- 24-04-24Status.bit.nl in nieuw jasje!
- 12-04-24Nieuw bij BIT: GPU hosting
- 25-03-24BIT breidt netwerkconnectiviteit uit met aansluiting op NL-ix^2
- 13-03-24No More Leaks: Samenwerken tegen cybercriminaliteit
- 03-03-24Geen verandering twee jaar na invoering sancties tegen Russische media: FOIC roept (wederom) op tot einde van ondemocratische censuur
- 29-01-24Onzichtbare upgrades
- 16-01-24BIT's Wido Potters wint Felipe Rodriquez Award voor inzet voor privacy
- 10-01-24BIT en partners zetten de koers voor een gedecentraliseerde Europese cloud met ECOFED-project
- 02-01-24Onze eigen stroom inkopen: de resultaten van 2023
- 24-11-23BIT Friday 2023
Tot ziens oude firewalls. Welkom Next-Generation Firewalls!
12-09-2019 12:55:42
Om ons netwerk te beschermen tegen onbevoegden en misbruik van buitenaf te voorkomen maken we gebruik van firewalls. Hiermee reguleren we het verkeer op ons netwerk en wordt er bepaald of verkeer wordt toegestaan of geblokkeerd. Omdat er meer capaciteit nodig was en we ook van meer functionaliteiten gebruik wilden maken, werd er gekeken naar twee nieuwe firewalls. Tijdens mijn afstudeeropdracht bij BIT heb ik onderzoek gedaan naar het aanbod in verschillende firewalls. Naast meer capaciteit en meer functionaliteiten stond ook uitbreiding van de firewalldiensten centraal in dit onderzoek.
Inventarisatie van eisen en wensen
Voorafgaand aan mijn onderzoek heb ik geïnventariseerd wat de eisen en wensen waren voor de nieuwe firewalls. Aan de hand van de MoSCoW-methode heb ik de eisen van dit project ingedeeld. De MoSCoW-methode is een wijze van prioriteiten stellen binnen o.a. productontwikkeling. Hierbij wordt een project als ‘gefaald’ gezien als niet alle ‘must-have’ eisen in het eindproduct terugkomen. Hieronder volgt een korte lijst van een aantal eisen en wensen die voor ons belangrijk zijn:
- High availability met stateful failover (redundantie);
- Redundante voeding (4 voedingen over 2 firewalls);
- Volledige IPv6 ondersteuning;
- Multitenancy (het beschikken over virtuele, gescheiden firewalls voor bijvoorbeeld klantomgevingen);
- Minimaal 50.000 nieuwe sessies per seconde kunnen opzetten;
- Next Generation Firewall (NGFW) functionaliteiten (voor het beveiligen van de bovengenoemde klantomgevingen);
- Reporting.
Functionaliteiten Next Generation Firewalls
Tegenwoordig zijn firewalls verder ontwikkeld en doen ze meer dan alleen de eenvoudige pakketfiltering en stateful inspection. NGFW’s worden voornamelijk ingezet om nieuwe bedreigingen te blokkeren. Denk daarbij aan bijvoorbeeld geavanceerde malware of aanvallen op de applicatielaag. Ook voor BIT was dit een vereiste om te kiezen voor een nieuwe generatie firewall. Hierbij vonden wij het belangrijk dat de firewalls over een aantal belangrijke functionaliteiten zou beschikken, die we in deze paragraaf verder toelichten.
Het is natuurlijk vanzelfsprekend dat een firewall moet beschikken over standaard functionaliteiten. Hiermee bedoel ik dat er sessies worden bijgehouden en verkeer wordt gereguleerd op basis van policies. Daarnaast moet er traffic shaping (ook wel packet shaping genoemd) kunnen plaatsvinden. Hiermee wordt de hoeveelheid data die verstuurd en ontvangen wordt door een netwerkkaart bedoeld. Op die manier is het mogelijk om per interface, per IP of per applicatie de maximaal toegestane bandbreedte te configureren.
Anti-malware is ook een functionaliteit die binnen het NGFW-portfolio valt. Aan de hand van deze techniek is het mogelijk om malware te blokkeren voordat dit het netwerk binnendringt. Andere functionaliteiten van de NGFW zijn Application Control en het Intrustion Prevention System (IPS). Met Application Control wordt het voor de organisatie mogelijk om invloed uit te oefenen over de applicaties die gebruikt worden. Het is hiermee mogelijk om bijvoorbeeld social media in zijn geheel te blokkeren voor één of meerdere gebruikers.
Het IPS is een functie die dreigingen op het netwerk probeert te detecteren en te blokkeren. De techniek die hiervoor gebruikt wordt is Deep Packet Inspection (DPI). DPI inspecteert ethernetpakketten en maakt hier een analyse van. Aan de hand van deze analyse wordt bepaald of het pakket relevant is. De relevantie wordt bepaald middels twee methoden; het vergelijken met zogeheten signatures en het uitvoeren van een heuristische analyse (ook wel anomalie detectie genoemd). Zodra een signature wordt herkend zal de IPS overgaan op actie, wat meestal betekent dat de pakketten in quarantaine worden geplaatst of volledig geblokkeerd worden. Middels heuristische analyse zal de IPS zelf gaan bepalen wat schadelijk verkeer is. Hiervoor moet het systeem gaan leren. Dit levert initieel veel false-positives op en vergt veel werk van de administrator om een goed werkend systeem te krijgen.
Een andere functionaliteit van de NGFW is het zogeheten Geoblocking. Geoblocking geeft bedrijven de mogelijkheid om per land verkeer te blokkeren of juist toe te staan. De laatste functie die ik wil toelichten is het Virtual Private Network (VPN). Met deze VPN-technologie wordt er een veilige communicatie tussen verschillende netwerken en hosts garandeert. Firewalls maken hierbij gebruik van zogenaamde site-to-site IPSec tunnels.
Fortinet firewalls als beste optie
Om te bepalen welke firewall het beste bij BIT zou passen zijn de eisen en wensen uiteengezet in een zogenaamde pakketselectie. De eisen zijn op de longlist geplaatst, modellen die hieraan niet voldeden vielen direct af. Vervolgens zijn de wensen op de shortlist geplaatst en is hierop een puntentelling toegepast. Het model met de meeste punten sluit het beste aan bij de eisen en wensen van BIT.
Hiervoor zijn er 13 merken met elkaar vergeleken waaronder firewalls van merken als Palo Alto, Fortinet en Checkpoint. Van die merken zijn er in totaal 41 modellen met elkaar vergeleken. De NGFW van Fortinet kwam hierbij als beste optie naar voren. Met Fortinet is vervolgens een Proof of Concept uitgevoerd om de uitkomsten van het onderzoek te verifiëren. Van het type Fortinet 500E zijn er twee besteld; één voor datacenter BIT-1 en één voor BIT-2A. Deze twee firewalls zijn geografisch van elkaar gescheiden en in een redundante opstelling geplaatst. Dit wil zeggen dat, zodra er een firewall wegvalt de andere het direct overneemt.
Inmiddels zijn de Fortinet firewalls in gebruik genomen en draaien onze UMTS-diensten en een aantal DMZ VLAN’s hierop. De volgende stap is om ook andere zaken (zoals o.a. Office) te migreren.
Fysieke en virtuele firewalls (FWaaS)
BIT heeft op dit moment de mogelijkheid om verschillende soorten en typen firewalls te leveren, configureren en beheren. Dit kunnen zowel fysieke firewalls zijn als virtuele firewalls, zoals pfSense.
Het is ook mogelijk om firewalls als dienst af te nemen. Deze Firewall as a Service (FWaaS) is een virtuele oplossing voor de beveiliging, filtering en scheiding van verkeer binnen jouw serveromgeving. Een groot voordeel hiervan is dat er geen investering in hardware nodig is. BIT kan dit leveren middels de Fortinet firewalls.
De Fortinet 500E firewall biedt klanten de mogelijkheid om te beschikken over hun eigen Virtual Domains (VDOM's). Deze VDOM's hebben als optie om een onafhankelijke rulebase te configureren, VPN-verbindingen op te zetten en inzicht te geven in actieve sessies.
Meer weten?
Wil je meer weten over onze nieuwe firewalls? Neem dan vrijblijvend contact met ons op via info@bit.nl of 0318 648 688.
Door: Tim Lambers