Omdat er nu eenmaal hackers zijn, moet iedereen die zijn lokale systemen op het Internet aansluit een firewall installeren. Zonder deze bescherming is de organisatie kwetsbaar voor aanvallen, omdat de router ervoor zorgt dat het lokale netwerk deel uitmaakt van het Internet.
Er zijn verschillende manieren om een firewall te implementeren, en er zijn verschillende niveaus van dienstverlening beschikbaar, waardoor de installatie redelijk complex is. Toch moet het gebeuren. Betrouwbare cijfers zijn niet beschikbaar, maar volgens een Amerikaans onderzoeksproject van Carnegie Mellon University waren er in 1994 zo’n 2200 inbraken. De cijfers van vandaag zouden angstaanjagend kunnen zijn als organisaties geen firewalls hadden geïnstalleerd, waardoor inbreken moeilijker wordt en het aantal inbraken gedaald zou moeten zijn.
Beveiligingssystemen, zoals firewalls, zijn om drie redenen vervelend: ze kosten geld; ze kosten de netwerkbeheerder tijd, en ze leggen beperkingen op die de gebruikers niet leuk vinden. De beste producten minimaliseren deze problemen, maar zullen ze nooit elimineren. Een eenvoudige installatie is in elk geval een bonus.
Een Internet-verbinding brengt een aantal risico’s met zich mee:
De mail-service, die is gebaseerd op Smtp, kent geen manier om de afzender van de e-mail te verifiëren, zodat hackers het mailsysteem met ‘junk mail’ kunnen overspoelen. Veel mailprogramma’s op het Internet geven informatie prijs, zoals IP-adressen, waardoor hackers langs sommige firewalls kunnen komen (a).
TCP/IP-pakketten bevatten een volledig IP-adres in de header. Hackers installeren ‘sniffers’ op het netwerk om IP-adressen te achterhalen (b).
De directory-service, DNS, vertaalt Internet-namen naar IP-adressen; het is een voor de hand liggende plaats voor hackers om naar de IP-adressen van vertrouwde systemen te zoeken (c).
WWW-pagina’s bevatten specifieke referenties naar andere pagina’s, die zich op andere web-sites zouden kunnen bevinden. Zo zouden ze informatie over de achterdeur van uw omgeving kunnen bevatten (d).
Bestandsoverdracht wordt mogelijk gemaakt door FTP. De anonieme versie zou verboden moeten worden, maar ook de gewone versie kan problemen geven, omdat een FTP-sessie open kan blijven staan nadat de transfer voltooid is (e).
Telnet is de standaard terminal-emulator, die wordt gebruikt om Unix en andere besturingssystemen te benaderen. Die toegang moet goed beveiligd zijn (f).
De eerste generatie firewalls (‘packet filters’) werkt op het lage niveau van de IP-pakketjes. De firewall kijkt naar het IP-adres en het type van het pakketje en vergelijkt deze met een lijst van toegestane adressen en services. Als iets niet in de lijst voorkomt, wordt het geblokkeerd. Dit geldt zowel voor ‘inbound packets’, pakketjes die binnenkomen van vertrouwde sites, als voor ‘outbound packets’, pakketjes die worden verstuurd naar vertrouwde sites.
De kwetsbare kant van deze simpele producten vormen de hoge kosten die zijn gemoeid met het onderhoud van de adrestabellen en complexe toegangsregels. Daarnaast hanteren hackers een techniek die bekend staat onder de naam ‘spoofing’; hierbij gebruiken ze een gestolen IP-adres van een legitieme server om hun eigen virus te importeren. Firewalls van dit type, die zijn ingebouwd in de router, beschikken meestal niet over goede logging- en alarmfuncties.
De tweede generatie firewalls (applicatie- en ‘circuit-gateways’) oefenen hun controle uit boven het niveau van de primitieve IP communicatielaag. Deze systemen zijn applicatiegevoelig. Circuit-gateways maken gebruik van specifieke uitbreidingen van applicaties (ze zijn gelinkt aan Socks-code) zodat ze zeer veilig zijn. Circuit-gateways kunnen echter niet met alle applicaties worden gebruikt; slechts sommige applicaties zijn erop voorbereid. Veel algemener is de ‘proxy-server’, die zich tussen de firewall en de applicatie bevindt. De proxy-server voert de functies van de echte applicatie uit en herhaalt ze op het echte systeem, als dat tenminste toegestaan is.
Buitenstaanders komen niet verder dan de proxy en kunnen het echte systeem nooit bereiken. Het probleem met proxy-servers is dat de applicatie geïmplementeerd moet worden, zodat hij meestal alleen wordt gebruikt voor interne web-servers en e-mail. De proxy-server moet behoorlijk wat rekenwerk verrichten. Het is moeilijk om een proxy-server en een firewall/gateway in één kast te implementeren, omdat de proxy een volledig systeem moet zijn. Meestal is de basis-firewall een router en wordt er voor de proxy een afzonderlijk systeem gebruikt, maar er zijn veel variaties op dit thema.
De laatste techniek heet Stateful Multi-layer Inspection (Smli). Dit lijkt op een proxy, met als grootste verschil dat elk pakketje niet in zijn totaliteit wordt verwerkt, maar wordt vergeleken met bekende ‘vriendelijke’ pakketjes. Dit vermindert de overhead en verbetert de prestatie en de transparantie voor de applicatie. Daarnaast is het onzichtbaar voor de gebruiker en legt het de verantwoordelijkheid voor de beveiliging waar hij thuishoort: in handen van de netwerkbeheerder.
