Blog

Het onstaan van de Firewall en een blik op de toekomst. Een blog van RobertG

Beste Lezers,

 

In deze blog vertel ik een stukje over de geschiedenis en onze kijk op de toekomst van firewalls.

 

Eind jaren 80 – In deze periode, toen ik net op deze wereld werd gezet, waren er al mensen die zich bezighielden met de security van IT-netwerken. De eerste firewall was destijds niet meer dan een router zoals we die nu kennen, welke intern verkeer naar buiten toestaat maar niet alle verkeer van buiten naar binnen.

 

Mid jaren 90 – Security wordt op de tweede plek gezet, direct na de packet per seconde. Deze rangschikking werd vooral toegepast vanaf het moment dat de eerste firewalls als hardware applicaties verkocht werden. In dezelfde periode kwamen proxy’s in opmars met SOCKS als oude bekende. Packet Filtering (Stateless) begint ook steeds serieuzer te worden, waarbij een aantal zelfs tot en met laag 7 gaat.

 

Ondertussen wil het bedrijfsleven graag rechten aan personen toekennen. Er is echter nog geen degelijke techniek om een gebruiker te authentiseren, een IP-adres kan namelijk niet specifiek aan een gebruiker verbonden worden. Een IP-adres is aanvankelijk ook eenvoudig te veranderen of te spoofen (spoofing attack). Spoofing houdt in, dat een persoon of applicatie zich succesvol voordoet als iets of iemand anders door data te vervalsen. In deze periode begint men dan ook steeds meer het probleem van Stateless Packet Filtering op te merken.

 

Mid jaren 90, begin 2000 – NAT maakt zijn opmars. Hiermee kunnen meer mensen via een extern IP-adres internetten. Statefull Packet Filtering wordt steeds meer de norm met als aanvulling het gebruik van interne servers. Deze zijn vanaf het internet beschikbaar door middel van port forwarding. Bij port forwarding wordt een packet filter-regel aangemaakt met als opdracht: wanneer iemand van buiten (Internet) naar mijn externe IP-adres(firewall) gaat op poort 80 (http), stuur deze dan door naar de interne webserver.

 

Bovenstaande werkwijze wordt ook wel de Traditional Firewall genoemd: de firewall doet wat je zegt op basis van de regels die je instelt. De aanvallen worden echter steeds complexer. Firewalls moeten de protocollen begrijpen die de verschillende applicaties spreken en het slechte verkeer eruit kunnen filteren. Dit is de aftrap naar de ontwikkeling van de Next Generation Firewall (NGFW).

 

Onderstaande tijdslijn geeft de ontwikkeling van de firewall goed weer.

 

 

2009 - Gartner definieert dit type firewalls als volgt: "Next Generation FireWalls (NGFW) are deep-packet inspection firewalls that move beyond port/protocol inspection and blocking to add application-level inspection, intrusion prevention, and bringing intelligence from outside the firewall".

 

Momenteel blijkt dat zelfs de NGFW niet meer de beste bescherming biedt tegen de dreigingen die we tegenwoordig voorgeschoteld krijgen. We zien namelijk steeds vaker dat, wanneer een non-authorized persoon toegang krijgt tot de omgeving, deze vervolgens eerst rustig op zijn gemak de omgeving verkent. Omdat dit als legitiem verkeer gezien wordt, wordt dit niet opgepakt door de nieuwe NGFW. Denk bijvoorbeeld aan een random computer die naar de fileserver probeert te gaan. Dat doen immers bijna alle medewerkers wel. Maar een random werkstation dat over RDP naar een ander werkstation gaat, mag dat wel?

 

2016 - Om bovenstaande tegen te gaan, dan wel inzichtelijk te krijgen, zien we dat er nieuwe intelligent Next Generation Firewalls (iNGFW) op de markt komen. Het idee achter een iNGFW is dat, afgezien van het feit dat het een mond vol is, deze normaal en afwijkend gedrag definieert voor de verschillende devices binnen het netwerk. Wanneer afwijkend gedrag gedetecteerd wordt, kan er een vooraf gedefinieerde handeling uitgevoerd worden. Hierdoor creëer je microsegmentatie op basis van het gedrag dat een device genereert.

 

Een random machine zou meerdere types gedrag kunnen vertonen, afwijkend van zijn profiel dat als normaal gedefinieerd is. Om verkeerd gedrag te classificeren, gebruikt Hillstone categorieën zoals Command & Control(C&C) en Lateral Movement. Neem bijvoorbeeld een machine waar verkeer gedetecteerd wordt bij Command en Control (C&C) en RDP naar andere machines (Lateral Movement). Een iNGFW maakt dit type verkeer inzichtelijk. Hierdoor kan de beheerder een passende actie uitvoeren.

 

In volgende blogs zal ik dan ook meer de focus gaan leggen op deze iNGFW. Aanvullend zal ik enkele technische aspecten behandelen en uitleggen hoe deze op producten van Hillstone te implementeren zijn.

 

Tot de volgende!