Firewalls: het probleem of de oplossing?

Sinds de opkomst van webtechnologie in de bedrijfswereld, is er erg veel te doen geweest over de veiligheid van die technologie. Alles wat met web te maken had, had nogal eens de naam onveilig, weinig robuust, en ten zeerste voor verbetering vatbaar te zijn. Maar sindsdien is er veel veranderd. Steeds meer bedrijven uit onder meer de bancaire sector, zien in de interne (in de vorm van intranets) en externe (in de vorm van e-commerce) toepassingen van webtechnologie een vette kluif. Steeds meer bedrijfskritische, toekomstgerichte toepassingen worden er mee uitgewerkt – vandaar ook de interesse in beveiligingsproblematiek. Zijn Firewalls een mogelijke beveiligingsoplossing voor jouw bedrijf of organisatie?

Eigenschappen van firewalls
Laat ons eerst even nagaan waarover we het hier hebben. Firewalls zijn geen mystieke apparaten uit de krochten van uw IT-shop: het zijn fysieke computersystemen als een ander, met drie bijzondere eigenschappen:

1. Een Firewall is een computer die is uitgerust is met twee netwerkkaarten. Een van die kaarten is verbonden met een intern netwerk (je eigen LAN of WAN), en een andere is verbonden met het externe, al dan niet publieke netwerk van jouw Internet Service Provider (ISP). Via diens netwerk krijg je dan toegang tot alle toegelaten sites op internet.

2. Een Firewall is uitgerust met bepaalde software die alle netwerkverkeer tussen beide netwerken ‘screent’. Hiermee bedoelen we dat de Firewall steeds alle kleine datapakketjes die door de verschillende netwerkprotocols worden gegenereerd, kan openmaken, kan onderzoeken, en op basis van die inhoud een beslissing kan nemen. Ofwel wordt het datapakket toegelaten, en stuurt de Firewall het pakket gewoon door over het tegenovergestelde netwerk. Ofwel verwerpt de Firewall het datapakket, en vernietigt hij het onding op het netwerk waar het vandaan kwam.

3. Een Firewall is het kwetsbaarste onderdeel van het netwerk. Het is dé machine bij uitstek die bepaalt hoe kwetsbaar het netwerk is. Daarom spenderen we wat meer aandacht aan de configuratie van dergelijke machines.

De installatie en configuratie
Wanneer je overweegt een computer die dermate kritisch is te implementeren, is het belangrijk te beseffen waar je aan begint. Er is immers niets gevaarlijker dan een netwerk dat ‘beveiligd’ wordt door een slecht geconfigureerde Firewall – de illusie van veiligheid is vaak onveiliger dan de onveilige situatie zelf.

En wat wil het lot nu: de installatie en configuratie van Firewalls is absoluut geen sinecure. Specialisten met uitgebreide ervaring inzake configuratie van besturingssystemen, netwerkarchitecturen en gebruikersplatformen hebben een vette kluif aan de juiste instelling van de Firewall. Probleem is echter dat er vandaag verschillende producenten op de markt stappen die beweren een totaaloplossing ‘in-a-box’ te kunnen leveren. Je koopt bij wijze van spreken een doos van Checkpoint (producent van Firewall-1) in de FNAC, je steekt de CD-ROM In de bewuste machine, en vijf minuten later (een kwartier als je het heropstarten van Windows NT meerekent) heb je een kant en klare beveiligingsoplossing geïmplementeerd – en in het beste geval nog voor twee frank en een half ook.

Zo werkt het dus niet. In de eerste plaats moet je uitgaan van een behoorlijk prijskaartje dat met de implementatie gepaard gaat: we hebben het snel over een investering van om en bij het half miljoen Belgische franken. De installatie moet vervolgens nog net lukken op de bovenstaande manier, maar wanneer we dan aan de configuratie toe komen, is het een heel ander paar mouwen.

Procedures en regels
Je moet er immers van uitgaan dat je – met de aanschaf van een dergelijk product – ook kiest voor een reeks procedures en regels die je op jouw netwerk gerespecteerd wil zien. De configuratie van de Firewall zal een duidelijke afspiegeling zijn van die keuze. Bijvoorbeeld: je wil toelaten dat een bepaalde gebruikersgroep op het internet kan surfen, en dat anderen enkel elektronische post kunnen gebruiken. Dit houdt in dat je in de Firewall gaat specificeren dat de machine voor bepaalde gebruikers (of een groep van gebruikers) – die zich aanmelden met gebruikersnaam en paswoord – het HTTP protocol of het SMTP protocol moet ondersteunen, en voor andere niet. Op het niveau van de applicatieprotocollen vertaal je de beleidskeuze in een gaatje in de ondoordringbare virtuele brandmuur die je installeert. En dat is specialistenwerk, waar je absoluut niet de lichtvaardig over wil stappen. Jouw virtuele veiligheid hangt er immers van af, en vooraleer je het weet is jouw Firewall niet jouw oplossing maar jouw probleem.

Conclusie
In dit artikel hebben we getracht een aantal conceptuele facetten rond de beveiligingsproblematiek door middel van Firewalls toe te lichten. Je zal wellicht akkoord gaan met de stelling dat het een erg complexe materie is. Daarom willen we op basis van de huidige discussie graag inzoomen op onderwerpen als de keuze van een bepaald firewall-product, de kostprijs en aanpak van een implementatie en performantie van de verschillende oplossingen. Dit doen we in deel twee van deze minicursus.