Microsoft: Firewalls houden hackers niet buiten
Bedrijfsnetwerken worden niet voldoende door firewalls beschermd, aldus een Microsoft security expert. "Firewalls zijn net debiele routers. Ze kijken alleen naar de poorten, bronnen en bestemmingen die ze bevallen. Als een trein via Eurostar van Gare du Nord naar Waterloo gaat dan mag je het land binnenkomen, omdat je het vertrouwt. Dat is wat firewalls op dit moment doen. Ze kijken niet of al-Qaeda meerijdt," aldus Fred Baumhardt die een lezing gaf over de noodzaak van een nieuwe generatie firewalls. Baumhardt gaf verder als voorbeeld hoeveel hackers poort 80 gebruiken om een netwerk binnen te komen en dit als betrouwbaar verkeer gezien wordt. Hij voegt in dit artikel verder toe dat het belangrijk is om het netwerk niet alleen aan de buitenkant, maar ook aan de binnenkant moet beschermen.
dankzij een Firewall.!
er meteen uit...
Dus als al quada in de trein zit, zullen ze wel ontdekt worden.
Maar het is algemeen bekend dat microsoft een tijdje achter loopt.
Ik zou nooit security oplossingen van deze partij betrouwen
domme firewalls en gaat gemakshalve even voorbij aan andere
moderne 'intelligente' firewall-achtige apparaten zoals
esafe. Kortom dit is weer een typisch staaltje
Microsoft-marketing. Een van de 'voordelen' van ISA is,
dat het het propriëtaire NTLM-protocol gebruikt om
gebruikers te authenticeren. Zo probeert M$ aan alle kanten
meer grip op het internet te krijgen.
kern van waarheid.
De meeste firewalls, halen de pakketjes die er door gaan
niet uit elkaar om te kijken of er een aanval op
applicatielaag in verborgen zit.
Als een hacker via poort 80 een attack uitvoerd op een
Outlook lek op je pc, dan zijn de meeste bedrijven hiervoor
niet goed genoeg beveiligd.
Om dergelijke attacks te zien en ook daadwerkelijk tegen te
houden, zou een oplossing bijvoorbeeld zijn om een Intrusion
Prevention oplossing te implementeren in je netwerk of op de
servers.
Kortom, het is geen kletskoek van MicroSoft.
appliance die content security doet..
Edwin
Poort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
scripting? SQL injection? Goeie firewall die dat tegenhoud.
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
niveau) veel impact op de performance van het netwerk?
Of indien het alleen gebeurt op de servers (binnen de DMZ),
wat voor impact heeft het op de performance van de host /
server?
een eSafe dat ook? Of is dat een content scannings device? Om deze
discussie te kunnen voeren moeten we wel eerst overeenstemming hebben
over het onderwerp. Wanneer we PIX-achtige apparaten als firewall
beschouwen en een eSafe-achtig ding niet, dan heeft MS gelijk.
My 50 cents.
en kunnen BEPERKT op applicatielaag controleren.
Zover ik weet is er geen enkele firewall die een volledige
Intrusion Prevention oplossing biedt (zoals NetScreen IDP of
McAfee IntruShield)
Edwin
Simpele firewall werkt prima in de meeste gevallen, de grootste bedreiging
komt nog steeds van binnenuit. D.w.z. eit-jes van gebruikers en virussen,
etc. die door eit-jes worden geactiveerd.
logisch. Als je je voordeur zwaar beveiligd, en je geld op
tafel legt, hoeft men alleen maar door de voordeur te komen.
Als je je geld ook nog in een kluis legt, wordt het een stuk
moeilijker voor de inbreker. Hetzelfde geld voor een
netwerk. Daar hoef je niet echt een security expert voor te
zijn.
aanval plaats, dan haalt de Firewall die er uit. Wie een domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
Poort 80 aanvallen heeft bij mijn firewall geen zin. Die
haalt de aanval
er meteen uit...
scripting? SQL injection? Goeie firewall die dat tegenhoud.
Een goede firewall haalt ook deze troep eruit hoor!
Verkeer van binnenuit dan? Waarom zou een trojan een
moeilijke poort gebruiken als 80 gewoon alle kanten op
openstaat?
Ooit gehoord van Leak-proof firewalls? Ooit gehoord van een
Virusscanner?
Een goede Firewall bezit z.g. Aanvalshandtekeningen. Vindt
er een
aanval plaats, dan haalt de Firewall die er uit. Wie een
domme Firewall
gebruikt (van MS op XP) loopt inderdaad gevaar, ja...
Dit is iets van de klok en de klepel, want je verteld maar
een deel van het verhaal.
Zoals reeds eerder gemeld, vangen de meeste firewals geen
aanvallen op applicatieniveau af.
Firewalls werken veelal met signatures
(aanvalshandtekeningen) om zo aanvallen op netwerkniveau
etc, te kunnen herkennen en te blokken.
Daar houdt het dan ook echt wel op.
ISA 2004 is overigens de eerste uit de ISA reeks waar een
softwarematige firewall in zit... voorheen was het meer een
proxy server.
Beveiligen van je netwerk is niet voldoende met de klasieke
oplossingen (firewall, virusscanner).
Het kost alleen enorm veel geld om het goed aan te pakken en
je moet een balans zoeken tussen
- Goede beveiliging
- Kosten
- Acceptabele risico
Edwin
echter tegenwoordig steeds meer content scanners met firewall
functionaliteit en firewalls met content scanner functionaliteiten.
Als je naar een "echte" firewall kijkt (1 die alleen op laag 3/4 werkt) dan heeft
deze meneer gelijk. Als je je website beschikbaar wilt maken voor de rest
van de wereld zul je er een gaatje in moeten prikken.
Jammer genoeg werkt MS zelf mee aan het onveiliger maken van een
relatief "onschuldige" http poort. Men heeft tenslotte SOAP ontwikkelt om
daarmee een firewall te kunnen "omzeilen". (Dit omdat elke weldenkende
security specialist weet dat RPC heel gevaarlijk is en dit dus niet toestaat
door de firewall. SOAP is simpel gezegt RPC over HTTP).
kunnen) is dat je maar 1 apparaat hoeft aan te schaffen,
maar daarmee je kwetsbaarheid (single point of failure)
vergroot.
Kortom.. moet je weer een fail-over unit aanschaffen.
ik quote mijzelf:
Security kost geld, maar het gaat om de mix:
- Goede beveiliging
- Kosten
- Acceptabele risico
Edwin
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Vertel dat CheckPoint eens...
Persoonlijk vind ik je sowieso dom als je je webserver op
hetzelfde netwerk hebt als je bedrijfsnetwerk. Voor je
bedrijfsnetwerk heb je systeembeheerders, en voor hosting
heb je een hostingprovider. Bedrijfsnetwerken moeten
helemaal niet benaderbaar zijn vanaf internet.
Een softwarematige firewall helpt alleen tegen wormen en
trojans. Daarom worden softwarematige firewalls alleen
gezien bij thuisgebruikers en het MKB. Binnen een groot
bedrijf is de enige weg naar binnen en naar buiten een proxy
server.
Je kan wel degelijk je eigen webservers runnen. Plaats ze
alleen fatsoenlijk in een DMZ. Zorg er tevens voor dat er
geen verkeer mogelijk is vanuit de DMZ naar het interne
netwerk. Op die manier kan alleen de webserver via dat
'gapende' gat door de firewall benaderd worden. Mocht de
webserver gecompromiteerd worden dan is alleen dat apparaat
de klos en blijft de rest doordraaien. Plaats tussen de
firewall en het interne netwerk nog een proxy en je zit
redelijk safe.
Ofwel de aloude toren van:
packet filter
static packet filter
content filter
deep inspection
??
Vergelijken van appels met peren dus....
eerste paar posts)
Edwin
Kletskoek Microsoft! Mijn systeem heeft duizenden aanvallen overleefd
dankzij een Firewall.!
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.