Ordinary Firewalls zijn niet genoeg, Layer 7 Firewalls worden hier
geadviseerd...
De stelling dat een firewall de applicatie laag niet kan beschermen is alleen
waar indien deze niet layer 7 aware is. Checkpoint A.I is een voorbeeld van
een firewall die dat wel is.

....dat zegt hij ook in zijn artikel....

.. maar dat schrijft de redactie niet in de samenvatting.
beetje jammer, ik vind de samenvattingen wel vaker nogal
misleidend.

(overigens ben ik het verder vrij hartgrondig eens met het
artikel: application-level firewalling is een must!)

sygate heeft Anti-Application Hijacking Protection.
zonealarm niet, je kunt het bijna geen firewall meer noemen met al dat extras
wat niets met een firewall te maken heeft.

Ach, firewalls zijn al jaren niet meer genoeg... wat een
nieuws zeg.. een firewall is geen oplossing, het is een
extra maatregel en moet *niet* gezien worden als een
primaire veiligheids voorziening. Bovendien is het een
betere oplossing voor het oorspronkelijke doel; seperaten
van segmenten.. controle op packets tussen twee subnetten

Firewalls zijn altijd een deeloplossing geweest, en zelfs nu
is het nog maar een heel klein gedeelte van een oplossing.
Of het nu level 7 firewalls zijn of level 3 filters. Waar
firewalls goed in zijn is het filteren van verkeer tussen
netwerksegmenten (wat de leveranciers ook beweren). Het
feit dat je ook gebruik kunt maken van een proxy op level 7
om nooit een direkt contact te hebben tussen het interne net
en de boze buitenwereld maakt de beveiliging van een heel
klein gedeelte van de level 7 protocolafhandeling beter.
Puur en alleen omdat een proxy meestal minder complex is dan
een volledige server (applicatie).

Het feit dat nu IPS (Intrusion Prevention Systems) een
nieuwe hype is doet daar niet veel aan af. Natuurlijk
kunnen deze beter filteren omdat ze dat doe nop een hogere
OSI laag en dus veel meer kunnen zien dan de lagere
protocollen van wat er nu werkelijk naar de applicatie
verstuurd wordt. Maar het werkelijke probleem wordt er
eigenlijk niet door opgelost. Het probleem dat veel (ik ben
ervan overtuigd de meeste!) (applicatie)programeurs (v/m)
absoluut geen idee hebben van het veilig coderen en
implementeren van een stuk functionaliteit!

Van alle verschillende manieren om een geautomatiseerd
systeem om zeep te helpen of binnen te dringen is minder dan
5% echt nieuw te noemen. Alle andere methoden zijn al
eerder gebruikt en worden telkens opnieuw (hopelijk) net
iets anders toegepast. Het is al eerder door iemand gezegd:
"Als we huizen zouden bouwen op de manier waarop we software
bouwen dan zou de eerste specht het einde van onze
civilisatie betekenen". Ik wil dit eigenlijk nog iets
aandikken. Ik zou werkelijk in de natuur gaan wonen op het
moment dat mensen huizen zouden bouwen op de manier waarop
wij nog steeds software ontwikkelen. Of zou de lezer wel
een huis durven betreden nadat het eerste prototype is
opgeleverd? :-)

Laten we eindelijk eens die oogkleppen afgooien en er voor
zorgen dat software engineers vanaf het begin af aan
stabiele, veilige en functionele software gaan bouwen. Dan
pas doen we werkelijk een stap in de richting van veilige
(business)applicaties.

Ciao,
Quux.

P.S. De auteur is zich ervan bewust dat hij bij het
schrijven van dit stukje een grote hoeveelheid grijstinten
heeft overgeslagen, maar dit heeft hij expres gedaan om de
boodschap eens duidelijk zonder vaagheden over te laten komen...

Inderdaad heeft Check Point nu ook eindelijk iets. Nadat de Raptor/Symantec
Enterprise Firewall dit al 8 jaar kan. Check Point is de Bose van de Security
industrie. Lang niet de beste producten en een geweldige marketing
afdeling.....