Must read

Een veilig netwerk door de ogen van Loek: Het toepassen van firewall policies

In deel 2 van de serie ‘een veilig netwerk in de ogen van Loek’ zoom ik in op het toepassen van firewall policies op netwerksegmenten. Ben jij nog niet bekend met netwerksegmenten? Lees dan eerst deel 1 van de serie die gaat over netwerksegmentatie en het belang ervan.

Zodra jouw netwerk gesegmenteerd is, is het belangrijk om firewalls te koppelen aan deze segmenten. Op deze firewall worden vervolgens de benodigde policies ingericht. In een policy bepaal je welk segment met welk ander segment en met welke poort mag verbinden. Zo kun je er bijvoorbeeld voor kiezen dat een bepaald segment geen toegang tot het internet mag hebben, omdat dit niet noodzakelijk is.  

Binnen policies kun je onderscheid maken tussen L3-L4 policies en L5-L7 policies. De getallen achter de L verwijzen naar lagen uit het OSI-model. In dit model zijn zeven lagen gedefinieerd die gezamenlijk dienen als referentiemodel. Binnen elke laag zijn richtlijnen vastgesteld, waaraan de communicatie binnen deze laag moet voldoen.

Deze lagen worden ook gebruikt op het gebied van firewall policies. Afhankelijk van de laag, wordt er een methodiek gebruikt om verkeer toe te staan of te blokkeren.

Classic Firewall Policies: L3-Network en L4-Transport

Het toepassen van firewall policies op laag 3 en laag 4 was lang de standaard en komt nog steeds veel voor. Op deze niveaus is het mogelijk om regels in te stellen op basis van IP-adres, protocollen en poorten.

Om een policy in te stellen op basis van IP-adres is het belangrijk om te weten hoe IP-adressen ingedeeld zijn. IP-adressen worden namelijk ingedeeld in verschillende klassen. Eén van deze klassen is de RFC (Request For Comments) 1918, welke de privé-adresruimte van IP-adressen beschrijft. De RFC1918 bevat 3 IP-reeksen:

  • 10.0.0.0 – 10.255.255.255 (10/8 prefix)
  • 172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
  • 192.168.0.0 – 192.168.255.255 (192.168/16 prefix)

Deze policies worden vaak in het Access-List (ACL) format toegepast, waarbij de volgorde of benaming per firewall vendor kan verschillen.

#PolicyProtocolSourcesSrc PortDestinationsDst PortCommentLoggingActions
  • # is het ID van de betreffende regel. Uitgangspunt is dat een ACL altijd van boven naar beneden doorlopen wordt.
  • Policy: ‘Allow’ of ‘Deny’
  • Protocol: TCP, UDP of ICMP
  • Sources: IPv4 of IPv6
  • Src Port: 1-65535
  • Destinations: IPv4 of IPv6
  • Dst Port: 1-65535
  • Comment: toelichting
  • Logging: dient er logging bijgehouden te worden van het betreffende verkeer? Kan bijvoorbeeld naar een buffer of een syslog server gestuurd worden
  • Actions: verplaats of verwijder de betreffende regel

Een configuratie kan er als volgt uitzien:

#PolicyProtocolSourcesSrc PortDestinationsDst PortCommentLoggingActions
1AllowTCP10.10.0/22Any10.20.0/2480,443ALLOW-DATA-VOICE-WEBSERVEREnabled
2AllowTCP10.10.0/22Any10.40.0/249100ALLOW-DATA-PRINTDisabled
3DenyAny10.10.0/22Any10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
AnyBLOCK-DATA-RFC1918Disabled
4AllowAny10.10.0/22AnyAnyAnyALLOW-DATA-INETEnabled
5DenyAny10.70.0/22Any10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
AnyBLOCK GUEST-RFC1918Disabled
6AllowAny10.70.0/22AnyAnyALLOW-GUEST-INETEnabled

Bovenstaande configuratie dwingt de volgende verkeersstromen af:

  1. Voor het verkeer afkomstig van het DATA segment met als bestemming het VOICE segment wordt enkel TCP 80 en 443 toegestaan.
  2. Het is mogelijk (ervan uitgaande dat standaard poorten gebruikt worden) om vanuit het DATA segment printopdrachten te sturen naar de printer in het PRINT segment.
  3. Verkeer afkomstig van het DATA segment met als bestemming Private Ranges wordt geblokkeerd.
  4. Verkeer afkomstig van het DATA segment met als bestemming het internet wordt wel toegelaten.
  5. Verkeer vanaf het GASTEN segment met als bestemming Private Ranges wordt geblokkeerd. (Als unmanaged devices verbinding maken met het gastennetwerk (bedraad en draadloos) ontstaan er risico’s, het is daarom nooit wenselijk om unmanaged devices meer rechten te geven op het netwerk dan internet connectivity).
  6. Deze laatste regel voorziet erin dat het gastennetwerk onbeperkt kan genieten van internetconnectiviteit. Als optimalisatie kan er ook voor gekozen worden om enkel udp/53 met enkel de geautoriseerde DNS server (BV. 208.67.220.220)  in combinatie met tcp/80 en tcp/443 open te stellen. Hiermee wordt het verkeer significant beperkt. Omdat applicaties echter vaak onderliggend gebruik maken van verschillende poorten en protocollen kunnen hier problemen in connectiviteit ontstaan. Dit is altijd een keuze die in overeenstemming met de klant gemaakt dient te worden en waarbij een risicoanalyse uitgevoerd dient te worden.

Next Gen Firewall Policies: L5-Session, L6-Presentation en L7-Application

Omdat het toepassen van firewall policies binnen laag 3 en 4 niet meer voldoende bleek, is het ook mogelijk geworden om deze toe te passen op de lagen 5 tot en met 7. Hierdoor is het mogelijk geworden om gebruik te maken van de zogenoemde next-gen features, welke ingedeeld kunnen worden in de volgende categorieën.

  • URL-filtering
  • Anti-Malware Protectie (AMP)
  • Intrusion Detection System (IDS) of Intrusion Prevention System (IPS)
URL filtering

Met URL-filtering is het mogelijk om op basis van de URL websites toe te staan of juist te blokkeren. Hiermee kun je medewerkers beschermen of beperken in mogelijkheden. Het is hierbij altijd van belang om de inrichting af te stemmen met het geldende bedrijfsreglement.

URL-filtering kan gedaan worden op basis van categorieën of op basis van losse URL’s. Zo kun je bijvoorbeeld de categorie ‘Shopping’ uitsluiten. Als je dit doet, worden de meeste webshops geblokkeerd.

Een uitdaging bij het gebruik van URL-filtering is dat 90% van de websites enkel geopend kan worden middels een https-verbinding. Een https-verbinding zorgt ervoor dat er een versleutelde verbinding wordt opgebouwd. Door deze versleuteling, kan de firewall deze standaard niet inzien, waardoor het niet mogelijk is om URL-filtering toe te passen.

Om dit verkeer toch te kunnen inspecteren en vervolgens de juiste policies te kunnen toepassen, is het noodzakelijk om inzicht te verkrijgen.

Dit kan onder andere door middel van SSL inspectie. Dit werkt als volgt: de firewall ontsleutelt het verkeer tussen cliënt en de firewall, inspecteert het verkeer en versleutelt het vervolgens weer tussen firewall en server.

Zo kun je door middel van SSL inspectie alsnog verkeer verder beperken. De bovengenoemde handelingen zijn echter erg intensief, waardoor de performance van de firewall op de proef gesteld kan worden.

In de meeste gevallen is het belangrijk om uitzonderingen te maken op de SSL inspectie. Dit kan in de volgende gevallen:

  • Unsupported Cipher Suite: dit is een sterke manier van versleuteling, waardoor het voor de firewall moeilijk of zelfs onmogelijk is om deze te ontsleutelen.
  • Financial: het is niet wenselijk banktransacties in te zien.

Waar URL-filtering voorheen werd ingericht op bestaande firewalls, zien we steeds vaker een verschuiving naar producten als Cisco Umbrella of Zscaler. Met deze oplossingen kun je URL-filtering ook toepassen buiten het bedrijfsnetwerk, wanneer iemand remote aan het werk is.

Anti-Malware Protectie (AMP)

Met Anti-Malware protectie kun je beperkingen opleggen aan het down- en uploadverkeer, waardoor het niet mogelijk is om bepaalde bestanden te down- of uploaden. Zo kun je bijvoorbeeld instellen dat bepaalde bestandstypen, zoals .exe, niet gedownload mogen worden of dat er geen .docx bestanden geupload kunnen worden.

Bestanden worden vergeleken op basis van een HASH. Met dit format kan een bestand relatief snel vergeleken worden met andere bestanden op basis van een database. Als er een overeenkomst is, kan er actie worden ondernomen.

Intrusion Detection System (IDS) of Intrusion Prevention System (IPS)

Met een Intrusion Detection System (IDS) monitor je het netwerk of de systemen op verdachte activiteiten en afwijkend gedrag. Zodra deze gedetecteerd worden, zal er een waarschuwing uitgaan en kan er actie ondernomen worden.

Een Intrusion Prevention System (IPS) doet eigenlijk hetzelfde als een IDS, met de aanvulling dat er bij een IPS ook daadwerkelijk policies zijn ingesteld, om automatisch verkeer te kunnen blokkeren zodra dit als afwijkend of verdacht wordt gezien.

Een firewall in de toekomst

De komende jaren zal de firewall in de basis nog altijd van belang zijn. Toch is er een verandering te zien. Doordat er veel meer thuis gewerkt wordt, heeft de controle van de firewall op het bedrijfsnetwerk niet meer altijd het gewenste effect.

We zien een verschuiving van de security controls vanuit het datacenter een centraal gemanaged systeem. Deze verschuiving zorgt ervoor dat er anders gekeken dient te worden naar het beveiligingslandschap. Wij verwachten dan ook dat de focus de komende jaren veel meer plaatsvindt op security controls vanuit de cloud (centraal gemanaged). Hierdoor zal er meer op basis van enddevices gecontroleerd worden, om zo zowel binnen het bedrijfsnetwerk als daarbuiten beveiligd te zijn én blijven. Een van de oplossingen die hierop inspeelt, is de Cisco Secure Client. In het vierde deel van deze serie zal ik daar verder op ingaan.

Wil jij meer weten over netwerksegmentatie of netwerk security in het algemeen? Ik help je graag. Neem contact op door een mail te sturen naar loek.canisius@tcc.eu.

Lees ook deze actualiteiten, must reads, publicaties en evenementen

Nieuws

AI-event ‘In De Cockpit’ op 26 september

Op donderdag 26 september vindt het AI-event 'In De Cockpit' plaats. Vier sessies belichten de mogelijkheden en impact van AI en de kracht van samenwerking, leiderschap en communicatie. Schrijf je in!
Nieuws

Bjorn Schmitz aangesteld als CINO

Op 2 juli jongstleden is Bjorn Schmitz gestart als Chief Innovation Officer bij TCC smart IT solutions. Met deze aanstelling markeren we het belang van innovatie binnen onze organisatie en de toekomst.
Nieuws

FAD automatisering sluit zich aan bij TCC smart IT solutions

Op 18 juni 2024 heeft FAD automatisering zich aangesloten bij TCC smart IT solutions. Een belangrijke stap om de kwaliteit van de dienstverlening te waarborgen en te optimaliseren. Het volledige FAD-team sluit zich aan bij TCC.
Must read

Verhoogde efficiëntie met de digitale werkplek van Workspace 365

Met de digitale werkplek van Workspace 365 werken jouw medewerkers efficiënter en productiever. Zo kun je wel 15 à 30 minuten per dag per medewerker besparen. Lees er alles over in de whitepaper.
Nieuws

TCC neemt JDS bedrijfsautomatisering over en versterkt positie in Zuid-Nederland

Op 2 januari 2024 heeft TCC smart IT solutions het Venrayse JDS bedrijfsautomatisering overgenomen. Met deze overname wordt ingezet op bedrijfsgroei en versterking van de positie in Zuid-Nederland.

Liever direct contact met één van onze medewerkers? Neem contact op ›

whitepaper

Verhoogde efficiëntie met de digitale werkplek van Workspace 365

Met Workspace 365 vereenvoudig je de digitale werkplek zodat jouw medewerkers 30 minuten per dag kunnen besparen. Meer weten? Lees de whitepaper!

    Mocht je de e-mail na aanvraag niet ontvangen, neem dan contact op.

    Deze website maakt gebruik van cookies.