Fabrikanten breiden inspectiemogelijkheden firewalls fors uit

30 oktober 2003 - 23:004 minuten leestijdAchtergrondCloud & Infrastructuur
Sytse van der Schaaf
Sytse van der Schaaf

Firewalls ondergaan op dit moment een ingrijpende gedaantewisseling. De vaak afgebeelde stenen muur, die ongewenst netwerkverkeer blokkeert, krijgt steeds meer de gedaante van een vergrootglas dat ook applicatie-informatie inspecteert.

Ict-beveiliging als dienst
Het bedienen van firewalls en andere systemen voor ict-beveiliging zal de komende jaren meer en meer in handen gegeven worden van gespecialiseerde bedrijven. Een belangrijke reden daarvoor is dat ondernemingen moeite zullen hebben met het vinden en behouden van personeel dat de wapenwedloop in de ict-beveiliging kan bijhouden. Dit geeft de komende jaren firma’s die zich toeleggen op het uitvoeren van ict-beveiliging voor andere bedrijven de wind flink in de zeilen. Dit verwacht onderzoeksbureau Forrester. In het rapport ‘Europe’s managed it security market takes off’ schetst het onderzoeksbureau de verwachte groei van uitbesteding van ict-beveiliging.
Steeds meer aanvallen op bedrijfsnetwerken zijn succesvol, omdat hackers bekende zwakheden in server- en applicatiesystemen uitbuiten. De huidige generatie firewalls heeft hier geen antwoord op. Zij zijn te omzeilen door netwerkaanvallen te verstoppen in bijvoorbeeld legitiem http-verkeer waarmee een browser informatie ophaalt bij een webserver. Dit gat ontstaat doordat firewalls applicatieverzoeken niet op hun inhoud beoordelen. Zowel de software als de hardware van de huidige firewallsystemen is daar niet voldoende voor toegerust.
Firewalls controleren nu het netwerkverkeer alleen op laag drie en vier. In deze netwerklagen geeft de ‘header’ van tcp/ip-pakketten onder andere informatie over broncomputer, doelsysteem en de gebruikte netwerkpoort. Op basis van aangemaakte regels in het systeem laat de firewall dit verkeer door of houdt hij het juist tegen. Hij kijkt niet naar de inhoud van het verzoek om deze beslissing te nemen. Een http-verzoek dat een afwijkend commando bevat, houdt hij niet tegen. Een hacker kan zo bijvoorbeeld zonder belemmering belangrijke informatie over een webserver opvragen.
 

  
Forrester verwacht dat organisaties vooral het beheer van firewalls uitbesteden. In 2008 verdienen ict-beveiligers in Europa 1,7 miljard euro aan deze activiteit. Het bedienen van detectiesystemen voor netwerkaanvallen zit daar dan met een omzet van 1,5 miljard euro net onder. Het verschil tussen detectiesystemen en firewalls is dit jaar nog een stuk groter. Aan beheerde firewalls wordt 546 miljoen euro verdiend, aan detectiesystemen 220 miljoen. Ook Nederlandse bedrijven pikken het beheer van firewalls voor anderen op. KPN start binnenkort met een beheerde Checkpoint-firewall voor bedrijven. E92plus verzorgt voor wederverkopers de bediening van firewalls, zodat deze de beheerde filterapparatuur als dienst in abonnementsvorm aan organisaties kunnen doorverkopen.
   Forrester verwacht dat de grootste vraag naar het inkopen van ict-beveiliging niet bij multinationals ligt maar bij het mkb. In 2008 zorgt dit soort bedrijven voor 66 procent van de 4,6 miljard euro die met deze activiteiten gemoeid is. De huidige afname van in huis beheerde firewalls, die voor dit jaar al op 5 procent ligt, wijst volgens Forrester op het belangrijke aandeel die dit soort bedrijven zullen hebben bij de inkoop van ict-beveiliging. Het onderzoeksbureau verwacht een groei van de gemiddelde contractwaarde van drieduizend euro nu naar vijfduizend euro over vijf jaar. Kleinere ondernemingen met minder dan tien werknemers houden het firewall-beheer ook in de toekomst in huis. Zij zullen vooral certificaatdiensten bij andere gespecialiseerde bedrijven afnemen.

Intelligenter

De grootste firewallfabrikanten Checkpoint en Cisco hebben in hun nieuwste systemen voorzieningen ingebouwd om informatie uit applicaties op integriteit te controleren. Checkpoint kondigde afgelopen voorjaar zijn Smartdefense-systeem aan dat web- en mailservers achter de firewall meer bescherming moet bieden. Het voorziet de firewallsystemen van actuele informatie over nieuwe aanvalspatronen, zodat deze ook in applicatieverzoeken gehulde afwijkingen in het netwerkverkeer kunnen blokkeren. Ook Cisco heeft zijn firewall sinds de acquisitie van Okena in januari dit jaar uitgebreid met een Cisco Security Agent, die applicatieverzoeken voor servers op protocolniveau op afwijkingen controleert.
Het jonge Netscreen meldt zijn firewall klaar te hebben voor inhoudelijke controle van http-, smtp-, imap-, pop-, ftp- en dns-verkeer. Het heeft deze functie toegevoegd aan zijn apparatuur door de indringerdetectiesoftware, die in het in handen kreeg door de overname van Onesecure, in zijn firewallsysteem te integreren. De Netscreen-firewall kan nu netwerkverkeer herkennen en blokkeren op basis van afwijkingen in applicatieprotocollen.

Extra rekentijd

Om dergelijke functionaliteit ook in bedrijfsomgevingen goed uit de verf te laten komen is een hardwarematige aanpassing van de firewall vereist. De extra inspectiemogelijkheden zorgen ervoor dat de firewall het netwerkverkeer behoorlijk ophoudt. Het apparaat heeft veel meer rekentijd nodig omdat het niet alleen tcp/ip-informatie controleert maar ook applicatieprotocollen analyseert op afwijkingen. Netscreen schat dat zijn huidige generatie apparatuur een factor vier trager gaat werken als het applicatieprotocollen moet controleren. Het bedrijf zegt nieuwe chipsets te ontwikkelen om deze vertraging in de nieuwe generatie apparatuur te ondervangen.< BR>

Meer lezen

Geef een reactie

Footer