Een firewall is een gateway die het verkeer regelt tussen verkeersstromen en netwerken, vaak tussen een intern bedrijfsnetwerk en het Internet. Firewalls kunnen tevens zorgen voor veilige gateway diensten tussen intern netwerk.

Bijvoorbeeld, een militaire installatie heeft 2 netwerken, één voor niet-geclassificeerde data, algemene verbinding en een ander netwerk die verbinding maakt met strategisch afweer systeem.

Een zeer betrouwbare firewall moet aanwezig zijn om er zeker van te zijn dat alleen bevoegde gebruikers toegang hebben tot het beveiligde netwerk. In sommige gevallen, is geen verbinding hebben nog het meest veilige beleid.

 

Verschillende distributies

  • Personal firewall
    NPF_2004_gen_bp

    Een personal firewall beschermt alleen de computers waarop deze software is geïnstalleerd. Het beschermt de gebruiker van virussen en dergelijke. Deze firewall wordt zeker aangeraden bij gebruikers met een DSL-of kabelmodem. Deze verbindingen maken gebruik van een statisch IP-adres. Een statisch IP-adres is een adres dat niet veranderd waardoor het netwerk zeer kwetsbaar is voor ervaren hackers.
  • Network firewall
    pic1

    Een network firewall zorgt ervoor dat een computernetwerk bevoorbeeld geen toegang kan krijgen op een specifiek netwerk. Meerdere computers en laptops worden met elkaar verbonden, zodat ze maar van één firewall gebruik moeten maken. Een network firewall scheidt twee netwerken van elkaar. Het bestaat ook uit een niemandsland. Dit is de zone dat zicht tussen het internet en externe zone bevindt. Deze zone is volledig toegankelijk voor de gebruikers van de buitenwereld. (afgekort: DMZ, demilitarized zone). Network firewalls kunnen hardwareapparaten, software programma’s of een combinatie van beide zijn.
  • Managed firewall
    75799149-9b72-4195-bd6f-a0899e60c62a

    Een managed firewall wordt aangeraden aan bedrijven die niet veel weten en weinig kennis hebben over firewalls. Deze bedrijven hebben de noodzaak aan een managed firewall omdat weinig kennis tot rampen kan leiden. Het is een firewall dat volledig gecontroleerd wordt door computeranalisten van een andere bedrijf die gespecialiseerd zijn in informatie-beveiliging. Deze computeranalisten hebben veel meer kennis en ervaring. De firewall wordt voortdurend gecontroleerd en bijgewerkt door de computeranalisten.

 

Verschillende types

  1. Packet filtering firewall

Een packet filtering firewall grijpt in op de netwerklaag van de TCP/IP-protocol-stack. Aan de hand van een aantal regels bepaalt de firewall of een IP-pakket wordt doorgelaten of tegengehouden. De aspecten van een pakket die hierbij in beschouwing worden genomen zijn bijvoorbeeld de poort waarvoor het pakket bedoeld is (destination port) of het IP-adres waar het pakket vandaan komt. Deze regels worden opgesteld door de beheerder of de producent van de firewall.

Een packet filtering firewall houdt enkel rekening met de IP-header van het datapakket. Dit type firewall werkt eenvoudig en snel, maar biedt een minder goede bescherming tegen virussen, spam e.d.

Gebruikers van computers die zich achter packet filtering firewalls bevinden merken weinig of niets van hun aanwezigheid zolang de poortnummers van de protocollen die zij gebruiken niet door deze firewalls worden geblokkeerd.

Een packet filtering firewall kan bijvoorbeeld al het verkeer naar de telnetpoort verbieden. De firewall verbiedt echter niet dat het protocol van telnet op een andere poort gebruikt wordt.

  1. Application layer firewall

Een application layer firewall grijpt in op de applicatielaag van de TCP/IP-protocolstack. Voor elk ondersteund protocol bepaalt een stukje software of pakketjes worden tegengehouden of doorgelaten. Dit stukje software kan uit veel meer bestaan dan een aantal simpele regels.

Een application layer firewall kan beter dan een packet filtering firewall beschermen tegen virussen e.d., maar is complexer, omdat elk protocol apart moet worden behandeld. Bovendien kost het bepalen of een pakketje door mag of niet meer resources.

Een voorbeeld van een application layer firewall is een mailserver die op de SMTP-poort luistert, en alle spam filtert.

Application layer firewalls worden meestal geïmplementeerd met behulp van proxy’s.

  1. Stateless firewall

Een stateless firewall behandelt elk pakketje op zichzelf, de firewall slaat tussentijds geen informatie op van de connecties die over de firewall lopen. Aangezien dit vrij grote beperkingen met zich meebrengt, zijn de meeste firewalls tegenwoordig stateful.

  1. Statefull firewall

Een statefull firewall houdt wel tussentijdse informatie bij van connecties die over de firewall lopen. Hierdoor is de firewall beter in staat onderscheid te maken tussen pakketjes die wel toegestaan en niet toegestaan mogen worden.

Een voorbeeld: het FTP-protocol is zo opgezet dat soms verbindingen op willekeurige poorten nodig zijn. Als een stateless firewall FTP moet toestaan, dan zal daartoe verkeer op alle poorten moeten worden toegestaan. Een statefull firewall kan volstaan met het tijdelijk openen van de poort waarover de FTP-sessie plaatsvindt.

Tegenwoordige packet filtering firewalls zijn stateful.

 

Werking firewall

Een firewall is een ‘choke point’ voor interne netwerken die verkeersstromen tussen netwerken actief controleert en regelt. In het geval van een proxy firewall, zal het verkeer nooit direct tussen de netwerken bewegen. In plaats daarvan, deelt de proxy verzonden en ontvangen pakketjes opnieuw in.

Geen enkele interne host is direct toegankelijk vanuit het externe netwerk en geen enkele externe host is direct toegankelijk via een interne host. Denk aan de mensen in een kasteel.

Tijdens een aanval kunnen zij de voorkeur geven om binnenin het kasteel te verblijven en proxy agenten hun zaken aan de buitenkant aan te pakken.

Een deel van het ontwerp van een veilig Internet netwerk verbinding is ervoor om te creëren wat een ‘demilitarized zone’ of DMZ heet. Dat is een netwerk dat bestaat uit het beveiligde en niet beveiligde netwerk.

De DMZ is beveiligd door een grenzend beveiligingssysteem, dat te vergelijken is met de buitenmuren en de gracht van het kasteel. Denk maar eens aan een marktplein in een kasteel.

Internetgebruikers kunnen vrijuit de DMZ binnengaan om naar de publieke Web servers te gaan, maar routers schermen het toeganspunt af om ongewenst verkeer te filteren.

Ongewenst verkeer zoals stromen verkeer die hackers versturen, die daarmee proberen werkzaamheden te ontwrichten. Op hetzelfde moment is het interne privé netwerk beveiligd door zeer goede veiligheids firewall. Binnen de kasteelmuren wisten ze het staande te houden een zwaar verstevigd bouwwerk dat de laatste verdediging tegen aanvallers was.

Firewalls zijn behoorlijk geraffineerd geworden in de loop der jaren, maar ze zijn geen alles-in-één beveiligingsoplossing. Firewalls zijn een middel van beveiliging beschikbaar voor netwerkbeheerders.

Een firewall kan uitgerust zijn met verschillende onderdelen, waaronder een router, een gateway server en een authentication server.

Firewalls contoleren binnenkomende en uitgaande verkeersstromen. Een firewall kan pakketten filteren, omleiden, opnieuw inpakken en verwijderen.

Verkeer kan gefiltreerd worden gebaseerd op hun bron en bestemmings IP adres, bron en bestemming TCP poort nummers, bits instellingen in de TCP rubriek. . .

In het geval van het gebruik van een proxy firewall, is de firewall het eindpunt van de inkomende en uitgaande connectie.

Het kan uitgebreide beveiliging en geldigverklaringen scannen tijdens het werken.

De proxy draait veilig, niet onderbroken met een bug-free versie van protocols en software.

Firewalls kunnen het veiligheidsbeleid van een organisatie versterken door middel van filteren van uitgaand verkeer van interne gebruikers.

Hoogwaardige logs, toezicht en inbraak detectie zijn nu een onderdeel van de meeste commerciële firewalls.

RFC 2979, ‘Behavior of and Requirements for Internet Firewalls, ‘ (oktober 2000) (‘gedrag van Internet firewalls en de benodigdheden ervoor, ‘) beschrijft andere firewall eigenschappen.

Hackers en andere aanvallers worden steeds slimmer, agressiever en het worden er ook steeds meer. In 2000 kondigde China aan dat ze niet konden meekomen met de Verenigde Staten qua militaire krachten, en dreigde met een ‘cyber’ oorlog met de Verenigde Staten.

Computersystemen van de Verenigde Staten liggen onder een constante aanval door geraffineerde en ongeraffineerde aanvallers.

 

Hoeveel onbetrapte indringers zitten in deze systemen?

Bijvoorbeeld, een aanvaller zet van tevoren een aanval via een virus in een e-mail op, om zogeheten ‘zombie’ programma’s op honderden of misschien wel duizenden computers van onschuldige Internetgebruikers te zetten, velen in uw eigen netwerk. De programma’s zijn ingesteld om op specifieke tijden andere systemen aan te vallen.

De echte aanvaller kan niet geïdentificeerd worden omdat de aanvallen vanuit onschuldige gebruikers over het gehele Internet komen. Het gehele Internet kan een wapen worden dat gericht is op uw privé-netwerk.

Vanwege deze dreigingen, zijn firewalls nu nodig in bijna iedere computer die verbinding maakt met het Internet. Als de netwerkverbinding altijd aan is, heeft die hetzelfde IP adres door op het Internet (WAN). Hackers zullen uiteindelijk het IP adres vinden en zullen terug komen om systemen na te kijken en te verstoren. Firewalls zijn ontworpen om deze systemen te beschermen gedurende het minimaliseren van complex installatie procedures.

 

Firewall Terminologie

Een standaard firewall terminologie helpt het verwijderen van de verwarring van omliggend firewall technologie. RFC 2647, ‘Merkteken Terminologie voor Firewall Prestatie‘, (augustus 1999) probeert deze terminologie vast te stellen.

  • Firewall: Een apparaat of een groep apparaten die een toegang controle beleid toepassen tussen netwerken. Firewalls verbinden beveiligde en niet beveiligde netwerken, welke een DMZ netwerk toelaat.
  • Beveiligd netwerk: Netwerksegment of netwerksegmenten waarbij toegang wordt gecontroleerd. Beveiligde netwerken worden soms ‘interne netwerken’ genoemd, maar RFC 2647 zegt dat de term niet toepasselijk is omdat firewalls zich meer en meer ontplooien binnen een organisatie, waar alle segmenten per definitie intern zijn.
  • Niet beveiligd netwerk: Een netwerksegment of netwerksegmenten waarbij toegang niet wordt gecontroleerd door een firewall.
  • Demilitarized zone (DMZ): Een netwerksegment of netwerksegmenten die tussen de beveiligde en niet beveiligde netwerken zitten. De DMZ mag geen verbinding maken met het beveiligde netwerk op welke manier dan ook.
    De DMZ mag ook een afweer systeem bevatten. Bijvoorbeeld, de DMZ kan gemaakt zijn om het erop te laten lijken dat het een onderdeel van het beveiligde netwerk is, om op deze manier hackers in de val te lokken en hun activiteiten vast te leggen om zo te proberen de bron te vinden.
  • Proxy: een aanvraag voor een verbinding bij een host. Een proxy zit tussen een beveiligd en niet beveiligd netwerk. Denk aan een quarantainegebied waar mensen binnen in zitten die een telefoon gebruiken om mensen buiten dat gebied te bellen. Het leidt alle externe verbindingen naar de proxy om deze te beëindigen in de proxy.

Dit beëindigt de IP routing tussen de netwerken effectief. De proxy zet de berichten in nieuwe pakketten die toegestaan zijn in het interne netwerk. De proxy stopt ook het interne verkeer dat richting het Internet gaat en pakt het in nieuwe pakketten met de bron IP adres van de proxy, niet de interne host. Het belangrijkste is dat de proxy het verkeer inspecteert en filtert. Een regel die van tevoren bepaald is, is welk verkeer doorgelaten moet worden en welk geblokkeerd moet worden.

Er zijn twee soorten proxies: application proxies en circuit proxies zoals kortweg omschreven.

  • Network address translation (NAT): een methode van archiveren die min of meer privé gereserveerd IP adres naar een meer openbaar IP adres verandert.

De NAT werd eerst beschreven als een methode om IPv4 adressen te behouden en te verwijzen naar een specifiek blok van IP adressen dat nooit herkent of door routers gezien zou worden op het Internet.

Het laat organisaties toe om hun eigen interne IP adressen schema te gebruiken. Een NAT systeem vertaalt tussen interne en externe adressen, en is meestal gecombineerd met proxy service. NAT systemen zijn toepassingen in firewalls om het privé adres schema zoals in de RFC 1918 te ondersteunen.

  • Application proxy: Een proxy service die gestart en gestopt wordt na aanleiding van een aanvraag van een client, in plaats van een statische proxy service (die altijd gestart is).

De toepassing proxy vervuld alle diensten van een proxy, maar voor specifieke toepassingen

Ter contrast, een basis proxy voert algemene pakketfiltering uit. De toepassing proxy verwerkt alleen pakketverwante toepassingen die het ondersteunt. Wanneer een code niet is geïnstalleerd voor een toepassing, worden de inkomende pakketten geweigerd. Pakketten worden alleen toegelaten als er een verbinding is gemaakt, bij die pakketten wordt gekeken of ze bevoegdheid hebben.

  • Circuit proxy: Een proxy die statisch bepaald welk verkeer door gelaten wordt.

De circuit proxy is een speciale functie uitgevoerd door application proxies, meestal om de proxyverbinding tussen interne gebruikers en externe hosts te ondersteunen.

De pakketten worden doorgestuurd zonder dat ze gefiltreerd wordt en omdat pakketjes van vertrouwde interne gebruikers afkomstig zijn, en op weg zijn naar het externe netwerk.

Hoe dan ook, pakketten die terug komen als reactie op deze pakketten worden volledig nagekeken door de proxy toepassing diensten.

  • Policy/beleid: Een bepaald document dat weet wat geaccepteerd moet worden in beveiligde, DMZ, en niet beveiligde netwerken.
  • Rule set: Alle regels over toegangscontrole, welk pakket wordt doorgestuurd en welk wordt geblokkeerd.
  • Toegelaten verkeer: pakketten die doorgegeven worden op grond van de regels. Illegaal verkeer » Pakketten die geblokkeerd worden ten gevolge van de regels. Geweigerd verkeer » Pakketten die geblokkeerd worden ten gevolge van de regels.
  • Authenticatie: Het proces van het verifiëren dat een gebruiker die een network-bron aanvraagt, is wie hij of zij claimt te zijn. De partij die geauthenticeerd wordt kan een computer zijn of een gebruiker, dus authenticatie kan o. a. plaats vinden op basis van IP-adres, TCP of UDP poortnummers, wachtwoorden, en andere vormen van identificatie, zoals bijvoorbeeld biometrische identificatie.
  • Security association: de reeks van beveiligingsinformatie verwant aan een gegeven netwerk verbinding of reeks van verbindingen. Deze omschrijving geeft de relatie aan tussen het beleid en de verbindingen. Associatie kan voorkomen tijdens het verbinding maken, en ze kunnen ook herhalen of verzakken tijdens een verbinding.
  • Pakket filtering: het proces van het controleren van de toegang door pakketten te onderzoeken gebaseerd op de inhoud van de headers. Header informatie, zoals IP adres of TCP poort nummer worden onderzocht om te kijken of deze doorgestuurd moeten worden, of zouden moeten worden geweigerd, gebaseerd op een aantal regels.
  • Stateful packet filtering: het proces van het doorlaten of blokkeren van ‘verkeerd gebaseerd’ op de ‘state table’ die wordt bijgehouden door de firewall. Wanneer stageful filtering wordt gebruikt, worden pakketjes alleen doorgestuurd als ze toebehoren aan een verbinding die al tot stand is gekomen en die wordt bijgehouden in de state table.
  • Logging: het vastleggen of een gebruiker verbinding heeft geprobeerd te maken met de firewall. Alle aanvragen worden op volgorde gelogd, zoals toegelaten, illegaal of geblokkeerd verkeer. Een inbraak-detectie-systeem houdt actief toezicht op de toegangspunten om hackers en hun aanvallen tegen te houden.
  • SOCKS is een circuit-level proxy firewall service die TCP/IP hosts van een veilig kanaal probeert te voorzien, typisch een web cliënt op een intern bedrijfs netwerk die zich met een buitenstaande web server wil verbinden (op het Internet, op het netwerk van een andere organisatie, of op een ander gedeelte van het intranet). SOCKS levert firewall services, zo ook doorlichting, management, fouttolerantie, en andere karaktereigenschappen. De meeste firewalls voeren authenticatie uit om de identiteit van de gebruiker of processen te verifiëren.
  • RADIUS wordt vaak gebruikt als authenticatie-service. Het is dezelfde authenticatie-service die wordt gebruikt bij netwerkverbindingen via de telefoon bij bedrijfsnetwerken en Internet-service-providers (ISP). Op basis van gebruikersnaam kan met specifieke gebruikers wel toelaten en anderen niet. Moderne firewalls ondersteunen ook VPN’s, die een veilige tunnel tussen een firewall en een gebruiker op afstand voorziet op het Internet.

De firewall authenticeerd de gebruiker, codeert alle data, en verzekert data-integriteit door het gebruik van digitale handtekeningtechnologie.