In deel 2 van de serie ‘een veilig netwerk in de ogen van Loek’ zoom ik in op het toepassen van firewall policies op netwerksegmenten. Ben jij nog niet bekend met netwerksegmenten? Lees dan eerst deel 1 van de serie die gaat over netwerksegmentatie en het belang ervan.
Zodra jouw netwerk gesegmenteerd is, is het belangrijk om firewalls te koppelen aan deze segmenten. Op deze firewall worden vervolgens de benodigde policies ingericht. In een policy bepaal je welk segment met welk ander segment en met welke poort mag verbinden. Zo kun je er bijvoorbeeld voor kiezen dat een bepaald segment geen toegang tot het internet mag hebben, omdat dit niet noodzakelijk is.
Binnen policies kun je onderscheid maken tussen L3-L4 policies en L5-L7 policies. De getallen achter de L verwijzen naar lagen uit het OSI-model. In dit model zijn zeven lagen gedefinieerd die gezamenlijk dienen als referentiemodel. Binnen elke laag zijn richtlijnen vastgesteld, waaraan de communicatie binnen deze laag moet voldoen.
Deze lagen worden ook gebruikt op het gebied van firewall policies. Afhankelijk van de laag, wordt er een methodiek gebruikt om verkeer toe te staan of te blokkeren.
Classic Firewall Policies: L3-Network en L4-Transport
Het toepassen van firewall policies op laag 3 en laag 4 was lang de standaard en komt nog steeds veel voor. Op deze niveaus is het mogelijk om regels in te stellen op basis van IP-adres, protocollen en poorten.
Om een policy in te stellen op basis van IP-adres is het belangrijk om te weten hoe IP-adressen ingedeeld zijn. IP-adressen worden namelijk ingedeeld in verschillende klassen. Eén van deze klassen is de RFC (Request For Comments) 1918, welke de privé-adresruimte van IP-adressen beschrijft. De RFC1918 bevat 3 IP-reeksen:
- 10.0.0.0 – 10.255.255.255 (10/8 prefix)
- 172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
- 192.168.0.0 – 192.168.255.255 (192.168/16 prefix)
Deze policies worden vaak in het Access-List (ACL) format toegepast, waarbij de volgorde of benaming per firewall vendor kan verschillen.
# | Policy | Protocol | Sources | Src Port | Destinations | Dst Port | Comment | Logging | Actions |
- # is het ID van de betreffende regel. Uitgangspunt is dat een ACL altijd van boven naar beneden doorlopen wordt.
- Policy: ‘Allow’ of ‘Deny’
- Protocol: TCP, UDP of ICMP
- Sources: IPv4 of IPv6
- Src Port: 1-65535
- Destinations: IPv4 of IPv6
- Dst Port: 1-65535
- Comment: toelichting
- Logging: dient er logging bijgehouden te worden van het betreffende verkeer? Kan bijvoorbeeld naar een buffer of een syslog server gestuurd worden
- Actions: verplaats of verwijder de betreffende regel
Een configuratie kan er als volgt uitzien:
# | Policy | Protocol | Sources | Src Port | Destinations | Dst Port | Comment | Logging | Actions |
1 | Allow | TCP | 10.10.0/22 | Any | 10.20.0/24 | 80,443 | ALLOW-DATA-VOICE-WEBSERVER | Enabled | |
2 | Allow | TCP | 10.10.0/22 | Any | 10.40.0/24 | 9100 | ALLOW-DATA-PRINT | Disabled | |
3 | Deny | Any | 10.10.0/22 | Any | 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 | Any | BLOCK-DATA-RFC1918 | Disabled | |
4 | Allow | Any | 10.10.0/22 | Any | Any | Any | ALLOW-DATA-INET | Enabled | |
5 | Deny | Any | 10.70.0/22 | Any | 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 | Any | BLOCK GUEST-RFC1918 | Disabled | |
6 | Allow | Any | 10.70.0/22 | Any | Any | ALLOW-GUEST-INET | Enabled |
Bovenstaande configuratie dwingt de volgende verkeersstromen af:
- Voor het verkeer afkomstig van het DATA segment met als bestemming het VOICE segment wordt enkel TCP 80 en 443 toegestaan.
- Het is mogelijk (ervan uitgaande dat standaard poorten gebruikt worden) om vanuit het DATA segment printopdrachten te sturen naar de printer in het PRINT segment.
- Verkeer afkomstig van het DATA segment met als bestemming Private Ranges wordt geblokkeerd.
- Verkeer afkomstig van het DATA segment met als bestemming het internet wordt wel toegelaten.
- Verkeer vanaf het GASTEN segment met als bestemming Private Ranges wordt geblokkeerd. (Als unmanaged devices verbinding maken met het gastennetwerk (bedraad en draadloos) ontstaan er risico’s, het is daarom nooit wenselijk om unmanaged devices meer rechten te geven op het netwerk dan internet connectivity).
- Deze laatste regel voorziet erin dat het gastennetwerk onbeperkt kan genieten van internetconnectiviteit. Als optimalisatie kan er ook voor gekozen worden om enkel udp/53 met enkel de geautoriseerde DNS server (BV. 208.67.220.220) in combinatie met tcp/80 en tcp/443 open te stellen. Hiermee wordt het verkeer significant beperkt. Omdat applicaties echter vaak onderliggend gebruik maken van verschillende poorten en protocollen kunnen hier problemen in connectiviteit ontstaan. Dit is altijd een keuze die in overeenstemming met de klant gemaakt dient te worden en waarbij een risicoanalyse uitgevoerd dient te worden.
Next Gen Firewall Policies: L5-Session, L6-Presentation en L7-Application
Omdat het toepassen van firewall policies binnen laag 3 en 4 niet meer voldoende bleek, is het ook mogelijk geworden om deze toe te passen op de lagen 5 tot en met 7. Hierdoor is het mogelijk geworden om gebruik te maken van de zogenoemde next-gen features, welke ingedeeld kunnen worden in de volgende categorieën.
- URL-filtering
- Anti-Malware Protectie (AMP)
- Intrusion Detection System (IDS) of Intrusion Prevention System (IPS)
URL filtering
Met URL-filtering is het mogelijk om op basis van de URL websites toe te staan of juist te blokkeren. Hiermee kun je medewerkers beschermen of beperken in mogelijkheden. Het is hierbij altijd van belang om de inrichting af te stemmen met het geldende bedrijfsreglement.
URL-filtering kan gedaan worden op basis van categorieën of op basis van losse URL’s. Zo kun je bijvoorbeeld de categorie ‘Shopping’ uitsluiten. Als je dit doet, worden de meeste webshops geblokkeerd.
Een uitdaging bij het gebruik van URL-filtering is dat 90% van de websites enkel geopend kan worden middels een https-verbinding. Een https-verbinding zorgt ervoor dat er een versleutelde verbinding wordt opgebouwd. Door deze versleuteling, kan de firewall deze standaard niet inzien, waardoor het niet mogelijk is om URL-filtering toe te passen.
Om dit verkeer toch te kunnen inspecteren en vervolgens de juiste policies te kunnen toepassen, is het noodzakelijk om inzicht te verkrijgen.
Dit kan onder andere door middel van SSL inspectie. Dit werkt als volgt: de firewall ontsleutelt het verkeer tussen cliënt en de firewall, inspecteert het verkeer en versleutelt het vervolgens weer tussen firewall en server.
Zo kun je door middel van SSL inspectie alsnog verkeer verder beperken. De bovengenoemde handelingen zijn echter erg intensief, waardoor de performance van de firewall op de proef gesteld kan worden.
In de meeste gevallen is het belangrijk om uitzonderingen te maken op de SSL inspectie. Dit kan in de volgende gevallen:
- Unsupported Cipher Suite: dit is een sterke manier van versleuteling, waardoor het voor de firewall moeilijk of zelfs onmogelijk is om deze te ontsleutelen.
- Financial: het is niet wenselijk banktransacties in te zien.
Waar URL-filtering voorheen werd ingericht op bestaande firewalls, zien we steeds vaker een verschuiving naar producten als Cisco Umbrella of Zscaler. Met deze oplossingen kun je URL-filtering ook toepassen buiten het bedrijfsnetwerk, wanneer iemand remote aan het werk is.
Anti-Malware Protectie (AMP)
Met Anti-Malware protectie kun je beperkingen opleggen aan het down- en uploadverkeer, waardoor het niet mogelijk is om bepaalde bestanden te down- of uploaden. Zo kun je bijvoorbeeld instellen dat bepaalde bestandstypen, zoals .exe, niet gedownload mogen worden of dat er geen .docx bestanden geupload kunnen worden.
Bestanden worden vergeleken op basis van een HASH. Met dit format kan een bestand relatief snel vergeleken worden met andere bestanden op basis van een database. Als er een overeenkomst is, kan er actie worden ondernomen.
Intrusion Detection System (IDS) of Intrusion Prevention System (IPS)
Met een Intrusion Detection System (IDS) monitor je het netwerk of de systemen op verdachte activiteiten en afwijkend gedrag. Zodra deze gedetecteerd worden, zal er een waarschuwing uitgaan en kan er actie ondernomen worden.
Een Intrusion Prevention System (IPS) doet eigenlijk hetzelfde als een IDS, met de aanvulling dat er bij een IPS ook daadwerkelijk policies zijn ingesteld, om automatisch verkeer te kunnen blokkeren zodra dit als afwijkend of verdacht wordt gezien.
Een firewall in de toekomst
De komende jaren zal de firewall in de basis nog altijd van belang zijn. Toch is er een verandering te zien. Doordat er veel meer thuis gewerkt wordt, heeft de controle van de firewall op het bedrijfsnetwerk niet meer altijd het gewenste effect.
We zien een verschuiving van de security controls vanuit het datacenter een centraal gemanaged systeem. Deze verschuiving zorgt ervoor dat er anders gekeken dient te worden naar het beveiligingslandschap. Wij verwachten dan ook dat de focus de komende jaren veel meer plaatsvindt op security controls vanuit de cloud (centraal gemanaged). Hierdoor zal er meer op basis van enddevices gecontroleerd worden, om zo zowel binnen het bedrijfsnetwerk als daarbuiten beveiligd te zijn én blijven. Een van de oplossingen die hierop inspeelt, is de Cisco Secure Client. In het vierde deel van deze serie zal ik daar verder op ingaan.
Wil jij meer weten over netwerksegmentatie of netwerk security in het algemeen? Ik help je graag. Neem contact op door een mail te sturen naar loek.canisius@tcc.eu.