Samenwerken met Decom is kiezen voor advies zonder flauwekul en een nuchtere aanpak. Met kennis van zaken en focus op service.

NO-NONSENSE ADVIES

De evolutie van firewalls

GESCHREVEN DOOR: Frank Schonenberg OP 06-09-2021

In deze blog wat meer technisch georiënteerde achtergrondinformatie over verschillende generaties firewalls en wat ze doen. Mijn doel is je meer inzicht te geven zodat je weet wat er zoal speelt op gebied van netwerk security.

Pakketfilter firewall

Netwerken groeien enorm en zijn doorgaans verbonden met het internet. Het is zeer belangrijk om de zogenaamde flow van het netwerkverkeer te controleren. Deze controle gebeurde in de vorm van pakketfilter firewall. Deze methode onderzocht de laagste protocollagen, zoals bron- en bestemmingsnetwerkadressen, protocollen (zoals HTTP) en poortnummers. Firewallregels gebruikten dit alles om te definiëren welke pakketten doorgelaten mochten worden. Als de pakketnetwerkadressen, het protocol en poortnummer overeenkwam met die van de pakketfilterregel in de firewall, werd het doorgelaten. Als dit niet het geval was dan viel het stil of werd het geblokkeerd.

Het nadeel van pakketfilter firewalls was dat het een one size fits all beslissing was om het netwerkverkeer toe te staan of juist te blokkeren. Ook konden kwaadaardige gebruikers de firewallregels makkelijk omzeilen.

Aanvullende criteria nodig

De vraag doemde op wat een kwaadaardige gebruiker kon stoppen met het aanbieden van malafide pakketten via open protocollen en poorten of door het misbruik maken van een bug in computersoftware. Om deze zwakte te compenseren kwam de tweede generatie firewall beschikbaar. Kenmerkend daarvoor waren de aanvullende criteria voor blokkeren of toestaan van verkeer.

Stateful firewalls: de tweede generatie firewall

Tweede generatie firewalls genaamd stateful firewalls zijn ontworpen om netwerkverbindingen in de loop van de tijd te observeren. Dit betekent min of meer dat de firewall bij nieuwe netwerkverbindingen continu het ‘gesprek’ tussen de eindpunten beoordeelt. Indien een verbinding zich niet goed gedraagt, blokkeert de firewall de verbinding. Dit was ook het geval bij alle pakketten die niet behoorde bij een bekend ‘gesprek’.

Verwijderen in plaats van blokkeren

Het speciale van dit is dat informatie verwijderd werd in plaats van een blokkade. Hoewel dit wel een verbetering was, konden tweede generatie firewalls nog steeds niet frauduleuze pakketten blokkeren indien ze een protocol zoals HTTP geaccepteerd hadden. Door gigantische groei van het internet (‘www’) promoveerde HTTP tot één van de meest gebruikte netwerkprotocollen met toename van kwaadwillige datastromen tot gevolg.

Dieper kijken in gegevens

Het probleem van HTTP is dat het op vele manieren wordt gebruikt. Als statische teksten, e-commerce, file hosting en vele andere soorten webapplicaties. Omdat ze allemaal hetzelfde poortnummer gebruiken, kan de firewall niet het onderscheid maken. Netwerkbeheerders moesten zelf onderscheid maken tussen de web-toepassingen om de kwaadaardige te blokkeren en de nuttige toe te staan. Om te bepalen hoe protocollen zoals HTTP gebruikt worden, moet de firewall dieper in de gegevens kijken.

Derde generatie firewalls

Derde generatie firewalls doen precies dat. Hoewel de firewalls nog steeds stateful zijn, begrepen deze firewalls de protocollen op hoger niveau. Dit staat bekend als filtering van de ‘application layer’. Hierdoor kunnen de firewalls protocollen zoals HTTP, FTP, DNS en anderen begrijpen. In het geval van HTTP kan het onderscheid maken tussen browser verkeer naar een blog, file hosting, e-commerce, sociale media, VOIP, e-mail en nog veel meer.

Dreigingen nemen toe

Het internet blijft uitbreiden. Kwaadaardige gebruikers haken daarop in met steeds slimmere technieken. Zo veranderen zij bijvoorbeeld hun methodes voor de aanvallen. Cyber dreigingen nemen daardoor alleen maar toe. Aanvallen komen nu van vertrouwde gebruikers, apparaten en toepassingen die malware verspreiden, zowel onbewust en met kwade bedoelingen.

Next generation firewall

Een firewall moet aan alle kanten van het netwerk de cyberaanvallen voorkomen en tegelijkertijd veilig, en betrouwbaar zijn. En niet in de laatste plaats optimale netwerkprestaties leveren. De geavanceerde beveiligingsmogelijkheden die hiervoor nodig zijn, vind je terug in de next generation firewall.

Continue evolutie

Vergelijkbaar met luchthavenbeveiliging heeft de next-generation firewall meerdere controlepunten. Het neemt beslissingen op basis van regels over het toestaan of het verkeer laten vallen ervan. Ook zorgt de next-generation firewall voor een deep packet inspection. Indien de firewall het niet vertrouwt, zet de firewall dit aan de kant en gebruikt (in geval van een Fortinet firewall) FortiSandbox voor verdere analyse van het aangeboden pakket.

Aangezien netwerken zich blijven ontwikkelen en nieuwe beveiligingsuitdagingen er altijd zullen zijn, evolueert de next-generation firewall uiteraard daarop mee.

Netwerken segmenteren

De Next-generation firewall zorgt dat de gebruikers gescheiden zijn van apparaten en toepassingen. Door netwerken te segmenteren in zogenaamde VLAN’s, zeg maar een netwerk afgestemd op wat een afdeling ‘mag of kan’, is de firewall goed in staat op te treden als een soort verkeersregelaar met hoge prestatie (lees: snelheid) en ook kwaliteit van de inspectie van het aangeboden netwerkverkeer.

Fortinet info

Fortinet (bron van artikel) biedt een next-generation firewall. Dit heet FortiGate. Het FortiGate apparaat is volledig geïntegreerd met andere beveiligingsproducten die gegevens deelt en centraal worden beheerd in wat de Fortinet Security Fabric wordt genoemd.


Delen op social media