image

"Windows XP firewall voldoende met NAT"

dinsdag 2 februari 2010, 14:09 door Redactie, 17 reacties

Alle beveiligingsadviezen noemen het gebruik van een firewall, maar wat is nu een verstandige keuze? Wie achter een NAT-router of externe firewall zit, een internet security suite gebruikt, voldoende kennis heeft om niet in social engineering aanvallen te trappen en bekende websites bezoekt, heeft voldoende aan de ingebouwde firewall van Windows XP, zo adviseert Jack Schofield.

Gebruikers die via onbekende netwerken verbinding maken, geen goede virusscanner gebruiken en graag alles klikken wat los en vast zit, doen er verstandig aan om een betere firewall te gebruiken. "En dat is mogelijk niet genoeg." Schofield is voorstander van een "losse" firewall, waarbij Online Armor Free van Tall Emu en Comodo Internet Security zijn voorkeur krijgen.

Security.nl hoort graag van jullie wat voor Windows XP gebruikers een goede firewall oplossing is.

Reacties (17)
02-02-2010, 14:37 door Anoniem
Ik heb een router met ingebouwde firewall en heb op mijn Windows XP (Pro SP3) machine de standaard firewall aan staan. Als IT-er zit ik natuurlijk veel op internet en vaak genoeg op websites waarvan aan de betrouwbaarheid / veiligheid te twijfelen valt. Ik heb nog nooit problemen gehad met virussen, trojans, hacks etc.

Ik ben het dan ook eens met dit artkel.
02-02-2010, 14:44 door sharkzor
Door Anoniem: Ik heb een router met ingebouwde firewall en heb op mijn Windows XP (Pro SP3) machine de standaard firewall aan staan. Als IT-er zit ik natuurlijk veel op internet en vaak genoeg op websites waarvan aan de betrouwbaarheid / veiligheid te twijfelen valt. Ik heb nog nooit problemen gehad met virussen, trojans, hacks etc.

Ik ben het dan ook eens met dit artkel.

oftewel, Ik heb nog nooit een ongeluk gehad, dus ik heb geen autoverzekering nodig....


verder ben ik het zelf wel eens. als je achter NAT zit heb je geen ongecontrolleerde inkomende verbindingen. Uitgaand kan je makkelijk voorkomen door te zorgen dat er geen virus/malware op je machine komt.
02-02-2010, 14:53 door Anoniem
Door sharkzor:
Door Anoniem: Ik heb een router met ingebouwde firewall en heb op mijn Windows XP (Pro SP3) machine de standaard firewall aan staan. Als IT-er zit ik natuurlijk veel op internet en vaak genoeg op websites waarvan aan de betrouwbaarheid / veiligheid te twijfelen valt. Ik heb nog nooit problemen gehad met virussen, trojans, hacks etc.

Ik ben het dan ook eens met dit artkel.

oftewel, Ik heb nog nooit een ongeluk gehad, dus ik heb geen autoverzekering nodig....


verder ben ik het zelf wel eens. als je achter NAT zit heb je geen ongecontrolleerde inkomende verbindingen. Uitgaand kan je makkelijk voorkomen door te zorgen dat er geen virus/malware op je machine komt.
In Nederland krijg je tegenwoordig bij elk abonnement een draadloos router (ziggo, tele 2 , kpn, xs4all) dus dat scheelt al weer.
02-02-2010, 14:56 door Anoniem
Gebruikers die via onbekende netwerken verbinding maken, geen goede virusscanner gebruiken en graag alles klikken wat los en vast zit, doen er verstandig aan om een betere firewall te gebruiken. "En dat is mogelijk niet genoeg." Schofield is voorstander van een "losse" firewall, waarbij Online Armor Free van Tall Emu en Comodo Internet Security zijn voorkeur krijgen.
Ze kunnen beter de stekker uit een pc trekken. Kom op zeg, je mag inmiddels wel weten dat je niet bij alles op "Ja" moet gaan klikken.
02-02-2010, 14:56 door Anoniem
@sharkzor: Anoniem van 14:37 zegt niet, dat je niets nodig hebt, maar dat zijn ervaring is, dat de aanbeveling klopt. En die bevat nog steeds een aantal beveiligingen tegen allerlei meuk.
02-02-2010, 16:01 door Anoniem
Wij gebuiken hier de GTA firewall. Hardware dus want bedreigingen moet je aan " de voordeur" tegenhouden.
02-02-2010, 16:31 door Anoniem
Het klopt enigsinds wel.

Echter zelfs die security suites/firewalls zijn niet geheel nodig.
Ik heb de afgelopen 5jaar eenmaal een trojan binnengehaald. Daar houdt je rekening mee en installeer je het OS opnieuw. Dit is voor een IT'er zeker geen probleem, ik ga er sowieso van uit dat een IT'er vaker een fresh install uitvoert dan de gewone thuisgebruiker.
02-02-2010, 17:20 door Anoniem
Vraag jij je zelf ook af van wat is het verschil tussen Internet Explorer 7 en Internet Explorer 8!
Internet Explorer 8 gedraagd zich veel rustiger, het letje van mijn modem knippert nouwleijks,

Zitter er een ingebouwde firewall of filter in Internet Explorer 8.
02-02-2010, 17:24 door Rolfwil
Tegenwoordig zit bijna iedereen (adsl gebruikers) achter een NAT "firewall" , dat biedt al een eerste laag van beveiliging. Ik gebruik op mijn win7 laptop en m'n mac mini met Ubuntu als browser Firefox met de WOT plugin en Noscript plugin. WOT is een 'real time' database die wordt gecheckt zodra je een site bezoekt en direct een waarschuwing geeft wanneer je een obscure site dreigt te gaan bezoeken (waarbij je vervolgens keuze hebt niet te bezoeken). Noscript houdt gros van kwaadwillende scripts tegen. Dus ik maak me eigenlijk geen zorgen. Zorg dat je backups op een externe schijf danwel dvd maakt en klik niet in het wilde weg op allerlei rare links.

Gr. Ralph
02-02-2010, 17:47 door Anoniem
Door Anoniem: Wij gebuiken hier de GTA firewall. Hardware dus want bedreigingen moet je aan " de voordeur" tegenhouden.

Dat geldt natuurlijk voor inkomende verbindingen. Maar daarvoor wordt in het artikel naar NAT verwezen *). Dat zou dezelfde kwaliteiten als een hardware firewall hebben. Voor uitgaande verbindingen heb je echter niets aan een externe hardware firewall. Daar staat bijvoorbeeld poort 80 open, maar die firewall weet niet of het de browser is die een verbinding wil maken of dat het een virus is die even wat updates ophaalt. Daarvoor is een goede software firewall nodig die je goed kunt instellen. En dat laatste is 1 van de mindere zaken bij de standaard Microsoft firewall. Ik zou ook Comodo aanraden.

*) NAT wil zeggen "Network Address Translation". Daarbij wordt een intern adres naar een extern adres vertaald. En in principe 1-op-1. Dat wil dus zeggen dat je extern evenveel IP adressen nodig hebt als dat je intern gebruikt om mee naar buiten te gaan. En door die 1-op-1 relatie zou je ook van buiten naar binnen kunnen als je niet een firewall hebt ingesteld. PAT werkt met 1 extern adres, waarbij de externe poort (PAT = Port Address Translation) wordt gewijzigd en gekoppeld aan een interne IP-adres/poort-combinatie. Omdat dat varieert, kun je extern nooit weten welke externe poort bij welke interne machine hoort en dus ook niet welke poort (http, mail, ftp, fileshare). En daarom is PAT dus net zo sterk als een firewall voor externe toegang.

En ja, ik weet dat iedereen PAT tegenwoordig NAT noemt, maar in de security wereld wordt er toch duidelijk onderscheid gemaakt om bovenstaand verschil duidelijk te maken: PAT is veilig; NAT+firewall is veilig.

Daarnaast heeft PAT als nadeel dat je bij problemen die door je provider worden gemeld, je niet (gemakkelijk) kunt achterhalen welke machine in je huis is besmet. De speeldingen van je kinderen of misschien toch die machine waar je je boekhouding en je bankzaken op doet?

Peter
02-02-2010, 19:35 door Anoniem
windows Fw + firebox FW + modem FW(nou ja staat voolopig af)...+ degelijke kennis....

you can all kiss my ass)
02-02-2010, 23:55 door Bitwiper
Door Anoniem: *) NAT wil zeggen "Network Address Translation". Daarbij wordt een intern adres naar een extern adres vertaald. En in principe 1-op-1. Dat wil dus zeggen dat je extern evenveel IP adressen nodig hebt als dat je intern gebruikt om mee naar buiten te gaan.
Dat is onjuist, en, belangrijker, verwarrend voor de gemiddelde lezer.

Het is onjuist dat NAT persee betekent dat interne IP adressen 1-op-1 naar evenveel externe IP-adressen vertaald zouden moeten worden; het stelt alleen dat er iets gebeurt met IP-adressen (zie http://en.wikipedia.org/wiki/Network_Address_Translation). Bijv. als je een aantal interne PC's hebt die nooit tegelijkertijd met dezelfde externe IP-adressen communiceren volstaat het vervangen van meerdere interne IP-adressen door 1 publiek IP afzenderadres.

Er ontstaat pas een probleem als twee of meer interne machines (natuurlijk met verschillende IP adressen), min of meer tegelijkertijd via een strikte NAT router pakketten sturen naar 1 remote IP adres op dezelfde destination port, en daarbij toevallig (of opzettelijk) allen gebruik maken van dezelfde source port: in dat geval weet de NAT router niet naar welke interne PC hij retourpakketten (indien van toepassing) terug moet sturen. Iimmers, elke "verbinding" wordt gekarakteriseerd door 4 items: source- en destination adressen alsmede source en destination ports. Alleen als die situatie zich kan voordoen heb je een aanvullende oplossing nodig.

Die oplossing zou kunnen bestaan uit het vertalen van evenveel LAN naar WAN adressen, maar in de praktijk wordt NAT bijna altijd gecombineerd met port translation, en heet dan network masquerading. Formeel heb je gelijk dat je zo'n device een PAT router zou moeten noemen, maar in de volksmond heet dit zo'n ding nou eenmaal een "NAT router" (wellicht omdat de meeste mensen het concept van een IP-adres nog wel begrijpen, maar poortnummers veel minder).

Daarnaast heeft PAT [Bitwiper: in de volksmond bekend als een NAT- of broadband router] als nadeel dat je bij problemen die door je provider worden gemeld, je niet (gemakkelijk) kunt achterhalen welke machine in je huis is besmet. De speeldingen van je kinderen of misschien toch die machine waar je je boekhouding en je bankzaken op doet?
Wat een onzinnig argument. Laten we vooral NAT-routers (of whatever je die dingen wilt noemen) afschaffen en elke thuis-PC een uniek IPv6 adres geven. Daarna laten we het aan de gebruikers over om die dingen zodanig te configureren dat de rest van het internet niet op die PC's naar binnen wandelt maar ze wel, liefst zonder wachtwoorden, onderling bestanden en printers kunnen delen. Dat gaat een stuk minder zombies opleveren (not).

Als je op een direct op internet aangesloten computer XP probeert te installeren is de kans groot dat die PC al gecompromitteerd is voordat je de eerste SP's en patches kunt downloaden...

Wijzigingen 3 feb 00:49: in mijn eerste reactie claimde ik dat PAT alleen Port Translation zou betekenen. Ik heb het nog eens nagelezen, dat heb ik fout, mijn excuses (weer wat geleerd!). Met de A uit PAT wordt, in tegenstelling tot wat ik tot nu toe aannam, niet naar het poort nummer maar naar het IP-adres verwezen. Met PAT wordt dus zowel NAT als PT bedoeld, ook wel bekend als NAPT. Daarom heb ik mijn reactie aangepast.
03-02-2010, 08:34 door Anoniem
Ik ben het niet met jack Schofield eens.
Naar mij mening is windows firewall en NAT wel beter dan niks.
Maar toch zijn NAT en windows firewall makkelijk te omzeilen.
Dit in tegenstelling tot commerciele firewall producten.
Dit zijn namelijk degelijke firewalls die gebouwd zijn als hoofd product dus waar aandacht is besteed aan de veiligheid van het product en de veiligheid van de code.
Windows firewall is een neven product wat nog even snel inelkaar is gestampt heb ik soms het idee.
Dus zal het met de veiligheid niet al te best gesteld zijn.
03-02-2010, 11:23 door Anoniem
Door Anoniem:
Dit in tegenstelling tot commerciële firewall producten.
Dit zijn namelijk degelijke firewalls die gebouwd zijn als hoofd product dus waar aandacht is besteed aan de veiligheid van het product en de veiligheid van de code.

Windows firewall is ook een commerciële firewall. En ik vind het brood van de Vomar lekkerder dan die van de bakker bij mij op de hoek...

Ik gebruik trouwen NAT en de windows firewall...Een robuuste firewall is niet zo heel moeilijk om te maken lijkt me. De moeilijkheid zit er in hoe je uitzonderingen kunt configureren op je firewall. Heb je geen ingewikkelde configuratie nodig, dan is een simple firewall net zo goed als een commerciële-hardware-matige-super-mega, firewall.
04-02-2010, 02:25 door Anoniem
http://www.matousec.com/projects/proactive-security-challenge/results.php
04-02-2010, 22:22 door Anoniem
1 word... Leaktests
05-02-2010, 01:39 door Anoniem
Ik ga die rommel van een software firewall nooit op m`n pc zetten. Maakt nie tuit welk merk. Spul zit altijd in de weg en als je het wilt de-installeren krijg je er alleen maar gezeik mee.

Doe maar een fatsoenlijke hardware firewall. Ga naar Marktplaats en kijk wat daar te vinden is aan Cisco PIXen en wellicht ook nog wel ASA`s, sonciwalls en junipers. Dit werkt veel fijner en ben je meteen klaar voor je hele netwerk anders moet je per pc die rommel installeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.