Firewalls

Wat is een firewall?

Een firewall is een enkel programma of één of meerdere computerssysteem dat een toegangsbeleid forceert tussen twee netwerken. Het is een beveiliging tussen het externe (Internet) en het interne netwerk (LAN) en probeert te voorkomen dat onbevoegden toegang krijgen tot het interne netwerk. De manier waarop dit gebeurt kan per situatie sterk uiteenlopen, maar in principe bestaat de firewall uit twee mechanismen. Dit is blokkeren en doorlaten van dataverkeer. Bij de ene firewall ligt de nadruk op het blokkeren van dataverkeer, terwijl bij andere firewalls de nadruk juist ligt bij het doorlaten van dataverkeer. Het belangrijkste is echter dat het blokkeren en doorlaten beinvloed kan worden door de beheerder van de firewall.


Hoe werkt een firewall?

Om uit te kunnen leggen wat een firewall precies doet moet u eerst weten hoe het verkeer over het internet wordt georganiseerd. Op het internet wordt voor het versturen en ontvangen van verkeer het zogenaamde TCP/IP protocol gebruikt. Dit protocol zorgt ervoor dat alle data in kleine pakketjes wordt opgedeeld. De pakketjes worden voorzien van een adres voordat ze kunnen worden verstuurd. Dit adres bestaat uit twee delen: een IP adres (dit zijn vier getallen gescheiden door een punt, bijvoorbeeld 194.109.6.66) en een poortnummer (bijvoorbeeld 80). Het IP nummer is een uniek nummer wat iedere computer op het internet heeft. Het poortnummer geeft aan welk type verkeer er wordt gebruikt. Zo is bijvoorbeeld afgesproken dat voor het world wide web verkeer poort 80 wordt gebruikt, en voor het versturen van email poort 25. Hieronder vindt u een lijstje met de meest gebruikte poortnummers:

PoornummerType verkeer
21Ftp
23Telnet
25Smtp (mail)
80HTTP (WWW)
110POP3. (mail)
443HTTPS (beveiligde world wide web verbindingen)

Op het moment dat een datapakketje bij een firewall aankomt zal deze kijken naar het IP adres van de afzender, het IP nummer van de geadresseerde en het poortnummer waar het pakket heen is gestuurd. Afhankelijk van de regels die zijn ingesteld zal de firewall nu het pakket doorlaten of weigeren.

Binnen TCP/IP zijn twee soorten pakketten mogelijk: UDP pakketten en TCP pakketten. Het verschil tussen UDP en TCP is voornamelijk dat TCP gebruik maakt van zogenaamde sessies en UDP niet. Een sessie is een verbinding tussen twee computers op het internet. Als u bijvoorbeeld met uw browser naar www.internl.net. surft zal uw browser een TCP sessie opzetten met de server van Internl.net op poort 80. Pas als alle data van de site binnen is zal deze sessie verbroken worden. In het geval van UDP wordt ieder pakket onafhankelijk verzonden en is er ook geen controle of het wel daadwerkelijk aangekomen is.


Waarom een firewall?

Het Internet wordt, zoals alle gemeenschappen, constant belaagd door personen met verkeerde intenties. Sommige van deze personen zijn er alleen maar op uit systemen te kraken, ze zijn te vergelijken met onze hedendaagse vandalen, erop uit om muren te bekladden, lantarenpalen te slopen en ga zo maar door. Een andere groep, die een veel grotere bedreiging vormen is de groep mensen die georganiseerd binnen systemen willen dringen met als doel informatie te vergaren. Om deze redenen vereist bijna elke LAN (Local Area Network) of WAN (Wide Area Network) een firewall.


Waartegen kan een firewall bescherming bieden?

Sommige firewalls laten alleen bijvoorbeeld e-mail verkeer door. Op deze wijze beschermt de firewall het Netwerk tegen alle soorten verkeer behalve e-mail. Andere firewalls zijn minder strikt, en blokkeren alleen die diensten die een probleem vormen voor het bedrijf of de instantie. Men kan hierbij denken aan bijvoorbeeld FTP-verkeer (File Transfer Protocol).

In het algemeen zijn firewalls dusdanig geconfigureerd, dat ze bescherming bieden tegen ongeauthoriseerde, interactieve Logins van de "buitenwereld". Met andere woorden; buitenstaanders kunnen niet inloggen op het netwerk. Dit, boven alles, voorkomt dat vandalen kunnen inloggen op het netwerk. Het voorkomt echter ook dat wel geauthoriseerde gebruikers niet kunnen inloggen, uiteraard tenzij anders geconfigureerd.

Op andere wijze geconfigureerde firewalls blokkeren alle verkeer dat van buitenaf het netwerk inkomt, terwijl alle verkeer van binnen het netwerk naar buiten vrij spel heeft. Op de juiste manier geconfigureerd, beveiligt een firewall op adequate wijze het netwerk van een bedrijf of instelling.

Gezien het feit dat firewalls een flessehals vormen vervult de firewall een belangrijke functie met betrekking tot de beveiliging van Netwerken. De firewall kan echter ook als een effectief ‘afluisterapparaat’ dienen, net zoals de firewall goed gebruikt kan worden als ‘Trace Tool’.

Firewalls kunnen uitstekend gebruikt worden om te ‘loggen’ en te ‘auditen’. Onder ‘loggen’ verstaan we het vastleggen van alle binnenkomende en uitgaande dataverkeer. Onder ‘auditing’ verstaan we het monitoren van dataverkeer op het moment dat deze plaatsvind. Firewalls verschaffen de beheerder dus belangrijke informatie over de verschillende soorten dataverkeer, en de hoeveelheid daarvan op welke tijdstippen.


Waartegen kan een firewall geen bescherming bieden?

Een firewall kan geen bescherming bieden tegen verkeer dat niet door die firewall heen gaat. Veel bedrijven en instanties die hun netwerk gekoppeld hebben aan het Internet maken zich terecht ernstige zorgen over het ‘weglekken’ van informatie via deze weg. Helaas voor hen kan een diskette of tape zeer effectief gegevens buiten het domein brengen. Veel organisaties die, op management-level enorm bezorgd zijn, hebben geen coherent beleid met betrekking tot hoe bijvoorbeeld toegang met behulp van het inbellen met modems afgeschermd zou moeten worden.

Het is nutteloos een meters dikke stalen deur te bouwen, terwijl je in een houten huis woont. Met andere woorden: er zijn nog steeds veel organisaties die enorm veel geld uitgeven aan firewalls, terwijl ze de andere vormen van inbraak veronachtzamen.

Een firewall is pas effectief wanneer het een deel uitmaakt van een consistente algehele beveiliging op alle niveau’s binnen de onderneming.

Het beleid met betrekking tot de firewall moet dan ook realistisch zijn en overeenkomen met het beleid op de ‘andere afdelingen’. Een instelling met hoogst gevoelige informatie bijvoorbeeld, heeft geen firewall nodig: ze zouden gewoonweg niet aan het Internet gekoppeld moeten worden. In ieder geval niet die systemen waar zich fysiek de informatie op bevind, deze zouden afgezonderd moeten worden van de rest van het netwerk.


Hoe zit het met virussen?

Firewalls bieden niet afdoende beveiliging tegen virussen, omdat er gewoonweg te veel manieren zijn, waarop data gecodeerd kan worden, en teveel verschillende architecturen van virussen, om al het verkeer op te ‘scannen’. Over het algemeen biedt een firewall geen bescherming tegen ‘data-driven attacks’. Dit zijn aanvallen waarin iets wordt ge-mailed of gecopieerd op een interne ‘host’ (lees computer), waarna het uitgevoerd wordt.


Waar moet rekening mee gehouden worden met de opzet en het gebruik van een firewall?

Elk type firewall heeft voordelen en nadelen. Een Pakket Filter is het simpelste, maar daarmee ook het minst veilige type firewall. Afzenderadressen van binnenkomende pakketjes geven bijvoorbeeld niet altijd het adres waar het pakketje daadwerkelijk vandaan komt. Zo kunnen pakketjes van een onveilige afzender toch worden doorgelaten omdat het meegegeven afzenderadres niet als risicovol herkend wordt. Het veranderen van het afzenderadres door de afzender wordt IP-spoofing genoemd. Aan de andere kant heb je de Application Gateway. Deze kan toegang tot bepaalde computers, programma's, bestanden en commando's regelen. Dit is dus zeer veilig, indien goed ingesteld. Het probleem dat hier natuurlijk uit voortkomt, is de grote hoeveelheid instellingen die bij de installatie moet worden doorlopen.

Voordat er een firewall geïnstalleerd gaat worden, moeten er dus een aantal zaken worden afgewogen. Niet alleen de noodzaak van een firewall en het gewenste niveau van veiligheid zijn belangrijk, maar ook de hoeveelheid tijd en geld die beschikbaar is. Als u de keuze voor een bepaalde firewall heeft gemaakt, dan kunt u overgaan tot aanschaf, installatie en configuratie. Denk echter niet dat u na het installeren en configureren klaar bent. U zult waarschijnlijk bezig blijven met instellen en updaten. Daarnaast blijft de kans aanwezig dat er door gaten in de beveiliging van firewall of bepaalde programma's toch een inbreker binnensluipt. Blijf dus alert en op de hoogte.

Mensen met een inbelverbinding op een losstaande PC kunnen een software firewall installeren. Het gebruik van deze firewalls is niet al te moeilijk. De meeste meldingen die deze programma's geven zullen ook zelden met een echte inbraak te maken hebben. Ze geven namelijk ook een melding als er slechts 'op de deur geklopt' wordt. Wees er daarom zeker van dat u elke melding op zijn waarde kan schatten. De helpfunctie van de firewall of website van de maker van de firewall moet u daarbij kunnen helpen.


Wat zijn de standaard type firewalls?

Er zijn in principe twee type firewalls:

  • Network-level firewalls
    Network-level firewalls nemen over het algemeen hun beslissingen gebaseerd op de bron, bestemming en poort in de individuele IP pakketten. Een simpele ‘router’ (een centrale voor andere computers of gebruikers) is de eenvoudigste versie van een network-level firewall.

  • Application-level firewalls
    Application-level firewalls zijn over het algemeen hosts die ‘proxy servers’ draaien. Deze proxy servers laten geen directe communicatie toe tussen netwerken, en ‘loggen’ en ‘auditen’ al het verkeer dat hen passeert. Application-level firewalls kunnen gebruikt worden als netwerkadres vertalers (DNS-servers), daar verkeer er de ene kant in gaat, en de andere weer uit. Op deze wijze kunnnen bron en bestemming effectief van elkaar gescheiden worden. Dit maakt ze minder snel en minder transparant voor de gebruiker. Application-level firewalls maken meer gedetailleerde audits mogelijk, en zijn wat conservatiever in vergelijking tot Network-level firewalls.

    Wat zijn proxy servers, en hoe werken ze?
    Een proxy server (ook wel ‘proxies’, ‘application gateway’ of ‘forwarder’ genoemd) is een applicatie wat dataverkeer behandelt tussen een beveiligd netwerk en het Internet. Proxies worden vaak gebruikt in plaats van router-gebaseerde controle op dataverkeer om te voorkomen dat communicatie direct tussen de twee netwerken verloopt.

    Omdat proxies op de hoogte moeten zijn van het applicatie protocol dat gebruikt wordt, is het mogelijk om protocol-specifieke beveiliging toe te laten, bijvoorbeeld: het wel toelaten van binnenkomende FTP-sessies, maar het niet toelaten van uitgaande FTP-sessies.

    Proxies zijn applicatie-specifiek. Een proxie draait voor een bepaalde applicatie. Een FTP-sessie vereist dus een FTP-proxy, terwijl een WWW-sessie een WWW-proxie vereist.

    Firewalls zijn dus onontbeerlijk bij het verder ontwikkelen van zowel het Internet als bij de ontwikkeling van betreffende instantie. Firewalls nemen een belangrijke plaats in, en moeten dus ook als zodanig in beschouwing genomen worden.


    Meer informatie

  • http://www.interhack.net/pubs/fwfaq/
  • http://dmoz.org/Computers/Internet/Protocols/