Een thema week over firewalls is niet compleet zonder input van de experts die elke dag met de materie bezig zijn. Wij interviewden Maarten Vink, consultant van Interstroom, Tom Welling CISSP, Technical Account Manager van Symantec en Leo Willems, Chief Security Officer van Tunix. De stellingen die we deze experts voorlegden kunt u morgen lezen.
Firewalls zijn één pot nat, wat onderscheidt uw produkt van de concurrentie?
Maarten Vink - Interstroom: De GNAT Box firewalls onderscheiden zich onder andere op de volgende punten:
- Betrouwaarheid; de GNAT Box reeks heeft zich al jarenlang bewezen als een zeer betrouwbare firewall-oplossing. Naast het feit dat de soft- en hardware zeer stabiel zijn kunnen alle configuratiewijzigingen behalve software-upgrades worden doorgevoerd zonder dat een reboot van de firewall noodzakelijk is.
- Een goede prijs/kwaliteit verhouding; de firewalls hebben een uitgebreide set aan functionaliteiten waaronder standaard een VPN-licentie voor het opbouwen van site-to-site VPN's. Voor alle optionele features zoals virus- en spamcontrole, content filtering en mobiele VPN-clients is de noodzakelijke ondersteuning al in de software ingebouwd; hiervoor kan op ieder gewenst moment een licentie worden aangeschaft.
- Aandacht voor details; op meerdere punten is te zien dat aan belangrijke details gedacht wordt. Zo is het mogelijk om filters aan te maken die toegang tot het bedrijfsnetwerk over een eventuele VPN-verbinding te beperken, en kunnen er niet alleen filters voor zowel inkomend als uitgaand verkeer worden aangemaakt, maar kunnen hier ook bandbreedte-limieten aan worden opgelegd.
Verder kan bij alle onderdelen van de configuratie gebruik worden gemaakt van objecten; als bijvoorbeeld eenmaal in een object gedefinieerd is wat de IP-adressen van de mailservers zijn, kan hiernaar bij alle daarop betrekking hebbende firewall-regels worden verwezen. Naast een overzichtelijker overzicht van de aangemaakte regels betekent dit dat bij een aanpassing van de adressen alleen het object gewijzigd hoeft te worden, en niet de verschillende firewall-regels die hiernaar verwijzen.
Tom Welling - Symantec: De laatste jaren zag men een sterke groei richting full-inspection, ook wel bekend als application layer of proxy-based firewalling. Dit als antwoord op het feit dat steeds meer aanvallen niet meer alleen op de netwerklaag maar ook op de applicatielaag plaatsvonden. Voor de onderscheidende factor van de Symantec gateway firewalls moeten we even terug in de historie de firewall duiken. Begin jaren ‘90 pionierde naast o.a. Checkpoint en Trusted Information Systems ook Raptor Systems met de Raptor Firewall.
In die tijd had Raptor Systems als buitenbeentje al gekozen voor een application layer firewall architectuur. Sindsdien is er verder voortgeborduurd op deze architectuur en bezit Symantec door de overname van Axent (die eerder Raptor had overgenomen) over een zeer volwassen full-inspection firewall. Ook het feit dat Symantec reeds veel ervaring had o.a. zaken zoals Antivirus (wie kent Norton niet?), Content Filtering, Intrusion Detection en andere gateway functionaliteiten was het een redelijk eenvoudige stap om als eerste in de markt ook deze functies te integreren in een gateway oplossing. Deze al dan niet bewuste keuze meer dan 10 jaar geleden voor een full-inspection architectuur lijkt op deze manier bijna profetisch, volwassenheid van een security oplossing is een zeer belangrijke factor.
Overige security vendors in de markt hebben inmiddels ook al enige tijd geleden de weg van de full-inspection firewall ingeslagen en proberen middels diverse overnames of samenwerking de architectuur van hun oplossingen verder te verbeteren.
Leo Willems - Tunix: Wij leveren Managed Firewall Services, dus niet alleen een doosje met "Firewall" erop. Managed Firewall Services worden in de markt op drie manieren aangeboden:
1. Als connectivity-service: de betrokken firewall wordt alleen bewaakt op bereikbaarheid en gebruikers-functionaliteit.
2. Als security-service: naast de bij het vorige punt genoemde dienst worden tevens incidenten opgemerkt en opgevolgd.
3. Als applicatie-service: bijvoorbeeld als secure mail- of webserver.
Er zijn veel aanbieders op de markt die alleen de connectivity-service variant leveren. TUNIX levert - als een van de weinige - de combinatie van deze drie.
Wat kunnen we het komende jaar op firewall gebied verwachten?
Tom Welling - Symantec: De consolidatieslag op de firewall-markt lijkt redelijk op zijn eind te komen dus daar hoeft men niet veel meer van te verwachten. Vanuit de techniek denk ik dat het toverwoord nog steeds integratie van gateway functionaliteiten zal zijn, denk daarbij bijvoorbeeld aan clientless VPN. Kortom, nog meer integratie van verschillende functionaliteiten, ondersteuning van nieuwe (netwerk)protocollen en verdere verdieping (lees: verbetering) van de bestaande functionaliteiten.
Leo Willems - Tunix: Functionaliteit
De volgende gebieden krijgen veel aandacht, in elk geval bij TUNIX:
1. Webserver bescherming. Firewall technologie zal ingezet worden om web-servers te beschermen in consumer to business (script georienteerd) en business to business (meer XML georienteerd) toepassingen.
2. Firewall's zullen meer en meer samen gaan werken met de desktop: veel protocollen werken van "end-to-end" versleuteld. De firewall kan dat soort verkeer alleen maar blokkeren of doorlaten maar niet aan inspectie onderwerpen. Alleen in samenwerking met de desktop kan een veilig netwerk ontstaan.
De anti-virus fabrikanten (massaal aanwezig op de desktop) hebben al jaren lang een enorme kans laten schieten hun positie hier te verbeteren en te verstevigen door aansluiting te zoeken met firewall technologie. Microsoft's aankondiging om anti-virus en anti-spam software te gaan leveren zal ze hopelijk dwingen in beweging te komen.
3. Network Intrusion Detection Systemen: twee jaar geleden was dit de grote hype. In potentie is NIDS een goede technologie maar door het grote aantal false positives haken beheerders af en geven geen opvolging meer aan incidenten. Er lijken twee oplossingen te ontstaan: Managed NIDS oplossingen en signature-based NIDS oplossingen.
4. Beveiligingsbewustzijn: medewerkers van hoog tot laag hebben te weinig besef van hun aandeel in de beveiligingsproblematiek. Maar het is te gemakkelijk om te stellen dat de mens de zwakste schakel is: juist de mens is een goede aanvulling op technische maatregelen. Mensen zijn flexibel en kunnen tussen de regels door lezen. Die (meestal latent aanwezige) eigenschappen kunnen uitgenut worden. Naast de technische produktenvoor beveiliging geeft TUNIX daarom ook "Security Awareness" trainingen want met een firewall alleen ben je er niet.
Probleemgebieden:
De hierna genoemde technieken zullen komende tijd probleemgebieden zijn bij informatie-beveiliging. Vaak kan een security-expert wel een oplossing bedenken maar deze problemen zijn (nog) niet oplosbaar met commodity produkten.
- VOIP: voorlopig wordt VOIP door firewalls doorgelaten zonder security-screening. Er is wel veel bekend over de diverse VOIP protocollen maar er is weinig ervaring met het beveiligd uitrollen van een VOIP netwerk dat is gemixed met een bestaande IP-infrastructuur. Firewall produkten staan hier nog in de kinderschoenen.
- Covert channels: deze worden meer en meer gebruikt om via HTTP (80/443) firewalls te omzeilen. P2P (Kazaa), Phone (Skype) en VPN (GotoMyPC) gebruiken encryptie en conversie naar HTTP om tunnels mogelijk te maken. Zonder hulp van binnenuit is dit niet mogelijk maar een virus of worm is ook "hulp". Zonder actief firewall beheer worden covert channels vrijwel nooit ontdekt.
- Wireless en handheld device beveiliging: de beveiliging van WIFI wordt steeds beter maar mobiele telefoons en PDA's zijn gevoelig voor van alles: van Bluetooth aanvallen (over honderden meters) tot het oplopen van virus-infecties via synchronisatie. Het probleem is al herkenbaar in de naam: *Personal* Digital Agenda: telefoons en PDA's worden in hoge mate ingericht naar de wensen van de eigenaar. Functionaliteit staat voorop: een toestel 7 dagen missen wegens een firmware upgrade is meestal onacceptabel. Virus scanning is al deel van sommige apparaten maar de firewall technologie missen ze nog.
Maarten Vink - Interstroom: We verwachten voor het komende jaar dat de nadruk op de volgende gebieden komt te liggen:
- VPN: Steeds meer bedrijven gaan over op het gebruik van Voice over IP, en willen hier een extra laag beveiliging op aanbrengen door dit verkeer over een VPN-tunnel te laten lopen. Ook voor het bieden van toegang tot het bedrijfnetwerk voor thuiswerkplekken en vertegenwoordigers wordt dit een steeds belangrijkere techniek.
- Beveiliging op applicatieniveau: naast de basistaak van het filteren van netwerkverkeer zal er meer aandacht komen voor de inhoud hiervan. Voorbeelden zijn het inspecteren van e-mail op de aanwezigheid van spam en virussen, en het controleren van HTTP-verkeer op ongewenste inhoud als kwaadaardige javascripts, ActiveX controls, et cetera.
- Intrusion Detection en andere rapportages: naast het tegenhouden van ongewenst verkeer willen bedrijven steeds meer informatie over wat er tegehgehouden is, en wat de oorzaak van het ongewenste verkeer is. Is er een concurrent op zoek naar gevoelige informatie? Zijn er PC's besmet met virussen of spyware? Wordt de bedrijfspolicy met betrekking tot het
bezoek van website wel gevolgd?
Waar moeten kleine tot middelgrote bedrijven op letten bij de aanschaf van een firewall?
Leo Willems - Tunix: Niet alleen grote bedrijven maar ook kleine en middelgrote bedrijven kunnen rijk zijn of heel erg bekend zijn en een hoog riscio lopen. Nu kunnen niet zo heel veel bedrijven hun waarde correct bepalen en ook niet hoe groot het risico is dat ze lopen. Pas na een risico analyse (en vastlegging) kun je beoordelen welke maatregelen je moet nemen. Voor de firewall geldt dan:
- Er bestaan geen "slechte" firewall's (meer). Elke firewall houdt de script-kiddies buiten.
- Als je meer nodig hebt dan dat, dan zul je moeten investeren in bewaking en opvolging.
Maarten Vink - Interstroom:
- Certificering en standaarden: Voldoet de firewall aan alle relevante standaarden, zoals de ICSA-certificering voor de firewall-functie en de IPSec standaard voor het opzetten van VPN-verbindingen?
- Wat voor support wordt er geboden na de levering van de firewall? Met name bij kleinere bedrijven is weinig kennis voorhanden over netwerkbeveiliging; als deze wel aanwezig is ligt deze kennis vaak bij een persoon. Als deze door ziekte of ontslag langere tijd niet beschikbaar is is het belangrijk dat op de leverancier teruggevallen kan worden voor ondersteuning en eventueel training van een nieuwe medewerker.
- Welke groeimogelijkheden zijn aanwezig? Als uw bedrijf meer medewerkers krijgt, is de firewall dan uit te breiden of is er een doorgroeimogelijkheid? En kunnen eventuele licenties voor antivirus, anti-spam, content filtering etc. worden aangeschaft of uitgebreid op het moment dat dit nodig is?
- Wat is de levensduur van de firewall, zowel qua hardware als wat betreft de ondersteuning van de fabrikant met betrekking tot software-updates?
Houd er rekening mee dat een firewall, net als anti-virus software en het regelmatig maken van backups slechts een onderdeel vormt van een complete beveiligingsoplossing. U dient vooraf in kaart te brengen wat u wilt beveiligen en waarom u dit wilt.
Beveiliging is ook mensenwerk; zorg er daarom voor dat u een bedrijfspolicy ten aanzien van beveiliging opstelt en dat de medewerkers binnen uw bedrijf hiervan op de hoogte zijn en deze ook volgen.
Tom Welling - Symantec: De mate van integratie van verschillende functies (firewall, antivirus etc) om zo de kosten te drukken en het management te verlichten zullen een rol spelen. Een lage complexiteit van het management van de oplossing zelf zal wat mij betreft uiteindelijk een doorslag moeten geven bij de keuze van een firewall. Een goed gemanagede firewall is een veiliger firewall!
Wat zou u tegen bedrijven willen zeggen die geen firewall gebruiken?
Tom Welling - Symantec: Oei! Zijn die er nog dan? Stop er dan in ieder geval een klein beetje tijd in en zorg ervoor dat de interne systemen niet vanaf buiten beschikbaar zijn. En zorg dat je internet router in ieder geval niet klakkeloos zomaar alles ook vanuit het interne netwerk naar buiten toe doorlaat. Je moet eens weten hoeveel, vaak onbedoelde, informatie vanuit dergelijke netwerken naar buiten lekken door vaak verkeerd geconfigureerde interne systemen. Kleine moeite en een groot plezier.
Maarten Vink - Interstroom: Zorg dat systemen waarvandaan communicatie naar buiten het bedrijf mogelijk is, fysiek gescheiden blijven van de rest van het netwerk, en dat hier geen enkele gevoelige informatie op staat.
Als het wel nodig is deze machines op de rest van uw netwerk aan te sluiten, zorg dan voor een goede firewall voordat u deze aansluit.
Leo Willems - Tunix: Bedrijven die een grote waarde vertegenwoordigen hebben meestal hun zaken wel op orde (al dan niet "geholpen" door de wet, zoals b.v. de SOX-act in de USA). Maar veel (kleine) bedrijven hebben weinig tijd en kennis om te besteden aan informatie-beveiliging en hopen er maar het beste van. Toch zullen ook die bedrijven iets moeten doen onder het motto: doe je het niet voor jezelf, doe het dan voor een ander. Want gehackte computers worden misbruikt voor de uitbreiding van criminele activiteiten en dat moet voorkomen worden. Het is goed om te stellen dat de software-leveranciers hun produkten veiliger moeten maken maar zolang de techniek zo makkelijk misbruikt kan worden, dient een bedrijf zelf ook verantwoordelijkheid te nemen door bijvoorbeeld een firewall te installeren.
Wat is beter, een hardware matige of software matige firewall oplossing?
Maarten Vink - Interstroom: Het voordeel van een hardwarematige firewall is dat deze over het algemeen gebruik maakt van een eigen, extra beveiligd operating system. Dit zorgt er voor dat het voor een hacker vele malen moeilijker of zelfs onmogelijk is om in het onderliggende operating system binnen te komen en zo alle firewall-regels uit te schakelen.
Softwarematige firewalls worden meestal geinstalleerd op een computer waar ook mensen op aan het werk zijn; dit houdt in dat er een programma binnengehaald kan worden dat de firewall uitzet. Hierna kan een hacker niet alleen makkelijker binnenkomen, maar is het versturen van gevoelige informatie ook veel eenvoudiger.
Bij gebruik van een hardwarematige firewall in combinatie met filtering van uitgaand verkeer zal dit veel moeilijker zijn; ook als een gebruiker kwaadaardige software binnenhaalt en uitvoert zullen nog geen gegevens naar buiten het bedrijf verstuurd kunnen worden en zal in de logfiles van de firewall te zien zijn dat hiertoe een poging is gedaan.
Leo Willems - Tunix: Een software matige firewall is meestal geinstalleerd op een standaard UNIX/Linux of Windows platform. Beide zijn "general purpose" platformen. Het nadeel daarvan is dat ze veel te veel functionaliteit hebben die aangevallen kan worden en het standaard beveiligingsnivo van zowel UNIX/Linux als Windows is niet best, om maar niet te spreken van de meegeleverde bugs. Een firewall zal daarom moeten werken op een systeem dat is getuned voor een beveilingstoepassing. Daarmee kom je in feite op de "security appliance": een apparaat dat is geoptimaliseerd voor een beperkt aantal functies op een beveiligd platform. Dat wil niet zeggen dat een appliance een black box is: ook een appliance moet kunnen worden onderworpen aan een audit.
Tom Welling - Symantec: Tja, over deze definitie kan je lang of praten. Wat is dan hardwarematig? Een router, een appliance? Uiteindelijk is alles software, of dit nou in RAM, ROM, ASICS of wat dan ook geïmplementeerd is. Om een lang verhaal kort te houden, een appliance is vaak geoptimaliseerd qua performance van de hardware en security van het OS. Bij een standaard serversysteem met een 'dik' besturingssysteem moet men zich ook nog druk maken om de beveiliging en patches van het OS terwijl dit bij de appliance overgelaten kan worden aan de vendor.
Hebben kleine bedrijven voldoende aan een personal firewall?
Leo Willems - Tunix: Het kan, maar niet "alleen maar". De praktijk zal zijn dat zo'n firewall niet beheerd wordt en - zoals bij personal firewall's - aangevallen wordt en uitgezet. De volgende combinatie is nodig:
- Een personal firewall die ook uitgaande data in de gaten houdt.
- Een anti-virus programma.
- Een wakkere gebruiker die patches installeert en niet alles download wat toevallig voorbij komt.
Tom Welling - Symantec: Nee, geen enkel bedrijf, groot of klein! Zonder een management architectuur voor de personal firewalls blijft het voorlopig toch nog makkelijker om op een centraal punt, in dit geval de gateway, de beveiliging af te dwingen. De gateway en personal firewall zijn complementair aan elkaar.
Maarten Vink - Interstroom: Zie ook het antwoord op de voorgaande vraag; een personal firewall kan aanvallen van buitenaf wel tegenhouden, maar is ook afhankelijk van de veiligheid van het operating system waarop deze draait. Verder is er nauwelijks bescherming tegen aanvallen van binnenuit; als eenmaal een ingang is gevonden kan de firewall worden uitgeschakeld en hebben hackers en virussen vrij spel.
Deze posting is gelocked. Reageren is niet meer mogelijk.