Helaas zijn er nog steeds ondernemingen en organisaties die denken dat hun eerste generatie firewall nog een goede bescherming biedt tegen aanvallen van buitenaf. Wat ze niet weten is dat hackers steeds vaker gebruik maken van de openstaande netwerkpoorten om de inhoud van data packets te inspecteren. Op basis van deze informatie zijn hackers in staat om kritische informatie te verzamelen om gerichte aanvallen uit te voeren.
Over deze blogger
Jort Kollerie is sinds 2000 werkzaam bij Dell en heeft diverse sales-functies gehad binnen het segment van local & central government. In 2009 heeft hij zich gespecialiseerd binnen het Public Security & Defence team op onder andere Digital Forensics en biometric/rugged solutions. Vanaf 2012 is Jort als Enterprise Security Specialist verantwoordelijk voor het security portfolio binnen Dell Benelux. Met als uitgangspunt het optimaliseren, vereenvoudigen en verhogen van security, adviseert hij relaties op het gebied van Network Security, Identity & Access Management en Data Protection & Encryption.
In een eerdere blog gaf ik aan dat een bedreiging kan worden veroorzaakt door kwaadaardige email, de zogenaamde spam en phishing. De traditionele ‘state full packet inspection’ van alleen packet headers, is een verouderde inspectiemethode die gebaseerd is op port filtering. Het biedt slechts een beperkte bescherming omdat het merendeel van het Internetverkeer nu via een web browser gaat op basis van slechts één standaard protocol (http of https). Internet services, van mail en streaming video tot social networking, gaan allemaal via dezelfde (altijd openstaande) poort 80 en/of 443.
De huidige en steeds vaker kritische zakelijke applicaties worden via de open poorten verstuurd, die voorheen gereserveerd waren voor een enkele functie (zoals http). De legacy firewall-technologie is in feite ‘blind’ geworden en niet in staat om een onderscheid te maken tussen het gewone http-verkeer en de nieuwe niet-http-services, zoals VoIP, Skype, Torrents, of Instant Messaging (IM). Het is dan niet verstandig om langer te blijven vertrouwen op de port en protocol- combinaties bij het bepalen welke netwerkapplicaties toegang hebben en welke niet. Tijd dus voor een firewall die in staat is om de inhoud van alle data packets te inspecteren om vast te stellen welke applicaties over welke poorten mogen gaan. Op basis daarvan zijn beslissingen te definiëren over welke applicaties wel of niet toegang hebben. Een dergelijke functionaliteit wordt geboden door de nieuwe generatie firewalls: de Next Generation Firewall (NGFW).
De Next Generation Firewall
De nieuwe generatie firewall is met oog op de performance die geleverd moet worden gebasseerd op een hardware-apparaat dat in staat is om gesofisticeerde aanvallen te detecteren en blokkeren. Het maakt gebruik van security policies op zowel applicatie als op port en protocol-niveau. Het voegt een extra functie toe aan het beslissingsproces doordat het de details van het web-applicatieverkeer ‘begrijpt’. Aan de hand daarvan kan het actie ondernemen, bijvoorbeeld de blokkering van het betreffende netwerkverkeer of het genereren van een waarschuwing. De nieuwe firewall-technologie omvat (naast de traditionele firewall-technieken): Intrusion Prevention System (IPS), Content Filtering System (CFS), Anti-Malware Prevention, DPI-SSL en Application Intelligence & Control (AIC). Deep Packet Inspection (DPI) is een geavanceerde methode van packet filtering die op de applicatielaag van het OSI-model functioneert. Met behulp daarvan zijn packets te vinden, te identificeren, te classificeren en packets met specifieke data of code payloads te blokkeren of om te leiden. Met deze techniek biedt een NGFW bescherming tegen malware, intrusions en exploits in applicaties. Ook door het toenemende gebruik van Web 2.0 en sociale netwerken (zowel voor zakelijk als persoonlijk gebruik), kan met behulp van beleidsregels voor individuele gebruikers en groepen een betere inzage verkregen worden in het verbruik van het netwerk- en applicaties. We spreken hier dan over netwerkoptimalisatie.
NGFW en SSL-versleuteling
SSL wordt in toenemende mate inmiddels ook door cyber-criminelen gebruikt om detectie te omzeilen en malware te distribueren. Daarom hebben de meeste NGFW-firewalls de mogelijkheid om de met SSL versleutelde data packets te decrypten. De inspectie van de met SSL-versleutelde packets vergt wel het nodige van de system resources; de organisatie NSS Labs (https://www.nsslabs.com/next-generation-firewall-security-value-map-download) onderzoekt ieder jaar diverse leveranciers van NGFWs. En zij doen dit niet alleen op technisch vlak, maar ook bijvoorbeeld op papier (datasheet). Er zijn namelijk een aantal leveranciers die op papier pretenderen een bepaalde performance te kunnen leveren, terwijl dat in de praktijk helemaal niet het geval is.
Tenslotte, NGFWs worden vaak nog als perimeter ingezet. Ze doen een prima job in het bewaken van de poort van en naar het internet. Maar wat als je hacker nu binnen zit? Tijd om na te denken om de NGFW ‘inline’ te plaatsen waarbij zowel north-to-south als east-to-west traffic geinspecteerd kan worden.