UTM's en Next generation (next gen) firewalls

De laatste tijd slaan fabrikanten de klant om de oren met termen als UTM (unified threat management) en next-gen (next generation) firewalls. Betekent dit dat de oude firewalls aan vervanging toe zijn? Zijn utm en next-gen gewoon leuke nieuwe namen uit een slimme marketingkoker of staat de netwerkbeveiliging op het punt om drastisch te veranderen?


Hoe werkt een firewall?

De opkomst van het internet verplichtte bedrijven en overheden om een soort filter aan te leggen tussen het deel van hun netwerk dat gemakkelijk via internet te bereiken bleef en het lokale netwerk dat beveiligd diende te worden. Het apparaat dat als toegangspoort functioneerde kreeg een even eenvoudige als prozaïsche naam: de firewall.


De opbouw bleek steeds vrij identiek. De ICT-afdeling splitste het lokale netwerk op in een DMZ en een intranet. DMZ staat voor demilitarized zone oftewel niemandsland. Alle netwerkverkeer van en naar het internet liep door een apparaat met een poort naar de DMZ en een poort naar het netwerk achter de firewall. De DMZ vergde geen beveiliging en het verkeer via de andere poort moest aan bepaalde regels voldoen. De regels zijn echter niet meer dan een reeks ip-adressen en poorten in regeltjes gegoten. Wat de ICT ‘er niet voorziet passeert moeiteloos de firewall.


De volgende stap in de evolutie moest dit euvel aanpakken en zo ontstond al snel de ‘policy based firewall’. De policy of het beleid, beschreef welke soorten gebruik mogen of niet mogen. De firewall kan dan dynamisch diensten en functies toelaten. Het bekendste gebruik van policy based firewalls zijn de VPN-verbindingen tussen verschillende vestigingen. VPN’s of virtuele private netwerken maken het mogelijk om via internet een veilige verbinding op te zetten tussen twee sites en dit zonder dure huurlijnen van een telecombedrijf. Al snel werd ook antivirussoftware in de firewalls gestoken.


Concreet komt het er op neer dat een traditionele firewall zo goed als nutteloos is tegen hedendaagse bedreigingen. Deze apparaten zien niet wat voor verkeer er over de lijn heen gaat en voor welke gebruiker het is. Het internet is wel of niet toegankelijk voor iedereen, verdere controle over welk verkeer er binnen komt is er niet. Voor traditionele firewalls is er geen verschil tussen een website of een script dat foute software installeert.


UTM

Nu is deze wapenwedloop voor grote bedrijven met diepe zakken geen probleem,  maar MKB'ers kunnen zich niet permitteren om al die apparatuur en programmatuur in te voeren. Een aantal leveranciers besefte dit en ontwikkelde technologie om dieper in de pakketten en de datastromen te kijken. Hiermee konden ze al deze technieken in één enkel apparaat steken. De UTM was een feit.


Een UTM-firewall is een combinatie van meerdere componenten, meestal van meerdere fabrikanten. De componenten zijn samengebracht in één toestel maar zijn niet gemaakt om geïntegreerd te worden en functioneren elk op zich.


Terwijl bedrijven vroeger aparte apparaten voor packetshaping of load balancing inzetten om bandbreedtegevoelige toepassingen zoals telefoneren via voice-over-ip (voip) te garanderen, stoppen steeds meer leveranciers van UTM's dergelijke functionaliteit in hun firewall. Logisch: als je de inhoud toch moet analyseren op toepassingen, dan kun je dat beter maar meteen optimaliseren.


Hetzelfde geldt voor de routing. De UTM-firewall functioneert inmiddels dus ook vaak als gateway-router. Ook de SSL-VPN zit in de UTM-firewall. Terwijl bijvoorbeeld Swift, dat alle internationale banktransacties verwerkt, vroeger firewalls van Checkpoint combineerde met switches van Juniper voor de SSL-VPN, gaat Swift in de toekomst werken met één apparaat, de Fortigate, dat een combinatie van beide is.


Next-gen firewall

De Fortigate Next Generation Firewall onderscheidt zich door toevoeging van schaalbaarheid, waarbij de enterprise-klasse oplossing nu ook voor het MKB beschikbaar is. Bandbreedteoptimalisatie door middel van compressie en prioriteitstelling van het verkeer is daarbij standaard inbegrepen. Hiermee kunnen bedrijven enorm besparen op de verbindingen en wordt de beschikbaarheid en snelheid van de internetverbindingen tussen kantoren verhoogd. Vandaar dat de oplossing ook wel Next Generation Firewalling 2.0 wordt genoemd. Andere standaard mogelijkheden zijn het aansluiten van meerdere internetverbindingen en het eenvoudig regelen van een backup-lijn door middel van een usb-dongel.


Waar het tegenwoordig vooral over gaat is dat firewalls intelligent moeten zijn. Meer dan 90 procent van de markt draait volgens Sonicwall nog op hopeloos ouderwetse technologie. Vergeet niet dat de techniek van firewalls de laatste vijftien jaar niet echt is veranderd. We hebben het tegenwoordig over saas, social media, mobiliteit en virtualisatie, dat vraagt veel meer intelligentie van je firewall dan nu gemiddeld aanwezig is.


Inderdaad zijn onder meer Twitter, Facebook en Youtube een nachtmerrie voor veel ICT-afdelingen. Bovendien ziet het management ook liever niet te veel tijdverlies door internet. Fortinet gaat er prat op dat ze Twitter en Facebook perfect kunnen beheersen. De next-gen firewalls van Fortinet scannen op applicaties, gebruikers en content. Dit biedt een volledige en diepgaande zichtbaarheid van het netwerkverkeer en staat toe om enkel het werkelijk toegestane verkeer binnen te laten. Een goed voorbeeld is SSL-verkeer. Met een traditionele firewall kan een bedrijf alleen SSL toelaten of blokkeren. Wordt het toegelaten dan heeft het bedrijf echter geen enkele controle over de inhoud van het SSL-verkeer, wat toch wel de nodige veiligheidsrisico's met zich meebrengt.


De Fortigate oplossing van Fortinet gebruikt geavanceerde herkenning van toepassingen. Zorgt voor de zichtbaarheid van de toepassingen op het netwerk. Blokkeert bepaalde toepassingen. Geeft specifiek verkeer prioriteit en doet dus aan rate limiting en shaping van het netwerkverkeer. Een vierde component beschermt tegen denial of service-aanvallen waarbij plots van overal op het internet een server overbevraagd wordt.


Nieuwe gevaren 
De gevaarlijkste nieuwigheid waartegen UTM’s bescherming bieden zijn de zogenoemde ‘blended threats’ of gemengde bedreigingen. Dit zijn aanvallen die verdoezeld worden door meerdere componenten te laten samenwerken. Een bekend voorbeeld is de botnet die zes maanden slaapt en dan je pc inzet om spam te verzenden. Bij een dergelijke mix is een perfect samenwerken van antivirus, antispyware en firewall noodzakelijk.


Een andere nieuwigheid die erg belangrijk wordt is data leakage prevention of het voorkomen dat via datalekkage bedrijfsgegevens het netwerk verlaten. Volledige data leakage prevention wordt vrijwel nergens gebruikt. Valkuil is namelijk classificatie van data. Voordat organisaties al hun data geclassificeerd hebben ben je een hele tijd verder. Vandaar dat er meer gekeken wordt naar oplossingen die het printen van bepaalde bestanden, het naar een usb-stick schrijven of het naar buiten mailen tegenhouden. Er wordt dan bijvoorbeeld naar een kenmerk van een bepaald document of kernwoord gekeken.


Waarmee op kernwoorden wordt gescand om te voorkomen dat bepaalde informatie de organisatie per mail verlaat. Deze next-gen firewall ziet wie welke applicaties op het internet gebruikt, dus daarmee kun je voorkomen dat zaken bijvoorbeeld op Twitter of Facebook gepost worden of naar Live mail worden verstuurd.

Neem contact op