Utm's en next-gen firewalls: Slimme voordeur voor je netwerk

lodegoukens
De laatste tijd slaan fabrikanten de klant om de oren met termen als utm (unified threat management) en next-gen (next generation) firewalls. Betekent dit dat de oude firewalls aan vervanging toe zijn? Zijn utm en next-gen gewoon leuke nieuwe namen uit een slimme marketingkoker of staat de netwerkbeveiliging op het punt om drastisch te veranderen?

Unified threat management en next-generation firewalls zijn gewoon twee etiketten die de onderzoeksbureaus IDC en Gartner op een reeks nieuwe firewalls hebben geplakt, om ze te onderscheiden van hun 'ouderwetse' voorgangers. De fabrikanten die zich aangesproken voelen, nemen die nieuwe soortnamen snel over omdat ze zich zo gemakkelijk kunnen onderscheiden van de concurrentie.

Hoe werkt een firewall?

Om te begrijpen waar heel de heisa over gaat is het belangrijk te weten wat een firewall precies doet. De opkomst van het internet verplichtte bedrijven en overheden om een soort filter aan te leggen tussen het deel van hun netwerk dat gemakkelijk via internet te bereiken bleef en het lokale netwerk dat beveiligd diende te worden. Het apparaat dat als toegangspoort functioneerde kreeg zoals wel vaker bij Amerikanen een even eenvoudige als prozaïsche naam: de firewall.

De opbouw bleek steeds vrij identiek. De it-afdeling splitste het lokale netwerk op in een dmz en een intranet. Dmz staat voor demilitarized zone oftewel niemandsland. Alle netwerkverkeer van en naar het internet liep door een apparaat met een poort naar de dmz en een poort naar het netwerk achter de firewall. De dmz vergde geen beveiliging en het verkeer via de andere poort moest aan bepaalde regels voldoen. De regels zijn echter niet meer dan een reeks ip-adressen en poorten in regeltjes gegoten. Wat de it'er niet voorziet passeert moeiteloos de firewall.

De volgende stap in de evolutie moest dit euvel aanpakken en zo ontstond al snel de policy based firewall. De policy of het beleid bestond hieruit dat bepaalde soorten gebruik mogen of niet mogen. De firewall kan dan dynamisch diensten en functies toelaten. Het bekendste gebruik van policy based firewalls zijn de vpn-verbindingen tussen verschillende vestigingen. Vpn’s of virtuele private netwerken maken het mogelijk om via internet een veilige verbinding op te zetten tussen twee sites en dit zonder dure huurlijnen van een telecombedrijf. Al snel werd ook antivirussoftware in de firewalls gestoken.

'Concreet komt het er op neer dat een traditionele firewall zo goed als nutteloos is tegen hedendaagse bedreigingen', aldus Tonny Roelofs van Barracuda Networks. 'Deze apparaten zien niet wat voor verkeer er over de lijn heen gaat en voor welke gebruikers het is. Het internet is wel of niet toegankelijk voor iedereen, verdere controle over welk verkeer er binnen komt is er niet. Voor traditionele firewalls is er geen verschil tussen een website of een script dat foute software installeert.'

De bekende expert Richard Stiennon van Focus Experts beschrijft utm als de toegangsbeveiliging die evolueerde naarmate de bedreigingen voor bedrijven evolueerden. 'Naarmate de aanvallen groeiden, voegden bedrijven meer en meer high-end beveiligingsmaatregelen toe aan hun infrastructuur', aldus Stiennon die bij Gartner verantwoordelijk was voor het onderzoek naar firewalls.

UTM

Nu is deze wapenwedloop voor grote bedrijven met diepe zakken geen probleem, maar mkb'ers kunnen zich niet permitteren om al die apparatuur en programmatuur in te voeren. Een aantal leveranciers besefte dit en ontwikkelde technologie om dieper in de pakketten en de datastromen te kijken. Hiermee konden ze al deze technieken in één enkel apparaat steken. De utm was een feit.

IDC heeft zoals gezegd gekozen voor de benaming utm voor deze alleskunners, terwijl Gartner de term next-gen firewall aanhoudt. Volgens Linda van de Weerd van Terach, distributeur van Palo Alto Networks, is er echter wel degelijk een groter verschil tussen een utm en een next-gen firewall: 'Een utm-firewall is een combinatie van meerdere componenten, meestal van meerdere fabrikanten. De componenten zijn samengebracht in één toestel maar zijn niet gemaakt om geïntegreerd te worden en functioneren elk op zich', aldus Van de Weerd.

Filip Savat van Fortinet vindt dat next-gen firewalls een deelverzameling zijn van utm's. Wat er volgens Gartner in moet zitten, is in dit geval dus niet wat er volgens IDC in moet zitten. Een echte utm is volgens deze definitie eigenlijk een next-gen firewall plus.

Terwijl bedrijven vroeger aparte apparaten voor packetshaping of load balancing inzetten om bandbreedtegevoelige toepassingen zoals telefoneren via voice-over-ip (voip) te garanderen, stoppen steeds meer leveranciers van utm's dergelijke functionaliteit in hun firewall. Logisch: als je de inhoud toch moet analyseren op toepassingen, dan kun je dat beter maar meteen optimaliseren.

Hetzelfde geldt voor de routing. De utm-firewall functioneert inmiddels dus ook vaak als gateway-router. Ook de ssl-vpn zit in de utm-firewall. Terwijl bijvoorbeeld Swift, dat alle internationale banktransacties verwerkt, vroeger firewalls van Checkpoint combineerde met switches van Juniper voor de ssl-vpn, gaat Swift in de toekomst werken met één apparaat, de Fortigate, dat een combinatie van beide is.

De markt voor utm's of next-gen firewalls groeit inmiddels zeer sterk. Aan de ene kant zijn er leveranciers zoals Fortinet en Palo Alto die zich zowel op grote bedrijven, mkb'ers als telefoonmaatschappijen richten. Aan de andere kant zijn er specialisten zoals SonicWall en Netgear die zich hoofdzakelijk op mkb'ers toeleggen.

Next-gen firewall

De Barracuda Next Generation Firewall onderscheidt zich door toevoeging van schaalbaarheid, waarbij de enterprise-klasse oplossing nu ook voor het mkb beschikbaar is. Bandbreedteoptimalisatie door middel van compressie en prioriteitstelling van het verkeer is daarbij standaard inbegrepen. Hiermee kunnen bedrijven enorm besparen op de verbindingen en wordt de beschikbaarheid en snelheid van de internetverbindingen tussen kantoren verhoogd. 'Vandaar dat de oplossing ook wel Next Generation Firewalling 2.0 wordt genoemd', zo vertelt Roelofs van Barracuda. 'Andere standaard mogelijkheiden zijn het aansluiten van meerdere internetverbindingen en het eenvoudig regelen van een backuplijn door middel van een usb-dongel.'

'Waar het anno 2011 vooral over gaat is dat firewalls intelligent moeten zijn', aldus Rogier Egberink van SonicWall. Meer dan 90 procent van de markt draait volgens hem nog op hopeloos ouderwetse technologie. 'Volgens Gartner zal 60 procent van de nieuw aan te schaffen firewalls bestaan uit next-gen firewalls. Vergeet niet dat de techniek van firewalls de laatste vijftien jaar niet echt is veranderd. We hebben het tegenwoordig over saas, social media, mobiliteit en virtualisatie, dat vraagt veel meer intelligentie van je firewall dan nu gemiddeld aanwezig is.'

Inderdaad zijn onder meer Twitter, Facebook en Youtube een nachtmerrie voor veel it-afdelingen. Bovendien ziet het management ook liever niet te veel tijdverlies door internet. Palo Alto Networks gaat er prat op dat ze Twitter en Facebook perfect kunnen beheersen via poort 80. De next-gen firewalls van Palo Alto Networks scannen op applicaties, gebruikers en content. Dit biedt een volledige en diepgaande zichtbaarheid van het netwerkverkeer en staat toe om enkel het werkelijk toegestane verkeer binnen te laten. Een goed voorbeeld is ssl-verkeer. Met een traditionele firewall kan een bedrijf alleen ssl toelaten of blokkeren. Wordt het toegelaten dan heeft het bedrijf echter geen enkele controle over de inhoud van het ssl-verkeer, wat toch wel de nodige veiligheidsrisico's met zich meebrengt.

De AppSecure oplossing van Juniper gebruikt geavanceerde herkenning van toepassingen. AppTrack zorgt voor de zichtbaarheid van de toepassingen op het netwerk. AppFirewall blokkeert bepaalde toepassingen. AppQoS geeft specifiek verkeer prioriteit en doet dus aan rate limiting en shaping van het netwerkverkeer. De vierde component AppDoS beschermt tegen denial of service-aanvallen waarbij plots van overal op het internet een server overbevraagd wordt.

Nieuwe gevaren

De gevaarlijkste nieuwigheid waartegen utm's bescherming bieden zijn de zogenoemde blended threats of gemengde bedreigingen. Dit zijn aanvallen die verdoezeld worden door meerdere componenten te laten samenwerken. Een bekend voorbeeld is de botnet die zes maanden slaapt en dan je pc inzet om spam te verzenden. Bij een dergelijke mix is een perfect samenwerken van antivirus, antispyware en firewall noodzakelijk.

Een andere nieuwigheid die erg belangrijk wordt is data leakage prevention of het voorkomen dat via datalekkage bedrijfsgegevens het netwerk verlaten. 'Volledige data leakage prevention wordt vrijwel nergens gebruikt', aldus Tonny Roelofs van Barracuda Networks. 'Valkuil is namelijk classificatie van data. Voordat organisaties al hun data geclassificeerd hebben ben je een hele tijd verder. Vandaar dat er meer gekeken wordt naar oplossingen die het printen van bepaalde bestanden, het naar een usb-stick schrijven of het naar buiten mailen tegenhouden. Er wordt dan bijvoorbeeld naar een kenmerk van een bepaald document of kernwoord gekeken.

Dat doen we met de Barracuda Spam & Virus Firewall, waarmee op kernwoorden wordt gescand om te voorkomen dat bepaalde informatie de organisatie per mail verlaat. Deze next-gen firewall ziet wie welke applicaties op het internet gebruikt, dus daarmee kun je voorkomen dat zaken bijvoorbeeld op Twitter of Facebook gepost worden of naar Hotmail worden verstuurd.'

Door: Lode Goukens

Lode Goukens | Freelance journalist

Ldoe Goukens is expert op het gebied van ict-security.

Bekijk alle artikelen van Lode