Omdat webapplicaties niet te herkennen zijn aan het ip-adres of aan de poort die ze gebruiken, moet de firewall applicatiebewust worden. Dat is de centrale boodschap van mede-oprichter en chef technologie Nir Zuk van Palo Alto Networks. In 1995 vond hij de 'stateful inspection firewall' uit. Die voldoet volgens hem al lang niet meer: 'Je kunt de traditionele firewall net zo goed vervangen door een internetkabel.'
'Toen de eerste firewalls in 1995 werden gebouwd, was het netwerkverkeer heel eenvoudig: http, smtp en andere mailprotocols', vertelt Zuk. 'Het was heel gemakkelijk te achterhalen om welke applicatie het ging.'
De huidige technisch directeur van firewall-leverancier Palo Alto Networks wijdt zijn carrière aan het intelligenter maken van de firewall. Hij was als hoofdontwerper bij concurrent Check Point begin jaren negentig verantwoordelijk voor de uitvinding van de 'stateful inspection firewall'. Die technologie betekende in die tijd een revolutie: in plaats van elk ip-pakketje op zich te bestuderen, controleert zo'n firewall of een ip-pakketje onderdeel is van een bestaande verbinding, of probeert een nieuwe verbinding te leggen.
Die technologie voldoet inmiddels niet meer, aldus Zuk. Omdat webapplicaties niet te herkennen zijn aan het ip-adres of de poort die ze gebruiken, moet de firewall applicatiebewust worden. Deze missie was voor Zuk reden om in 2005 zijn toenmalige werkgever Juniper te verlaten en Palo Alto Networks op te richten. Dat bedrijf maakt firewalls die het netwerkverkeer classificeren op basis van de inhoud ervan: ze weten van elk ip-pakket welke gebruiker het heeft verstuurd, met welke applicatie en wat de gebruiker met die applicatie aan het doen is. Daarnaast beveiligt de firewall ip-pakketten tegen malware.
WebEx, Microsoft Life Meeting en GoToMeeting
Het beveiligingsprobleem dat bedrijven met traditionele firewalls lopen, moet niet worden onderschat, aldus Zuk. '90 procent van de servers draait inmiddels niet meer binnen het datacenter, maar op de desktop', zegt hij, op basis van standaard-analyses die zijn bedrijf binnen het netwerk van nieuwe klanten uitvoert. Die 'ict-diaspora', zoals Zuk het noemt, is niet zonder risico.
Zo is samenwerkingssoftware zoals WebEx, Microsoft Life Meeting en GoToMeeting Zuk minder onschuldig dan het lijkt: 'Als je die applicaties start vanuit je browser, dan is dat voor de firewall gewoon een verbinding op poort 443, via SSL. Stel je een weinig technische gebruiker voor, bijvoorbeeld van een financiële afdeling. Hij geeft een presentatie via samenwerkingssoftware aan een bepaald publiek. Op een bepaald moment besluit hij, omdat hij niet zo technisch is, zijn desktop te delen met het publiek. Dan kan iedereen op die conferentie die desktop controleren en alles doen wat ze willen.'
Ook peer-to-peer-programma's voor bestandsdelen, die in vrijwel alle bedrijfsnetwerken opduiken, kunnen gevaarlijk zijn, waarschuwt hij: 'Gebruikers van p2p-programma's kunnen er voor kiezen om alleen een specifieke map te delen, de lokale machine, of het hele netwerk. Wanneer vervolgens iemand buiten het bedrijfsnetwerk bestanden downloadt, is dat voor een traditionele 'stateful inspection firewall' geen nieuwe verbinding. De log van een traditionele 'stateful inspection firewall' zal vertellen dat de verbinding naar buiten ging, terwijl hij van buiten afkomstig is. Je kunt zo'n firewall dus net zo goed vervangen door een internetkabel.'
TomTom
Eén van de klanten van Palo Alto Networks is TomTom. De ontwikkelaar van navigatiesystemen heeft door over te stappen op deze leverancier 40 procent kunnen besparen op de onderhoudskosten, zo vertelt hoofd ict strategie- en architectuur Carlo Verdoliva. Dat komt onder meer omdat het bedrijf volgens Verdoliva andere beveiligingsapparatuur uit het netwerk heeft kunnen verwijderen, omdat de Palo Alto Networks firewalls ook malwarebescherming bieden. Daarnaast heeft Verdoliva sindsdien beter zicht op het netwerkverkeer: 'De vroegere firewalls controleerden het netwerkverkeer op protocol- en poortniveau, maar dat werkt niet bij veel nieuwe applicaties. Veel daarvan gaan over poort 80, maar dan zie je niet welke applicatie het is, want dat zijn er honderden. Het kan zijn dat je sommige wel wil toelaten en andere niet. Daarom moet je kunnen filteren op applicatieniveau.'
Ook is hij blij met de mogelijkheid bepaalde applicatie-acties te blokkeren, zoals het versturen van bestanden met FaceBook. 'Dat kun je via de firewall inregelen. Dat is bij ons nog geen beleid, maar mocht daar reden voor zijn, dan kan het. Als je nieuwe producten ontwikkeld, wil je niet dat die verspreid raken.'
Global Protect
Palo Alto Networks zoekt momenteel naar nieuwe methoden om clients te beveiligen. 'We doen veel onderzoek naar meer manieren om te voorkomen dat machines van buitenaf worden geïnfecteerd, maar als iemand malware op jouw machine wil installeren, dan lukt ze dat. Dat is moeilijk te voorkomen. We werken daarom aan heel unieke manieren om te voorkomen dat malware die zich al binnen het netwerk genesteld heeft, gaat communiceren met de buitenwereld.'
Deze nieuwe functionaliteit bevindt zich nog niet in de komende release. 'Maar er komt een verschuiving op de markt naar het voorkomen van het weglekken van informatie, in plaats van het voorkomen van infectie', zo voorspelt Zuk.
Een nieuwe functionaliteit die al wel in de eerstvolgende versie van het besturingssysteem van de Palo Alto Networks firewalls opduikt, is een nieuwe manier om mobiele werkkrachten te beveiligen: Global protect. 'Die bestaat uit een client-applicatie, die alle internetverkeer naar de dichtstbijzijnde Palo Alto firewall stuurt. Dit product richt zich op onze grote klanten, die overal ter wereld apparaten van ons hebben staan. Maar je kunt ook naar een service provider partner stappen. Dus als je geen kantoor in Japan hebt, maar wel veel gebruikers die naar Japan reizen, dan kun je een virtuele firewall huren en beheren in de cloud in Japan.'
Nir Zuk
Voordat Nir Zuk samen met Rajiv Batra en Yuming Mao het bedrijf Palo Alto Networks oprichtte, was hij chef technologie bij NetScreen Technologies. Dat werd in 2004 overgenomen door Juniper Networks. Daarvoor was Zuk mede-oprichter en chef technologie bij OneSecure. Ook was hij hoofdontwerper bij Check Point Software Technologies. Daar was hij één van de ontwikkelaars van de ‘stateful inspection technology'. Dat is een technologie waardoor een firewall weet of een ip-pakketje onderdeel is van bestaande verbinding, of probeert een nieuwe verbinding te leggen.
Ik betwijfel of Nir Zuk zich de uitvinder mag noemen van van stateful inspection. In elk geval gebruikte ik de techniek al in een firewall die ik in oktober/november 1993 schreef voor mijn toenmalige werkgever. En voor zover ik mij herinner had ik de techniek weer uit een andere tool overgenomen.
Juist om extra aandacht te vragen voor de nieuwste firewallmogelijkheden die Palo Alto Networks biedt, zijn Palo Alto Networks en SecureLink op zoek naar de oudste firewall van Nederland om deze gratis om te ruilen voor een firewall (PA-2020) van Palo Alto Networks. Meer informatie hierover staat op http://www.deoudstefirewall.nl
@ Marina van Secure link:
kan je niet gewoon advertentie ruimte kopen of heb je daar geen budget voor??
Wat een kortzichtige gedachten kronkel weer.
Om een firewall applicatie bewust te maken moet deze op de client draaien, valt daarmee onder controlle van de gebruiker en is daarmee volkomen zinloos, getuige programma’s als zone-alarm.
Wat je prive doet is je eigen zaak en in een bedrijfsomgeving lijkt het me duidelijk genoeg om het personeel aan te geven dat Hyves en vliegreizen.nl niet behoren tot de dagelijkse werkzaamheden.
Welicht moeten we gewoon eens af van al die internet onzin op kantoor.
Jazeker als ICTer surf ik ook heel wat af. dat is werk gerelateerd. youtube filmpjes kijk ik wel in mijn eigen tijd.
Gelukkig moeten de meeste security specialisten erg lachen om het vermakelijke geschreeuw van meneer Zuk.
Ik geef ze nog 6 maanden. Daarna moet het iedereen toch duidelijk zijn.
De firewall heeft sowieso zijn beste tijd gehad. Hooguit zal deze nog worden gebruikt in een gelaagde beveiliging structuur als extra laagje maar zeker niet meer als belangrijkste control. Beveiliging schuift steeds meer op naar de eindpunten waar role based autorisatie en access control op data niveau en bijkomende encryptie technieken een grotere rol gaan spelen. Data is in meeste gevallen datgene wat je wil beschermen tegen lezen, schrijven, kopiëren en printen. Overigens bestaat de applicatie firewall al, en die heet proxy en is lastig te schalen vanwege de benodigde rekenkracht en wellicht nog lastiger te managen en up to date te houden in een omgeving met veel verschillende applicaties.