoe ze zelf aan kunnen leren veiliger op
internet kunnen surfen.Om maar een voorbeeld te geven is een artikel te
plaatsen om een niet op een onbekende site een email achter te laten.Of
niet op bepaalde sites te zoeken als serials en cracks waar juist veel na
gezocht word maar mensen niet inzien dat het vol met spyware zit.Want
hier zit namelijk het probleem in waardoor mensen veel spyware binnen
krijgen en keer op keer anti virus programma's als norton falen.

Het zoeken naar cracks is idd fataal, bijna 100 % vd cracks sites is zeer
zwaar besmet, ik bezoek ze weleens via een van mijn test machines om
security te testen en ja alle alarm bellen gaan dan hier rinkelen (als ik de
site al geopend krijg door de beveiliging heen)

Wat betreft norton dit veel gebruikte programma faalt helaas op veel
punten, ook die spyware die de mensen niet binnnen zouden mogen
halen, moet norton simpelweg detecteren, nou idd vaak niet dus.
Het valt me gewoon op hoevaak norton en de symantec scanners negatief
in het nieuws komen op security.nl, ook mijn eigen ervaring leert dat de
norton / symantec producten geen goede bescherming bieden.

Kaspersky en nod32 scoren veel beter inzake dit probleem.

Erik van Straten : een pluim voor je antwoord, en dank voor je inspanning.

Ivm Crack-sites: idd gebruik ik dit ook als test voor de veiligheid (gaat met
Kubuntu eigenlijk veel te vlot, angstaanjagend veiligheidsgevoel heb je
met dat OS, hoe lang zal dat nog duren?)

Avast is ook wel redelijk voor het verwijderen van anti spy ware

@Erik van Straten

>Daarna kun je net zo goed je software firewall uitzetten, want poorten als
>135..139 en 445 staan dan gewoon open

Nee....

1. Sommige ISP's blokkeren alles onder 1024. Goed voor de
thuisgebruiker
2. De scope van die bovenstaande poorten is in XP default lokaal en niet
Internet
3. Bestands en printerdeling is sowieso standaard uitgeschakeld
4. De firewall in XP zorgt voor boot-up protectie omdat die geladen wordt
voor de TCP/IP stack

Waar zijn de Blaster-achtige wormen sedert sp2? Er zijn geen
meer....That's a fact.

Wel.
Ik ken geen ISP die dat doet. De mijne gelukkig niet. Is ook
nergens voor nodig als je je abonnees een ADSL MODEM met NAT
router geeft.
Als je een Windows PC die luistert op poorten 135..139 en
445 (wat gebeurt als je bestanden en printers wilt delen)
zonder NAT met een publiek IP adres op internet aansluit,
dan zal je heel goede passwords moeten kiezen, en moeten
hopen dat er geen 0day exploits uitkomen voor de
bijbehorende MS services (en blijven patchen natuurlijk).
Microsoft zelf raadt deze configuratie ernstig af.
NAT is hier je redder in nood. Vast niet vergelijkbaar met
een goed geconfigueerde firewall maar wel een uitstekende
poor-mans solution.
Ik zou de mensen die meer dan 1 SMB-capable device in huis
hebben en dat dus aanzetten (en dat worden er met de dag
meer), niet de kost willen geven. Heb je m'n vorige bijdrage
eigenlijk wel gelezen?
Dat is pas betrouwbaar sinds SP2. En nogmaals, als je
bestanden en printers deelt heb je daar nauwelijks iets aan.
Inderdaad is er geen uitbraak meer geweest op een schaal als
van Blaster, maar waarom denk je dat poorten 135, 139 en
445 nog steeds tot de meest gescande poorten op
Internet behoren? En waarom denk je dat hufters een "mocbot"
maken met een exploit voor de server service (MS06-40)? Zie
sites als http://www.mynetwatchman.com/ en
http://isc.sans.org/port_details.php?port=445
voor statistieken van welke poorten zoal gescanned worden.
Een NAT router beschermt je tegen deze rommel.

Wat is jouw probleem met NAT routers eigenlijk, behalve dat
je het een "vreselijk slechte ontwerpbeslissing" vindt?
Verkoop je hardware firewalls of zo?

quote:
--------------------------------------------------------------------------------
Het valt me gewoon op hoevaak norton en de symantec scanners
negatief
in het nieuws komen op security.nl, ook mijn eigen ervaring leert dat de
norton / symantec producten geen goede bescherming bieden
--------------------------------------------------------------------------------


Dat klopt. De afgelopen 2 jaar hebben gaten in hun beveiligingssysteem
juist poorten opengezet ipv ze af te sluiten.

Het enigste wat ik leuk vind en wat ik soms gebruik zijn hun scanners op
open poorten ed

http://security.symantec.com/ssc/home.asp?
j=1&langid=ie&venid=sym&plfid=23&pkj=HKOIYDFCSGFZVDTPSOE

en ook

http://security.symantec.com/ssc/home.asp?
j=1&langid=ie&venid=sym&plfid=23&pkj=HKOIYDFCSGFZVDTPSOE

-
en dat vinden zeker de meeste gek dan he .als men voor zo iets zo rond de
€500, moet gaan neer leggen he. Nou ik dus echt niet hoor. en dat een
bedrijf zich dat kan aanschaffen . dat vind ik wel Heel wat anders hoor. die
hoeven namelijk ook niet zozeer op het geld te letten hoor:

def,
Dat niet alleen ik neem een router van 100e die "firewall" suport heeft bied
geen enkele beveliging tegen gerichte aanvallen.Om maar een voorbeeld
te noemen iemand kan al z'n poorten beschermd hebben maar msn
vrijgeven is er totaal geen beveiliging meer.Daarom vind ik het een ilusie
en geld verspillen om geld te investeren in goedkope firewall
mogelijkheden.Het enige wat gevol is een vertraging van de bandbreete
het interet.En slecht geconfigureerde firewalls omdat mensen niet weten
wat ze moeten configureren.