image

"Niet filteren uitgaand verkeer veelgemaakte fout" (Interview)

donderdag 4 oktober 2007, 12:40 door Redactie, 3 reacties

Dat netwerkbeveiliging bij bedrijven een belangrijke rol speelt is duidelijk, maar hoe zit het bij vendors. Welke ontwikkelingen zien zij, waar zetten zij op in en wat zouden volgens hen meer bedrijven moeten doen? Wij vroegen het Maarten Vink, internet engineer bij Interstroom.

Onlangs opperde Forrester dat traditionele netwerkbeveiliging zo goed als dood is. Hoe kijken jullie hier als vendor tegenaan, en houden jullie met deze nieuwe aanpak ook rekening?

Vink: We zien juist binnen het MKB-segment dat er steeds meer aandacht voor "traditionele" netwerkbeveiliging en gebruik van VPN-koppelingen komt. Bij de grotere bedrijven vindt een sterke consolidatie plaats, waarbij de nadruk meer komt te liggen op een goede en betrouwbare beveiliging van het centrale serverpark. Daar komen zaken als redundantie van servers, firewalls en internetverbinding steeds meer aan de orde. Met name op het laatste punt is binnen onze oplossingen de laatste tijd meer nadruk komen te liggen.

Verder geldt voor de meeste netwerken al dat de belangrijke gegevens en servers zich in een apart netwerksegment bevinden, en dat verkeer van de eigen gebruikers naar dit segment net zo goed of zelfs beter beveiligd en gemonitord wordt als verkeer van buitenaf. Een groot deel van de bedreigingen komt immers van binnenuit.

Netwerkbeveiliging is zeer complex. Kun je misschien wat praktisch inzichten / tips geven hoe bedrijven dit op kunnen pakken, of hoe jullie dit doen. Een doos alleen neerzetten is niet voldoende. Hoe breng je alles in kaart, zorg je ervoor dat je rulesets kloppen, dat alles gemonitord wordt, zeg maar de praktische implementatie en wat mensen over het hoofd kunnen zien.

Vink: GB-OS, het operating system van de GTA firewalls, bevat een aantal opties die hierbij helpen. De belangrijkste is een automatische controle van de verschillende configuratie-opties, waarbij veel voorkomende fouten visueel worden aangegeven volgens het "stoplicht-principe"; afhankelijk van het gevonden probleem verandert een deel van de configuratie van groen in oranje of rood.

Daarnaast worden alle onderdelen van de firewall waarbij dit relevant is automatisch van updates voorzien; dit geldt voor antivirus- en antispam regels, maar ook voor IPS/IDS rules. De gebruiker kan vantevoren aangeven wat voor systeem beveiligd wordt, bijvoorbeeld een webserver, en als hiervoor nieuwe IPS regels beschikbaar zijn worden deze automatisch gedownload en ingeschakeld.

Firewalls zijn allang niet meer bezig met alleen het stoppen van verkeer. Tegenwoordig is er ondersteuning voor anti-malware, VPNs, IPS/IDS. Het is eigenlijk een totaal oplossing die bedrijven neerzetten. Brengt dit niet het gevaar met zich mee dat als het device gehackt wordt of iets over het hoofd ziet, aanvallers vrij spel hebben. En een tweede punt, zijn losse oplossingen niet beter, zodat je zelf kunt kiezen welk product je binnen je netwerk wilt gebruiken?

Vink: We zien de toevoeging van extra mogelijkheden aan de firewall als een natuurlijke evolutie; aanvalspatronen veranderen, en firewalls moeten mee veranderen om deze te kunnen herkennen. Een goede netwerkbeveiliging moet tegenwoordig minimaal voorzien zijn van een IPS systeem, omdat veel aanvallen niet meer te voorkomen zijn zonder dit te gebruiken.

Of deze beveiliging wel of niet gecombineerd kan en moet worden in een apparaat hangt af van de wensen van de gebruiker. Een alles-in-een oplossing hoeft niet noodzakelijk onveiliger te zijn; er hoeft maar een apparaat beheerd te worden, waardoor makkelijker overzicht te krijgen is over de totale beveiliging, en benodigde updates eenvoudiger bijgehouden worden. Voor kleinere bedrijven zal een alles-in-een oplossing om die redenen in een betere beveiliging resulteren; bij grotere bedrijven kan een gelaagde netwerkbeveiliging beter zijn, mits er voldoende kennis is voor het beheer van deze oplossing.

Als vendor zit je natuurlijk dicht bij de "actie". Wat voor aanvalspatronen / verkeer nemen jullie de laatste tijd waar?

Vink: De belangrijkste aanvallen die we de afgelopen tijd hebben gezien waren wormen die gebruik maken van bekende beveiligingslekken, waar al updates beschikbaar voor zijn. De meeste van deze aanvallen worden snel door nieuwe IPS signatures ondervangen.

Daarnaast worden meer aanvallen gezien van malware die zich via instant messaging verspreidt; we adviseren bedrijven dan ook om instant messaging ofwel helemaal te blokkeren, ofwel in ieder geval file transfers niet toe te staan.

Het Jericho Forum roept al tijden dat we af moeten van de standaard firewall. Bedrijven zijn geen statische forten, werknemers werken overal en moeten overal toegang tot het netwerk hebben. Hoe kom je flexwerkers tegemoet, maar zorg je dat het netwerk niet open en bloot toegankelijk is. En kunnen "de-perimeterization" en firewalls wel samengaan.

Vink: Juist in omgevingen met meer flexwerkers zijn firewalls steeds belangrijker. In dergelijke omgevingen wordt veel gebruik gemaakt van VPN-koppelingen, waarbij naast de beveiliging op het werkstation van de gebruiker ook op het eindpunt van de VPN-koppeling via firewalling en IDS de beveiliging van de flexwerkers gemonitord wordt.

Regelmatig verschijnen er onderzoeken over bedrijven die hun beveiliging niet op orde hebben. Wat voor terugkerende problemen komen jullie vaak tegen?

Vink: De belangrijkste problemen zijn op te delen in twee categorie├źn, namelijk:

1) Bedrijven die denken dat beveiliging klaar is met eenmalige aanschaf. Net zoals bij werkstations en servers moet ook de netwerkbeveiliging regelmatig voorzien worden van updates, en moeten de beveiligingsregels die op de firewall zijn ingesteld regelmatig aangepast worden aan veranderingen in de gebruikte applicaties en het beleid van de organisatie.

2) Firewalls waarbij uitgaand verkeer zonder restricties is toegestaan.

In hoeverre speelt IPv6 een rol in het beveiligen van het netwerk?

Vink: Op dit moment zien we alleen interesse voor de implementatie van IPv6 bij grotere netwerken; binnen deze organisaties is over het algemeen voldoende kennis aanwezig om de beveiliging van zowel IPv4 als IPv6 goed in te richten. We verwachten dat het gebruik va IPv6 in het MKB-segment nog 2 a 3 jaar op zich zal laten wachten.

Veel beheerders zetten hun systeem of netwerk alleen voor bepaalde IP's openen, dat lijkt verstandig, maar hoe bescherm je je netwerk tegen IP spoofing?

Vink: Detectie van spoofing van interne IP-adressen wordt door vrijwel alle firewalls standaard al gedaan. Ook spoofing van externe adressen wordt steeds lastiger doordat veel providers hierop filteren. Het gevaar van spoofing wordt dus steeds kleiner, maar we adviseren nog steeds om in plaats van een lijst IP-adressen bij te houden gebruik te maken van een extra authenticatielaag. IP-adressen voor bijvoorbeeld remote beheer worden dan pas vrijgegeven nadat de betreffende gebruiker zich aanmeldt bij de firewall.

Wat zijn de drie belangrijkste zaken waar bedrijven rekening mee moeten houden bij het beveiligen van hun netwerk?

1) Goed documenteren van het gehanteerde (informatie-) beveiligingsbeleid, en de wijze waarop dit wordt toegepast.

2) Zorgen dat de implementatie van het beleid zo duidelijk mogelijk is; waar mogelijk moeten de configuraties van firewall en andere beveiligingsapparatuur zelfdocumenterend zijn

3) Zorgen dat er een goede procedure is voor het regelmatig installeren van benodigde beveiligingsupdates. Updates voor antivirus-software, operating systems, applicaties, maar ook andere apparatuur die vaak vergeten wordt zoals printers, routers, firewalls et cetera.

Vink: We zien op dit moment nog te vaak dat bedrijven zelf niet weten wat ze precies willen beveiligen, en waartegen het beveiligd moet worden. Ook zijn vele netwerkbeheerders onvoldoende op de hoogte van welke apparatuur zich op hun netwerk bevindt, en als dat wel zo is is in veel gevallen niet vastgelegd wie verantwoordelijk is voor het verzorgen van updates voor die apparatuur.

Reacties (3)
24-10-2007, 17:31 door [Account Verwijderd]
[Verwijderd]
25-10-2007, 12:27 door Anoniem
dus
afgezien van floppies kunnen bestanden niet van het netwerk
af. [/quote]
Jullie hebben geen printer?

- Rein
03-11-2007, 08:32 door Nomen Nescio
Ik heb een tip voor meneer Vink: schakel de computer gewoon niet meer
in. Wedden dat die aanvallen dan ook over zijn?

Kom op zeg! Die boeven moeten gestopt worden, niet de eerlijke
computergebruiker! Instant Messaging is voor mij een uitstekend
communicatiemiddel met een aantal mensen om mij heen. Maar ik zet het
niet open voor Jan en alleman.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.