We begeven ons dagelijks op computernetwerken, van ons online thuisnetwerk tot de grote computernetwerken van kantoren en scholen. Aangezien er grote stromen met verschillende soorten data kriskras door het netwerk gaan, is het belangrijk dat we ervoor zorgen dat al deze informatie goed beveiligd is. Daarmee willen we ons beschermen tegen de effecten van malware, hackers en dergelijke en de privacy van de gebruikers van deze computernetwerken waarborgen.

Hackers
Een netwerk kan om meerdere redenen onderwerp van interesse worden voor hackers en andere malafide personen. Wanneer een hacker een gewone pc kraakt kan de hacker de data misbruiken. Ook kan hij de hardware gebruiken om iets op te slaan of om vandaar het volgende systeem te hacken. Bij een netwerk is dit hetzelfde, echter op veel grotere schaal. Wanneer de beschikbare data misbruikt wordt, kan dit veel meer geld opleveren. En wanneer een hacker de hardware van een heel netwerk in handen heeft gekregen, kan bijvoorbeeld de dataopslag van een netwerk gebruikt worden om grote hoeveelheden illegale data op te slaan. Daarnaast kan de rekenkracht misbruikt worden om een aanval op een ander netwerk uit te voeren, denk bijvoorbeeld aan een DDoS-aanval. Hackers kunnen niet alleen zorgen voor een grote schadepost wanneer ze verschillende soorten malware loslaten op ons netwerk, maar wanneer er data verloren gaat, of openbaar wordt, kan dit een nog veel grotere schadenpost betekenen.

Een hacker gaat stapsgewijs te werk. In het kort de vier stappen op een rij:

  • doelwit verkennen,
  • scannen van doelwit,
  • toegang verkrijgen,
  • toegang behouden.

Firewall
Een firewall schermt twee netwerken of systemen van elkaar af. Een firewall beschermt een netwerk voor ongewenst verkeer vanuit de buitenwereld. Op deze manier krijgt ongewenst verkeer uit de buitenwereld geen toegang tot het netwerk en gewenst verkeer wel. Maar een firewall beschermt ook tegen van binnen naar buiten gaan van ongewenst verkeer, denk bijvoorbeeld aan een Trojan die verbinding zoekt met de aanvaller.

Een firewall kan op twee (OSI-) lagen werken, te weten laag 3, de netwerklaag en laag 7, de applicatielaag.

Firewall filters
Een firewall kan op meerdere manieren filters toepassen. We bespreken elk van de manieren.

Packet filtering firewall
Een packet filtering firewall werkt op laag 3, de netwerklaag. Deze firewall kijkt op de netwerklaag naar de pakketjes die voorbijkomen en aan de hand van filters mag een pakketje wel of niet door.

Wanneer we naar het stappenplan van een hacker kijken, zijn er stappen waar we meer en waar we minder aan kunnen doen. Stap 1, doelwit verkennen, is een stap die voornamelijk door het gebruik van open bronnen wordt gekenmerkt. Hoewel we wel enige invloed hebben op wat er in openbare bronnen voor informatie beschikbaar is, is deze invloed beperkt. Op stap 2 en 3, respectievelijk scannen van doelwit en toegang verkrijgen, hebben we wel veel invloed.

Wanneer de hacker tijdens het scannen van het netwerk plaatjes vestuurt, hoopt hij dat het antwoord dat terugkomt meer informatie verschaft over de hardware en software die er bij het doelwit gebruikt wordt. Een goede packet filtering firewall geeft zo min mogelijk informatie weg.

Met een packet filtering firewall kunnen we instellen welke poorten er open staan, vanaf welke IP-adressen er verbinding met het netwerk gemaakt mag worden, op welke tijden er verbinding gemaakt mag worden en nog vele andere opties.

Applicatielaag firewall
Een applicatielaag firewall, ook wel een application layer firewall, werkt op laag 7, de applicatielaag. Voor elke applicatie wordt gekeken of deze verbinding mag maken. Zo kunnen bijvoorbeeld ook virussen aan de poort tegen worden gehouden.

Wanneer we in onze packet filtering firewall instellen dat een standaard peer to peer (P2P) poort dicht zit, kunnen we niet voorkomen dat de P2P-software over een andere poort gebruikt wordt. Een applicatielaag firewall is echter in staat de P2P-software uberhaupt geen toegang te verlenen.

De beste firewall is natuurlijk een combinatie. Wanneer we zorgen dat we met packet filtering 99% van de poorten dichtgooien, kunnen we het overige verkeer dat over de openstaande poort gaat, filteren met een applicatielaag firewall.

Statefull firewall
Een statefull firewall is een firewall die aan statefull packet inspection doet. Met andere woorden: het is een firewall die de status van een netwerkpakketje bijhoudt. Een statefull firewall kan bijhouden of de pakketjes die door de firewall heen gaan een legitieme inhoud hebben. Statefull packet inspection ziet erop toe dat de juiste stappen in het opzetten van een verbinding worden genomen. Dit voorkomt dat hackers een verbinding opzetten met niet-standaardpakketjes.

Firewallproducten
Er zijn meerdere firewallproducten beschikbaar. Eerst bespreken we twee softwarematige firewalls en vervolgens wat een hardewarematige firewall is. Twee populaire softwarematige producten voor bedrijven zijn Iptables en Microsoft Internet Security and Acceleration Server.

Iptables
Strikt genomen is Iptables de tool waarmee in Linux het raamwerk netfilter beheerd wordt. Maar meestal bedoelt men met Iptables het geheel waarmee binnen Linux een firewall ingericht en beheerd kan worden. Er zijn verschillende manieren en tools waarmee Iptables geconfigureerd kan worden tot een zeer gedegen statefull firewall.

Microsoft Internet Security and Acceleration Server
Dit is een ISA-server. ISA-server is in de eerste plaats een firewall. Echter, naast de standwaard firewall functies kunnen we met ISA-server ook VPN-verbindingen opzetten, FTP- en webmailsessies integreren met de Active Directory, en nog veel meer.

Hardware firewall
Tot slot is het ook mogelijk om een hardewarematige firewall te gebruiken. Hoewel deze meestal een stuk prijziger zijn dan een softwarematige firewall, is de veiligheid van een hardwarematige firewall meestal beter. De hardwarematige firewall wordt vaak bij grote netwerken gebruikt.

Intrustion Detection System
Een geavanceerd product dat naast een firewall kan staan is een Intrustion Detection System (IDS). Waar een firewall alleen pakketjes blokt of toelaat, is een IDS in staat een aanval waar te nemen. Een IDS is eigenlijk een alarmsysteem.

Intrustion Prevention System
Sommigen beschouwen een Intrustion Prevention System (IPS) als een geavanceerde versie van een IDS, en weer anderen beschouwen een IPS als een opzichzelfstaande techniek. Waar iedereen het over eens is, is dat een IPS erg handig is. Een IPS is in staat een aanval te detecteren en vervolgens actie te ondernemen, door bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten.

False positives
Een term die we vaak binnen de IT-security tegenkomen is false positives, oftewel valste positieven. Met andere woorden: een valse detectie van een aanval of malware. Dit kan bijvoorbeeld een e-mail zijn die tegengehouden is doordat het computersysteem dacht dat het een spam mail was, terwijl het een legitieme e-mail was. De kritiek op IDS/IPS-systemen is dat er vaak vele false positives zijn, oftewel: vaakt denkt een IDS/IPS ten onrechte dat hij aangevallen wordt. Het is dus zaak een IDS/IPS goed te configureren zodat het aantal false positives zo laag mogelijk is.

Honeypot
Een honeypot is een computersysteem of zelfs een netwerk van systemen dat als een val voor de hacker werkt. De honeypot kan zich voordoen als een computersysteem dat makkelijk te kraken is. Wanneer de honeypot echter volledig afgeschermd is, komt de hacker bedrogen uit. De honeypot kan ervoor zorgen dat de hacker zijn tijd verdoet aan een onbelangrijk systeem. Door vervalste informatie hier te plaatsen, kan een hacker met allerlei gegevens om de tuin worden worden geleid. Maar een honeypot kan de beveiliger ook informatie verschaffen over de hacker, zodat er gepaste actie ondernomen kan worden.

Een andere toepassing van een honeypot is het tegengaan van spam. Er wordt een aantal nepadressen op een website gepubliceerd. Deze nepadressen dienen alleen om de spammer te identificeren. Er wordt nauwkeurig bijgehouden vanaf welke IP-adressen de e-mailadressen bekeken worden. Wanneer deze nepadressen e-mail ontvangen, weten we zeker dat al deze e-mail spam is. Vervolgens kunnen de servers die de spam verzonden hebben aangemerkt worden als spamverstuurders.
Er zijn wel juridische bedenkingen bij het gebruik van een honeypot, omdat het inzetten ervan op het randje zit van verdediging en uitlokking.

Unified threat management
De term unified threat management (UTM), oftewel verenigd bedreigingsmanagement, wordt gebruikt voor firewallproducten die tevens allerlei soorten oplossingen voor andere bedreigingen in zich verenigen. Een UTM bevat onder andere een firewall, een IDS/IPS, een proxyserver, een webfilter, een virusscanner en een spamfilter. Zo'n totaaloplossing lijkt alle problemen ineens op te lossen, echter de prijs is meestal erg fors, en wanneer de UTM het niet doet is alle beveiliging weg. Het is dus een duur en kwetsbaar systeem.

2
Word fan
Delen
Ongewenst

Laat een reactie achter

+0 -0- x

DRIMPELS schreef op 21 Feb 2012 om 20:49

DRIMPELS. Pork geeft de DUIM.

Reageren?

Registreer of log in om te reageren op een artikel.
Dit artikel bevat:
Toelichting: