image

Geschiedenis van de firewall

dinsdag 15 februari 2005, 08:22 door Redactie, 1 reacties

Je zou misschien verwachten dat firewalls iets van de laatste jaren zijn, maar niets is minder waar. Al in de jaren tachtig werden de voorlopers van de firewall, routers, gebruikt om één groot netwerk op te delen in verschillende kleinere LAN's (Local Area Network). Ze schermden al de informatie en problemen af van de rest van het netwerk. Zo hadden organisaties een afgeschermd gedeelte om testen uit te voeren. De architectuur van de eerste generatie firewalls stamt uit 1985 en werd ontworpen door de IOS software divisie van Cisco. Ze werden "packet filter" firewalls genoemd, en filterden pakketten op basis van adressen en regels die aan de pakketten gesteld waren. Het eerste artikel dat het screening proces beschreef dat door deze packet filter firewalls werd toegepast, verscheen pas in 1988, toen Jeff Mogul van Digital Equipment Corporation zijn onderzoeken publiceerde.

Rond 1989-1990 ontwikkelden Dave Presotto en Howard Trickey van AT&T Bell Laboratories de tweede generatie firewalls, gebaseerd op circuit relays, vandaar dat de naam "circuit level firewalls". Geen van de twee onderzoekers publiceerde echter een artikel waarin de architectuur werd beschreven of ontwikkelde een produkt dat op het onderzoek gebaseerd was.

De derde generatie firewalls verscheen eind jaren tachtig, begin jaren negentig, en kwam voort uit onafhankelijk onderzoek van verschillende mensen, en dan met name Gene Spafford van de Purdue Universiteit, Bill Cheswick van AT&T Bell Laboratories en Marcus Ranum. Zij ontwikkelden de applicatielaag firewall. Het werk van Ranum ontving, in de vorm van bastion hosts waarop proxy services draaiden, de meeste aandacht. Dit was uiteindelijk de basis voor het eerste commerciele firewall produkt, genaamd De "DEC SEAL" (Secure External Access Link). De "DEC SEAL" bestond uit 3 luiken. Een extern systeem "The Gatekeeper" was het enig systeem dat toegang had tot het internet. Naast de gatekeeper stond "The Gate". Dit was de filtering gateway naar het interne netwerk. Binnen het privé-netwerk stond een internet mail server als derde luik. Terwijl DEC de SEAL bouwde, besloten Bill Chesswick en Dave Presotto de firewall voor AT&T te herschrijven. De firewall van AT&T was ook afhankelijk van proxies. In tegenstelling tot het applicatie niveau waar de proxies van de DEC SEAL op werkte, werkte de AT&T proxies op het transport niveau. Een verschil dat veroorzaakt werd door de verschillende policies binnen DEC en AT&T. De DEC policy verbood uitgaande verbindingen, met als doel het uitlekken van informatie te voorkomen.

In 1991 begonnen Bill Cheswick en Steve Bellovin met een onderzoek naar dynamische packet filtering. De Morris worm had laten zien dat er ook mensen online waren die misbruik van de kleine en open internet gemeenschap maakte. Zo had Cheswick een electronische gevangenis voor een aanvaller gemaakt. In deze gevangenis kon de aanvaller niet meer bij het echte systeem komen, maar had hij of zij wel het idee succesvol te hebben ingebroken. Op deze manier kon Chesswick alle acties van de digitale inbreker bekijken en ervan leren. En ook Bellovin ontdekte steeds meer aanvallen op het AT&T netwerk. Het waren dit soort incidenten die lieten zien dat er een kwaadaardig internet op komst was en er een firewall nodig was om kwaadwillende personen op afstand te houden.


Tijdslijn firewall ontwikkeling

Op 1 oktober 1993 werd de broncode van de Trusted Information System (TIS) Firewall Toolkit op het internet vrijgegeven. Het was de basis voor hun commerciële firewall: "The Gauntlet". Nu nog wordt die code gebruikt als onderzoeksinstrument in bedrijven en de overheid als basis voor nieuwe beveiliging.

In 1994 was het Check Point Software dat als eerste een commercieel produkt op de vierde generatie architectuur van Cheswick en Bellovin presenteerde. Hun "Firewall-1" produkt was ook de eerste met een gebruiksvriendelijke interface. De vroegere firewalls werden beheerd door het aanpassen van de parameters in ASCII bestanden. Checkpoint introduceerde een grafische user interface, waardoor het beheren en installeren een stuk gemakkelijker werd. De ontwikkeling van de firewall stond niet stil, en twee jaar later was het Scott Wiegel van de Global Internet Software Group die de blauwdruk voor de vijfde generatie firewall ontwikkelde, de Kernel Proxy architectuur. In 1997 was de Cisco Centri Firewall het eerste commerciele produkt dat van deze vijfde generatie ontwikkeling gebruik maakte.

De eisen die vroeger aan firewalls gesteld werden waren, omdat het aantal services op het internet beperkt was, vrij eenvoudig. Bedrijven maakten voornamelijk gebruik van Telnet, SMTP, FTP, en Usenet nieuws. Vandaag de dag zijn er veel meer services, zoals live nieuws, muziek, audio, videoconferencing, filesharing, telefonie en ga maar door. Deze nieuwe service zijn kwetsbaar en brengen een nieuw risico's met zich mee. Risico's die door aanvallers en wormen misbruikt kunnen worden, wat laat zien dat een goede meerlaagse firewall ook in 2005 nog bittere noodzaak is.

Meer informatie over de geschiedenis van de firewall is te vinden in deze presentatie van Marcus Ranum en dit uitgebreide rapport.

Reacties (1)
16-02-2005, 22:54 door spatieman
stram verhaal.
hulde..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.