Internetbeveiliging met firewalls

1
23
Dit artikel is deel 3 van 3 in het DiskIdee dossier Internetbeveiliging
DossiernavigatieBeveiliging van online services

Internet bevat heel veel goede dingen, maar ook een paar kwaadaardige. Om die laatste tegen te houden en te voorkomen dat er allerlei naars gebeurt met ons bedrijfsnetwerk, moeten we een paar maatregelen treffen. Het definiëren van een ‘security policy’ en het installeren van beveiligingssoftware en/of -hardware horen daarbij.
internet
De gulden regel om zoveel mogelijk te vermijden dat u onbewust uw internet netwerk blootstelt aan het internet, is standaard niets publiek te maken tenzij het absoluut publiek moet zijn. Inzake beveiliging zijn er in feite twee regels die van toepassing zijn. “Alles wat niet expliciet verboden is, is toegestaan.” Deze regel wordt door Microsoft gevolgd in vrijwel al hun software en serversystemen. Hoewel dat lekker makkelijk is bij de installatie en configuratie van dergelijke systemen, laat het grote gapende gaten waarlangs hackers zonder een centje pijn kunnen binnendringen. Vandaar dat inzake beveiliging beslist gekozen moet worden voor de tweede regel: “Alles wat niet expliciet toegestaan is, is verboden.”

Security policy
Het geheel van stipulaties en reglementen waarin u vastlegt wat de ICT-beveiligingsfilosofie (ICT = informatie- en communicatietechnologie) van uw bedrijf is en hoe die beveiliging geïmplementeerd en uitgevoerd wordt, heet in het Engels een ‘security policy’ of in het Nederlands een beveiligingsreglement. Het is ontzettend belangrijk dat u zoiets opstelt voor alles wat informatieverwerking in uw bedrijf aangaat. Daarbij dient u zeer beslist de voormelde tweede regel te volgen. Inzake beveiliging kunt u datgene wat u wil beschermen (laten we dat voor het gemak op heel uw interne netwerk houden) als een kasteel beschouwen. Als u niets rond uw kasteel bouwt, kan heel de buitenwereld komen inbreken. We graven dus een slotgracht rond dat kasteel en voorzien één enkele ophaalbrug die als toegangspoort zal dienen. Bijgevolg moet alles wat het kasteel binnenwil die ene toegangspoort passeren en daar staan streng kijkende wachters die iedereen die er niet hoort zullen buiten houden. Andersom moet iedereen die het kasteel buitenwil ook die ene toegangspoort passeren en ook daar zullen wachters erop toezien dat niets buitengaat wat niet buiten mag. Pas dit op software en data toe en u heeft de definitie van een firewall.

Kasteel
Als we de buitenwereld gelijkstellen aan heel het internet en het kasteel aan ons interne bedrijfsnetwerk, dan verzorgt een firewall dus het contact van het interne netwerk met het internet en omgekeerd. Er zijn uiteraard nog andere types van firewalls en er is nog heel wat meer aan beveiliging van belang in een bedrijfsnetwerk dan puur de verbinding met het internet, maar we beperken ons nu hiertoe omdat het met hackers en Code Red en meer van dat fraais wel een heel erg acuut probleem geworden is voor veel bedrijven.

Voor een Internetfirewall gelden twee punten:

1) de firewall wordt geïnstalleerd op het ene punt waar het bedrijfsnetwerk gekoppeld wordt aan het internet. Op deze manier loopt al het verkeer van en naar het internet via deze firewall. De firewall controleert al dat verkeer en bepaalt wat wel of niet toegelaten is aan de hand van regels die u kunt vastleggen. U begint daarbij uiteraard met absoluut niets toe te staan en daar dan uitzonderingen op te definiëren. Dat gaat vooral over logins vanaf het internet, over e-mails en waar die vandaan komen en wat voor inhoud ze hebben, en over het uitwisselen van bestanden tussen een internetlocatie en een andere locatie binnen uw bedrijf. Toegestaan is wat voldoet aan het beveiligingsreglement van uw bedrijf. Al het andere is niet toegestaan.

2) een firewall is een verzameling hardware en software die netwerkverkeer kan routeren en controleren. Meestal bestaat dat uit een router, een host-computer of een combinatie daarvan, maar er kan ook een heel netwerk met bijbehorende software als firewall dienen. Uiteraard zijn er heel veel verschillende manieren om dit alles in te stellen. U kiest voor een manier die overeenkomt met het veiligheidsbeleid van uw organisatie (uw beveiligingsreglement) en met uw budget. Waar voor de rest nog opties overblijven, kiest u voor de gebruikelijke werkwijze binnen het bedrijf.

Toegangspaden
Het zou niet voor het eerst zijn dat een bedrijf zich een firewallproduct met een flitsende benaming aanschaft en installeert, om naderhand tot de ontdekking te komen dat er toch nog ingebroken werd in het bedrijfsnetwerk. Vaak komt dat omdat men vergat dat er nog andere paden in het bedrijfsnetwerk leiden, andere systemen die ook nog een internetverbinding hadden, of systemen die bereikbaar zijn via andere communicatiemethodes zoals modem of ISDN. Voor een zo groot mogelijke veiligheid beperkt u de toegang tot het internet best tot één enkel pad, geldig voor heel het bedrijf. Als er maar één pad is, werkt een firewall best goed. Vergeet u een pad, dan zal de allerbeste of duurste firewall u niet helpen. Het grootste nadeel van dat ene pad en de toegepaste beveiliging is, dat het sommige gebruikers wel heel beperkt in hun mogelijkheden kan achterlaten. Daarom zullen bepaalde gebruikers hun uiterste best doen een firewall te omzeilen. Daar zult u rekening mee moeten houden. Verder dient u te beseffen dat geen enkel systeem honderd procent veilig kan zijn. Een goed uitgewerkte beveiliging zal malafide netwerkverkeer het wel zo moeilijk mogelijk maken.

Windows?
Nu we in herinnering gebracht hebben dat een firewall een IT-systeem is en dus zelf onderhevig aan aanvallen, is het een goed ogenblik om iets te zeggen over dat beruchte netwerkbesturingssysteem van Microsoft: Windows NT en zijn opvolger Windows 2000. Omdat er zoveel klachten zijn over beveiligingsproblemen met Windows, zijn er nogal wat bedrijven die aarzelen voor een software firewall een product op basis van Windows te kiezen. Zo mag u echter niet redeneren. Bij firewalls op basis van Windows wordt vaak gebruik gemaakt van eigen netwerkprotocols (een compleet andere TCP/IP-stack, om maar iets te noemen) en wordt alles wat maar een beveiligingsrisico inhoudt geweerd of vervangen. Een firewall op basis van Windows kan dus even veilig zijn als een firewall op basis van Unix, of Linux, of OS/2 of wat dan ook. U zult natuurlijk wel wat onderzoek moeten doen. Een firewallsysteem voor Windows dat de eigen netwerkprotocols van Microsoft gebruikt laat u best links liggen, om maar iets te noemen.

Architecturen
Er zijn heel wat mogelijkheden om een firewall te bouwen, maar meestal moeten er een aantal constructieparameters tegen elkaar worden afgewogen. Een belangrijke parameter is uiteraard de kostprijs van het geheel (hardware en software plus configuratie). Daarnaast is er flexibiliteit, transparantie, performantie en beveiligingskracht. Flexibiliteit heeft te maken met veranderingen aan het systeem. Hoe gemakkelijk is het bijvoorbeeld om een protocol te vervangen door een ander of om een nieuw protocol of een nieuwe dienst toe te voegen? Als een firewall zo goed als geen invloed heeft op het interne netwerk en de software en de werkmethodes die van toepassing zijn, dan noemen we die volledig transparant. Als een firewall vereist dat heel wat software aangepast wordt en andere werkwijzen toegepast worden, dan noemen we die weinig transparant. Performantie spreekt min of meer voor zichzelf. Een firewall moet netwerkverkeer controleren en die dan doorlaten of blokkeren. Als een firewall niet krachtig genoeg is, kan die dus een opstopping in het netwerkverkeer veroorzaken. Bijgevolg moet een firewall performant genoeg zijn om het aangeboden of verwachte netwerkverkeer probleemloos te kunnen verwerken. Of de firewall naderhand gemakkelijk uitbreidbaar is naar meer performantie, speelt dan weer mee bij de factor flexibiliteit. Tenslotte maar zeker niet in het minst speelt de mate van beveiliging een rol. Aan een firewall die niet een door ons vastgelegd minimumniveau van beveiliging voorziet, hebben we niet veel. Helaas werken sommige van deze constructieparameters elkaar tegen. Meer beveiliging betekent bijvoorbeeld een hogere kostprijs, minder transparantie en gewoonlijk ook minder performantie. Meer transparantie staat voor minder beveiliging, en zo kunt u nog wel meer scenario’s bedenken.

Vorig artikelSolden of gerold?
Volgend artikelFirewallarchitecturen

1 REACTIE

  1. Voor mij een leerzaam artikel, eindelijk begrijpelijke taal en ook nog in het Nederlands, ik heb het artikel meteen uitgeprint om het nog eens zorgvuldig te kunnen doornemen.
    Ook het artikel over beveiliging tegen virussen kan ik ierdeen die wel bepaalde programma’s bedienen onder de knie heeft maar voor de rest niewt zoveel kaas heeft gegeten van computeren van harte aanbevelen. Ga zo door, ik zal een regelmatige bezoekster worden

Reacties zijn gesloten.