Wat is een firewall?
Een firewall kan een apparaat zijn, of een programma dat op je apparaat draait. Een firewall heeft als doel om binnenkomende en uitgaande communicatie tussen twee delen van een netwerk te controleren.
Meestal zal dit zijn tussen het internet en het bedrijfsnetwerk. Het checkt of de communicatie (het IP-pakketje) wel mag worden toegelaten volgens de regels die in de firewall zijn aangegeven.
Standaard is een firewall uitgevoerd met één regel: niets mag!
Dit houdt in dat in principe alle data pakketjes worden tegengehouden. Bij de configuratie van een firewall zul je extra regels moeten toevoegen om aan te geven welke IP-pakketjes wel door de ‘poort’ mogen.
Waarom is een firewall nodig?
Een firewall kun je zien als een poort in de muur om je bedrijfsnetwerk. Het bepaalt of verkeer van buiten veilig genoeg is om binnen te komen op je bedrijfsnetwerk en vice versa. Ongewenst verkeer kan bijvoorbeeld bestaan uit aanvallen van hackers, in- of uitbraken van computervirussen, spyware, DDoS aanvallen en spam. De aanvalsmethoden worden steeds geraffineerder. Daarom is het belangrijk om je firewall goed te (laten) onderhouden. De regels die je hebt ingesteld, moeten met regelmaat gecontroleerd worden op een goede werking. Ook de software van de firewall - de zogenaamde firmware - moet met regelmaat geüpdatet worden om de nieuwste aanvalsmethoden te kunnen herkennen.
Welke functionaliteiten heeft een firewall?
Er zijn traditionele en meer geavanceerde firewalls. Bedenk voor de aanschaf welke functies je daadwerkelijk nodig hebt.
-
Traditionele firewall
Naast het hiervoor genoemde controleren van de IP-pakketjes - het zogenaamde ‘packet inspection’-heeft een firewall nog meer functies. Omdat de firewall aan de buitenkant van het bedrijfsnetwerk staat, wordt het ook gebruikt om “netwerk en poort adres” vertalingen te doen (NAT). Het verzorgt ook VPN verbindingen, bijvoorbeeld voor thuiswerkers om toegang te krijgen tot het bedrijfsnetwerk.
-
Next Generation Firewall (NGFW)
Door de snelle ontwikkeling in het netwerkverkeer, worden er op dit moment meer dingen verwacht van een firewall. Hiervoor is de traditionele firewall doorontwikkeld in de zogenaamde ‘next generation’ firewall. Deze kan de volgende extra functionaliteiten bieden:
- Intrusion Prevention System (IPS)
Hiermee kan de NGFW het netwerk monitoren op ongewenste activiteiten en, indien nodig, deze activiteiten realtime blokkeren. - Antivirus en anti-spam
De firewall scant al op virussen, malware en spam op de firewall. Dit is een voordeel voor bedrijven met BYOD (Bring Your Own Device) en veel gastgebruik. De antivirus en anti-spam is dan namelijk niet alleen afhankelijk van de oplossingen die op de apparatuur van de end-user is geïnstalleerd. - Deep Packet Inspection (DPI)
Met deze functionaliteit kan de firewall het verkeer analyseren op de inhoud van de IP-pakketten in plaats van alleen op basis van het IP-adres en de header (buitenkant). Als hier iets mis mee lijkt te zijn kan de NGFW het verkeer blokkeren. - Content Filtering System (CFS)
Hiermee kan de firewall de inhoud van IP-pakketten analyseren op basis van gelijke series van tekens (dezelfde volgorde van letters bijvoorbeeld). Hiermee kan bijvoorbeeld worden herkend dat een IP-pakketje een creditcard nummer bevat. De regel van de NGFW kan dan zo zijn dat wanneer dat het geval is dit IP-pakket wordt tegengehouden. - Anti-Malware Prevention (AMP)
Dit is een functionaliteit waarmee de NGFW kwaadaardige software kan herkennen en deze na herkenning ook gelijk kan blokkeren. - DPI-SSL
Omdat een groot deel van het internetverkeer tegenwoordig met het SSL (Secure Socket Layer) protocol wordt versleuteld, kan dit niet met het gewone DPI worden gecontroleerd. DPI-SSL kan ook het met SSL versleutelde verkeer inspecteren. - Application Intelligence & Control (AIC)
Hiermee kan de NGFW ook op basis van applicatieprotocollen het verkeer inspecteren en daarmee bepalen of het al dan niet geblokkeerd moet worden. Het kan zijn dat je bijvoorbeeld geen spelletjes via een applicatieprotocol Facebook wil toestaan. Het is dan mogelijk om dit via deze functionaliteit voor de gebruikers af te sluiten of te beperken voor gebruik tijdens bepaalde tijdvakken, bijvoorbeeld buiten werktijd.
- Intrusion Prevention System (IPS)
Aandachtspunten bij een firewall
-
Firewalls verhogen cyberrisico's
Een firewall wordt ook wel een edge device genoemd. Vaak staan deze edge devices aan de rand van een netwerk en ze zijn meestal benaderbaar vanaf het publieke internet. Edge devices zijn een geliefd doelwit voor kwaadwillenden. Via een kwetsbaarheid of beveiligingslek in een edge device kunnen aanvallers mogelijk toegang verkrijgen tot het edge device en vervolgens tot het achterliggende netwerk. Wanneer je gebruik maakt van kwetsbare edge devices die benaderbaar zijn via het internet, neemt de kans op schade bij jouw organisatie aanzienlijk toe.
-
Update-beleid
Een firewall zou onderdeel moeten zijn van het update- of patchbeleid (patchmanagement), dit is een belangrijk basisprincipe. Het uitstellen van updates op een firewall leidt tot een verhoogd risico op compromittatie en kan grote schade veroorzaken. Bijvoorbeeld wanneer je slachtoffer wordt van een cyberaanval met gijzelsoftware. Als je een firewall niet in eigen beheer hebt, maar bijvoorbeeld ondergebracht bij je IT-dienstverlener, dan is het belangrijk om duidelijke afspraken te maken over updaten. Dit soort afspraken zet je in een Service Level Agreement (SLA). Denk hierbij aan welke verplichtingen de IT-dienstverlener moet voldoen, maar ook over communicatie en de ondersteuning bij het verhelpen van kwetsbaarheden.
-
Veilige instellingen
Een firewall is een complex apparaat waarbij zorgvuldig nagedacht moeten worden over de instellingen. Dit vergt capaciteit en kennis binnen je bedrijf. Verkeerde of foutieve instellingen kunnen leiden tot onbedoelde en onnodige toegang via het internet. Juiste configuratie en logging en monitoring is essentieel.
Welke firewall is geschikt?
De hierboven beschreven NGFW functionaliteiten zorgen voor extra beveiliging. Daarmee kunnen geavanceerde aanvallen gedetecteerd en geblokkeerd worden. Deze NGFW firewalls kunnen dieper in de datapakketten kijken en beter snappen wat er met de datastroom (het verkeer) gebeurt. Zo bepaalt het of het verkeer aan de regels van de firewall voldoet en of het kan worden doorgelaten of geblokkeerd. Natuurlijk is het ook mogelijk om niet te blokkeren, maar alleen een melding te doen van de waarneming.
Kortom: check eerst welke bescherming er nodig is in je werkomgeving en zoek dan een firewall uit die voldoet aan je eisen.
Nu je een introductie van de basisfunctionaliteiten en het belang van een firewall kent, helpen we je graag verder bij het maken van een weloverwogen keuze bij de aanschaf van een firewall.