Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nut softwarematige firewalls ?

20-08-2008, 13:57 door Anoniem, 37 reacties
In <a href="http://www.security.nl/forum/i/235782/">dit</a> forum bericht wordt beweerd dat firewalls niet zo belangrijk zijn als aangenomen wordt. Omdat deze opmerking mij een security.nl waardig onderwerp lijkt zou ik graag van jullie eens horen hoe jullie denken over de volgende stelling: Softwarematige firewalls zijn zinloos als het systeem al besmet is en dienen dus geen enkel doel meer !
Reacties (37)
20-08-2008, 14:59 door SirDice
Software matige firewalls hebben geen enkele zin als de
gebruiker administrator rechten heeft (wat dus voor 99% van
de thuisgebruikers geldt). Die gebruiker kan zelf de
firewall aan/uit zetten. Een stuk software (malware of niet)
wat door die gebruiker uitgevoerd wordt kan dat dus ook.
20-08-2008, 15:04 door Anoniem
Door SirDice
Software matige firewalls hebben geen enkele zin als de
gebruiker administrator rechten heeft (wat dus voor 99% van
de thuisgebruikers geldt). Die gebruiker kan zelf de
firewall aan/uit zetten. Een stuk software (malware of niet)
wat door die gebruiker uitgevoerd wordt kan dat dus ook.

Dan kun je ook de vraag stellen heeft een firewall wel zin
tegen een virus of malware variant. Immers ze surfen
(letterlijk) mee op poort 80 rechtstreeks in het windows
systeem.

Moet zeggen wat betreft de beheersrechten heb je volledig
gelijk
20-08-2008, 18:49 door [Account Verwijderd]
[Verwijderd]
21-08-2008, 13:59 door Anoniem
tsja op dezelfde manier is een hardware matige firewall ook
niet nuttig als de firewall al besmet is.

Wat wel nog is is dat, zeker in deze tijd van wifi, je
gateway niet meer de grens van je netwerk is, en perimeter
defense niet meer voldoet.
21-08-2008, 15:21 door Anoniem
Door Anoniem
tsja op dezelfde manier is een hardware matige firewall ook
niet nuttig als de firewall al besmet is.

Wat wel nog is is dat, zeker in deze tijd van wifi, je
gateway niet meer de grens van je netwerk is, en perimeter
defense niet meer voldoet.

Inderdaad het enige wat echt helpt is lokale (strikte)
afbakening van een lokaal netwerk. Immers je moet door een
hardwarefirewall heen om op dit lokale netwerk te komen. Een
voorwaarde is natuurlijk wel dat die firewall alleen van
binnenuit door bevoegde personen aangepast kan worden !
21-08-2008, 16:10 door SirDice
Door Anoniem
Wat wel nog is is dat, zeker in deze tijd van wifi, je gateway niet meer de grens van je netwerk is, en perimeter defense niet meer voldoet.
Dat hangt natuurlijk helemaal van je netwerk design af.
21-08-2008, 23:28 door Bitwiper
M.b.t. de stelling van de OP ben ik het eens met NielsT. De meeste PFW's (personal firewalls) gaan veel verder dan alleen pakketinspectie bij uitgaand verkeer. Met name als een wat minder bekende PFW wordt ingezet heb je kans dat onbedoeld gestarte malware de PFW niet kan uitschakelen en een waarschuwing wordt getoond. De gebruiker moet dan wel wat doen met die waarschuwing natuurlijk, waarmee dit type PFW's een extra beveiligingslaag kan bieden voor wat gevorderde thuisgebruikers, d.w.z. ingelogd als [url=http://www.matousec.com/projects/firewall-challenge/faq.php#administrators-limited-account]admin[/url], type tussen clickvee en security-aware (die laatste groep zal het niet tot dergelijke post-mortem meldingen willen laten komen, en zit bovendien niet te wachten op de performance penalty, geheugenmisbruik, nieuw security risico, naar huis bellen, zeurmeldingen, kosten en/of spam).

Een up-to-date test van personal firewalls met de nadruk op outbound protectie (maar ook performance) vind je bij [url=http://www.matousec.com/projects/firewall-challenge/]Matousec[/url].

M.b.t. het onderwerp (Nut softwarematige firewalls ????): helaas is het zo dat windows by default op een reeks poorten luistert (dit is lastig uit te schakelen en leidt bovendien bij elke nieuwe Windows versie sinds 98SE tot meer foutmeldingen en andere onverwachte problemen). Hierdoor is elk Windows systeem out-of-the-box kwetsbaar voor aanvallen op de bijbehorende services (vulns daarin met SYSTEM access als gevolg). Op een volledig gepatched systeem zijn file en/of [url=http://techworld.nl/article/5417/gegevensdief-lift-mee-op-psexec.html]systeem[/url] toegang mogelijk via te eenvoudige of gelekte wachtwoorden. Voor beide toegangsvormen biedt de in Windows ingebouwde firewall (sinds XP-SP2) voldoende bescherming - mits in de instellingen alle uitzonderingen/exceptions zijn uitgeschakeld (@SirDice, dit type firewall beschermt niet tegen draaiende malware, maar heeft wel degelijk nut voor gebruikers met admin rechten, dus jouw stelling 'Software matige firewalls hebben geen enkele zin als de gebruiker administrator rechten heeft' gaat me te ver).

In de Duitse c't die de komende anderhalve week nog in de winkels ligt (nr. 18 van 18-8-08) staat een interessant artikel ('Funksurfen ohne Reue' blz 174) waarin PFW's worden ingezet om kosten te besparen als je via GPRS/UMTS verbinding maakt, nl. door allerlei automatische updates te verhinderen. Beschreven wordt hoe de on-board Vista firewall zo te configureren is dat deze slechts bepaalde applicaties toestaat internetverbindingen te maken.
Voor XP-gebruikers neemt c't de [url=http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/]Sunbelt Personal Firewall[/url] (SPF, voorheen Kerio) als voorbeeld omdat daarmee eenvoudig per applicatie in te stellen zou zijn of deze verbinding met internet mag maken. Na het aflopen van de 30 dagen testperiode zou SPF naar de free version overschakelen waarbij de in dit kader benodigde functionaliteit beschikbaar zou blijven. Hoewel Sunbelt tijdens installatie de windows firewall uitschakelt en onderaan [url=http://www.sunbeltsoftware.com/home-home-office/sunbelt-personal-firewall/]deze pagina[/url] staat dat het onmogelijk is om meer dan 1 firewall op een computer te draaien, werkt volgens c't de SPF prima samen met de Windows firewall. D.w.z. die laatste laat je altijd aan staan; ga je online via een langzaam/duur (en/of onveilig) netwerk dan zet je de Sunbelt PFW tijdelijk ook aan.

Ten slotte, @SirDice: in mijn ervaring zijn er nogal wat third-party PFW's waarbij ook ordinary users ja/nee vragen krijgen, instellingen kunnen wijzigen of zelfs de firewall helemaal kunnen uitzetten, of PFW's die er van uit gaan c.q. vereisen dat de gebruikers admins zijn (erger, privilege escalation attacks mogelijk maken o.a. door brakke permissies op services en registry keys te zetten). Gelukkig geldt al deze narigheid niet voor de standaard Windows firewalls (XP-SP2 en later).
22-08-2008, 08:46 door Anoniem
Door SirDice
Door Anoniem
Wat wel nog is is dat, zeker in deze tijd van wifi, je
gateway niet meer de grens van je netwerk is, en perimeter
defense niet meer voldoet.
Dat hangt natuurlijk helemaal van je netwerk design af.

om nog even op de stelling voort te borduren:
stelling2: je hebt niets aan perimeter defense als een van
de machines erachter besmet is.
22-08-2008, 11:38 door Anoniem
Bedankt Bitwiper voor je uitgebreide toelichting !

Kan ik dus concluderen dat sofwarematige firewalls, kunnen
helpen!
Maar dat het grootste deel niet goed geïmplementeerd is in
het systeem, waardoor ''lekkage'' zij het door
gebruikersvragen of aanval (malware infectie ) zeer goed
mogelijk is !
22-08-2008, 15:54 door SirDice
Door Anoniem
Door SirDice
Door Anoniem
Wat wel nog is is dat, zeker in deze tijd van wifi, je gateway niet meer de grens van je netwerk is, en perimeter defense niet meer voldoet.
Dat hangt natuurlijk helemaal van je netwerk design af.

om nog even op de stelling voort te borduren:
stelling2: je hebt niets aan perimeter defense als een van de machines erachter besmet is.
Mee eens. Daarom moet je er heel goed voor zorgen dat het spul niet eens binnenkomt :)
25-08-2008, 12:02 door Anoniem
Soms ben je helaas nog steeds afhankelijk van een account met admin-rechten. Anders kun je bepaalde processen waar een admin-recht voor noodzakelijk is, niet draaien. Als beheerder krijg je te vaak gezeik van gebruikers (vooral management mensen) dat ze bepaalde zaken niet kunnen uitvoeren omdat ze geen Administrator zijn. Frustreert enorm.
25-08-2008, 12:53 door Anoniem
Door AnoniemSoms ben je helaas nog steeds afhankelijk van een account met admin-rechten. Anders kun je bepaalde processen waar een admin-recht voor noodzakelijk is, niet draaien. Als beheerder krijg je te vaak gezeik van gebruikers (vooral management mensen) dat ze bepaalde zaken niet kunnen uitvoeren omdat ze geen Administrator zijn. Frustreert enorm.
Jammer zeg, dat die zeikers zich niet aan jouw speeltje willen aanpassen.
Ben jij niet in dienst genomen om dienstbaar aan de gebruikers te zijn of is het andersom?
25-08-2008, 13:52 door Anoniem
Praktisch gezien zal het nut van een software-matige firewall installeren op een reeds besmet systeem afhangen van de malware die op het systeem staat.

-In sommige gevallen zal deze de firewall uitschakelen.
-In andere gevallen zal het dan weer mogelijk zijn al de uitgaande processen van de malware te blokkeren en te helpen pinpointen als je echt geen idee hebt wat de besmetting is.

Maar de efficiëntie van zaken achteraf willen weten lijkt mij nogal afwisselend, het nut van een software matige firewall op een proper systeem lijkt mij zowiezo veel interessanter.
25-08-2008, 14:50 door Anoniem
Het gaat er niet om of het de perfecte oplossin is, maar of het (een beetje) helpt.
Het zal wellicht helpen, en dan heeft het al nut dus.
Niet alles in de IT is zwart/wit.
25-08-2008, 16:31 door [Account Verwijderd]
Zinloos. De meeste mensen klikken toch ja op alles wat ze zien van alerts.
25-08-2008, 16:40 door spatieman
hmpf.
in hardware firewalls, zit ook software, om de zooi aan te sturen *g*
26-08-2008, 08:58 door Anoniem
Door spatiemanhmpf.
in hardware firewalls, zit ook software, om de zooi aan te sturen *g*

Precies. De enige zinnige opmerking in de lijst.
26-08-2008, 15:10 door SirDice
Door AnoniemSoms ben je helaas nog steeds afhankelijk van een account met admin-rechten. Anders kun je bepaalde processen waar een admin-recht voor noodzakelijk is, niet draaien. Als beheerder krijg je te vaak gezeik van gebruikers (vooral management mensen) dat ze bepaalde zaken niet kunnen uitvoeren omdat ze geen Administrator zijn. Frustreert enorm.
Wat een slechte B.O.F.H. ben jij zeg ;)

Ben jij niet in dienst genomen om dienstbaar aan de gebruikers te zijn of is het andersom?
Als security specialist wordt je ingehuurd om "nee" te verkopen. Daarom kunnen "gewone" beheerders dat er ook niet even bij doen. "Conflict of interest" noemt men dat..


Overigens is het bijna nooit alles (administrator) of niets (gewone user). Juist Windows heeft een ongelofelijk fijnmazig rechten systeem. Kost alleen wat moeite om een keer uit te zoeken welke rechten die applicatie nu precies nodig heeft. En nee dan heb ik het niet alleen over ACL's op files, directories en registry keys maar ook over privileges..

http://msdn.microsoft.com/en-us/library/ms878695.aspx
26-08-2008, 15:51 door Anoniem
Door Anoniem
Door spatiemanhmpf.
in hardware firewalls, zit ook software, om de zooi aan te sturen *g*

Precies. De enige zinnige opmerking in de lijst.

Oplossing: Bridge mode. (voorbeeld op http://doc.m0n0.ch/handbook/examples-filtered-bridge.html)
26-08-2008, 17:24 door Anoniem
Ik gebruik zelf geen firewall meer op Windows XP SP3. De standaard firewall staat wel aan, maar poort 135 en 445 blijven luisteren (netstat -a -n). Jammer.

In mijn modem/router heb ik een firewall aanstaan. Ook is het een idee om alle inkomende verkeer naar een niet aangesloten ethernet poort te sturen. Goed opletten dat je hier geen kabel in plugt dan!

Volgens http://www.grc.com/ zit ik helemaal dicht maar ik weet dat alles valt of staat met de firmware van mijn modem/router en eventuele ongepatchte fouten in Windows (bijvoorbeeld bovengenoemde poorten).

Ik gebruikte Kerio, maar die wordt sinds de overname door Sunbelt nauwelijks meer onderhouden en ik zie de firewall nu eerder als een manier om binnen te komen dan om aanvallers buiten te houden. Bovendien start mijn computer zo iets sneller op :-)
26-08-2008, 18:39 door Anoniem
en ook die kunnen aangevallen worden
26-08-2008, 20:26 door Anoniem
Het schijnt kennelijk een niet uit te roeien misverstand te zijn dat wat er binnenkomt gevaarlijk is. Het is precies andersom: WAT ER UIT GAAT IS GEVAARLIJK. Even schreeuwen tegen de sukkels....
27-08-2008, 10:32 door Anoniem
Een firewall vormt (slechts) een deel-oplossing, een stukje van het geheel. In die hoedanigheid heeft een firewall wel degelijk nut, maar zeker niet als 'totaal-oplossing'.
27-08-2008, 11:47 door Anoniem
Door Anoniem
Softwarematige firewalls zijn zinloos als het systeem al besmet is en dienen dus geen enkel doel meer !
Je gaat uit van een systeem dat reeds besmet is. Dat betekent dat je beveiliging niet voldoet aan je beveiligingsbehoefte.
27-08-2008, 14:47 door Anoniem
Door AnoniemHet schijnt kennelijk een niet uit te roeien misverstand te zijn dat wat er binnenkomt gevaarlijk is. Het is precies andersom: WAT ER UIT GAAT IS GEVAARLIJK. Even schreeuwen tegen de sukkels....
Voordat je gaat schreeuwen en iedereen tot sukkel bombardeer wil ik als "Geen Deskundige" toch iets van je weten.
Stel dat mijn computer voor 100 % geen besmettingen heeft.
Vervolgens zorg ik dat ik met de nodige software de besmettingsdreigingen de baas blijf.
Hoe kan mijn computer dan iets eruit laten gaan wat gevaarlijk is?
27-08-2008, 14:52 door SirDice
Door AnoniemIk gebruik zelf geen firewall meer op Windows XP SP3. De standaard firewall staat wel aan,
Err... Je spreekt jezelf tegen. Maar je bedoelt waarschijnlijk geen third party firewall software.

maar poort 135 en 445 blijven luisteren (netstat -a -n). Jammer.
Dat heeft ook niets met de firewall te maken.

In mijn modem/router heb ik een firewall aanstaan. Ook is het een idee om alle inkomende verkeer naar een niet aangesloten ethernet poort te sturen. Goed opletten dat je hier geen kabel in plugt dan!
Niet forwarden is dan beter. Loop je ook niet het risico dat je een keertje in de verkeerde poort zit.
27-08-2008, 19:09 door Anoniem
Door AnoniemHet schijnt kennelijk een niet uit te roeien misverstand te zijn dat wat er binnenkomt gevaarlijk is. Het is precies andersom: WAT ER UIT GAAT IS GEVAARLIJK. Even schreeuwen tegen de sukkels....

Als het goed is initieer ik wat er uit gaat op mijn computer. Zolang ik alles goed scan wat ik zelf naar binnen haal heb ik een kans tegen trojans en andere malware. Zodra die op mijn computer staan heb ik te maken met rootkits en alles die je toch niet pakt met je software firewall. Dan is het game over.

Bovendien introduceert een firewall die ook naar buiten kan scannen extra code op je systeem die wellicht ook ooit misbruikt kan worden of wordt.

Plus dat ik dit ooit zo gedaan heb maar met sommige programma's blijf je bezig om alle poorten en protocollen in te stellen die het nodig denkt te hebben. Plus dat malware bijvoorbeeld je browser kan hacken om dingen naar buiten te sturen zonder dat je firewall dat door heeft.

'sukkel'
27-08-2008, 21:55 door Anoniem
Natuurlijk heeft een software matige firewall nut zeker voor het uitgaande verkeer je zet de firewall gewoon zo dat die alles moet melden wat verbinding met het internet wil maken.
Zelfs voor de leken onder ons is het met een beetje googelen uit te zoeken wat verbinding wil maken en waarvoor.
En daarmee kan je je PC aardig dichttimmeren en leer je begrijpen wat verbinding MOET hebben en wat niet .
En het is uiteraard ook zo dat als alles werkt en er komt weer een melding na b.v een paar dagen dat je eerst moet uitzoeken waar dat vandaan komt alvorens je toestemming geeft .
Ook voor de wat minder legale software is het een uitkomst want die software geef je geen toestemming om verbinding met het internet te maken zodat de software geen homecall kan maken dus de software blijft gewoon werken zonder dat je lastig gevallen wordt met allerlei onzin.Je blijft uiteraard wel verstoten van updates.
Laat ik wel voorop stellen dat de standaard firewall in windows niet voldoen.

Dus ik zeg een goede software matige firewall heeft wel nut

http://www.personalfirewall.comodo.com/
28-08-2008, 07:30 door Anoniem
Ik gebruik zelf Agnitum Outpost als softwarematige firewall. Hiermee kan ik precies zien o.a. als een programma iets in het geheugen wil aanpassen of andere delen van het geheugen/windowsgebieden wil wijzigen of bestanden wil injecteren. Volledige controle over je systeem.

Service is niet uit te zetten zonder wachtwoord en via taakbeheer ook niet.
Ideaal, en je weet natuurlijk welke software wat aanspreekt op internet, zowel in- als uitgaand verkeer.
28-08-2008, 18:10 door Anoniem
Als je geen updates van Windows kan gebruiken ivm een illegale versie, dan is een software firewall zeker niet overbodig! Ik gebruik op het moment echter slechts legale versies van software die ik patch op de dag dat dat mogelijk is.

Over Agnitum Outpost.. het klinkt goed, maar het klinkt ook alsof het ook meer is als een firewall. Zelf gebruik ik AVG Free en Spybot Search & Destroy voor dit doel. De oude rootkit scanner van AVG werkt ook nog steeds tot mijn grote vreugde.

Comodo heb ik overwogen maar ik werd niet blij na het lezen van de manual. Zodra iets fout gaat op je systeem kan je gaan dokken voor de 'volledige' versie en dan haal ik nog liever Norton Antivirus bij de Dixons.

Illegale beveiligingssoftware gebruiken is natuurlijk het laatste wat je moet doen. Het is als een herder die zijn schapen door de wolf laat bewaken. Bovendien zijn er genoeg gratis alternatieven.
29-08-2008, 02:49 door Anoniem
Hey geweldig stelletje blaaskaken,
als we nou niet gaan schreeuwen of be/veroordelen door anderen sukkels te noemen (who made you God?)... dan nodigt dat veel meer uit inhoudelijk te reageren. Ik als sukkel/onwetende vind het een vraagstuk waar ik graag verschillende visies over zou willen lezen, maar ik word nogal af geleid door de toon.
(andere onderwerpen waarop ik had willen reageren zijn inmiddels al gesloten door ditzelfde gedoe... is toch jammer en onnodig?)

Veronique
29-08-2008, 13:13 door Anoniem
Het spijt me Veronique. Ik zie nu in dat ik op een trol heb gereageerd. Ik hoop dat mijn reactie verder wel inhoudelijk was!
02-09-2008, 21:22 door Anoniem
Stelling:
A. Als jij op een berg staat. "Zonder Firewall"
B. Of in een kuil staat. Met Firewall"

Bij welke kom je makkelijker op het normaal niveau?
A.. "A" hoef je bijna geen moeite te doen.

Bij "B" moet je klimmen.

Nog een ander voorbeeld.

Waar kom je makkelijker binnen?
A. een deur die open staat.
B. een deur die dicht is.
C. een deur die op slot zit.

Bij "A" je kan zo door lopen.
Daarna: "B" je moet eerst nog de deur open doen.
"C" Je moet je best doen om binnen te komen.


Dus antwoord Firewall heeft wel degelijk zin.
03-09-2008, 11:47 door Anoniem
Door AnoniemStelling:
A. Als jij op een berg staat. "Zonder Firewall"
B. Of in een kuil staat. Met Firewall"

Bij welke kom je makkelijker op het normaal niveau?
A.. "A" hoef je bijna geen moeite te doen.

Bij "B" moet je klimmen.
Vreemde redenering.
Had je bij "B" niet hoeven klimmen dan, zonder firewall?
03-09-2008, 17:34 door Anoniem
Kort en bondig geen.
Een softwarematige firewall is volkomen nutteloos aangezien het "softwarematig" is de naam zegt het al het is een programma dat draait tussen alle andere programma's en dus ook als zodanig gemanipuleert kan worden. Mijns inziens dient een firewall te allertijden geisoleerd te zijn van de userspace, bij voorkeur hardwarematig dus en ja die heeft ook software maar dat is dan dedicated dus dat is niet erg.
05-09-2008, 16:08 door Anoniem
Door AnoniemKort en bondig geen.
Een softwarematige firewall is volkomen nutteloos aangezien het "softwarematig" is de naam zegt het al het is een programma dat draait tussen alle andere programma's en dus ook als zodanig gemanipuleert kan worden. Mijns inziens dient een firewall te allertijden geisoleerd te zijn van de userspace, bij voorkeur hardwarematig dus en ja die heeft ook software maar dat is dan dedicated dus dat is niet erg.

zet er dan wel een tussen elke computer en het netwerk waar ie aan hangt.

of je filtert gewoon op al je computers op kernel-niveau. Een nadeel van een restrictieve policy is dan wel dat je een boel moet updaten als je in je netwerk een nieuwe service toe voegt.
05-09-2008, 17:41 door Anoniem
Dat hoeft nog niet eens, denk buiten de doos. Je denkt te bekrompen en te klein schalig.. ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.