Blog

Zijn traditionele firewalls dood?

Dat het internet continu verandert mag geen verrassing zijn.  Beveiliging is een hot topic, maar dit adequaat regelen wordt steeds complexer. Vrijwel iedere website op internet is ontsloten middels HTTPS en bij HTTP/2 zijn er implementaties waarbij encryptie verplicht wordt. Waarom is een traditionele firewall dan niet meer voldoende?

Met een traditionele firewall bedoelen wij een firewall waarbij op port niveau toegang verleend wordt. HTTPS werkt bijvoorbeeld over poort 443, dus deze poort moet dan opengezet worden. Wat er vervolgens door die poort gaat is een raadsel. Vergelijk het met een huis waarvan alle ramen en deuren potdicht zijn. Niemand kan zomaar naar binnen, net als bij een firewall. Echter moeten mensen wel naar binnen kunnen en daarom laat je de voordeur openstaan. Het hele huis is op en top beveiligd, maar iedereen kan door de voordeur naar binnen wandelen. Dit is hetzelfde als bij een traditionele firewall. Alle poorten staan dicht, behalve poort 443. Die staat wijd open, zonder te weten wie er vanaf het internet door die poort op de webserver achter de firewall belandt. Uiteindelijk is een poort openzetten dus niets meer of minder dan een opening zonder afsluiting.

Omdat het meeste verkeer ook nog eens versleuteld is met SSL, kan men ook niet zien wat voor verkeer er door de firewall binnenkomt. De oplossing is een security device te gebruiken dat dit wel kan. Wij gebruiken twee methoden voor in het geval van webverkeer: een zogenaamde SSL offloader en een Web Application Firewall. De SSL offloader doet precies dat, namelijk het versleutelen en ontsleutelen van verkeer dat uitgewisseld wordt met de bezoeker. Op het moment dat het verkeer niet meer encrypted is, kan er inspectie worden toegepast. Dat gebeurt middels een web application firewall. Deze firewall kijkt wat voor request er wordt verstuurd en of dit valide is. Vrijwel alle web application firewalls beschermen je tegen de OWASP Top 10: een lijst met de 10 meest voorkomende aanvallen op internet. Enkele voorbeelden hiervan zijn cross-site scripting of SQL injections. Sommige meer geavanceerde Web Application Firewalls kunnen ook beschermen tegen zogenaamde zero day exploits (exploits die bekend worden, maar waar nog geen patch voor is) zodat websites veilig blijven, ook als er nog geen patch voor is.

Zodra er een bepaalde poort wordt opengezet is het dus belangrijk om goed te controleren wie er met welke pakketten binnenkomt. Eigenlijk is het net zoals in de fysieke wereld: een duidelijk deurbeleid en alle tassen controleren!


About Ruben van der Zwan

Ruben van der Zwan is de CTO bij Amsio en verantwoordelijk voor de technologiekeuzes van de organisatie en de productontwikkeling. De vertaling van complexe vraagstukken naar totaaloplossingen voor klanten en partners is hier onderdeel van. Ruben van der Zwan heeft meer dan 10 jaar ervaring in de hosting industrie en heeft een technische achtergrond.