Hoe firewalls met protocollen omgaan

Als je het internet al langere tijd gebruikt heb je vast weleens van firewalls gehoord. Als je thuis een snelle internetverbinding hebt, heb je misschien ook wel een firewall voor je thuisnetwerk. Kleine thuisnetwerken ondervinden vaak  dezelfde beveiligingsproblemen als een grote bedrijfsnetwerken. Je kunt een firewall bovendien gebruiken om je thuis te beschermen tegen potentiële hackers.

Kortom, firewalls zijn een barrière om destructieve krachten weg te houden van onze IT omgeving. Dit artikel gaat dieper in op op firewalls, hoe ze werken en tegen welke soorten bedreigingen zij ons kunnen beschermen.

Hoe werkt Firewall-software?

Een firewall is gewoon een programma- of apparaat dat de informatie filtert voordat die via de internetverbinding binnenkomt. Als de firewall binnenkomende informatie als verdacht herkend, laat hij deze niet door.

Werking zonder firewalls

Een bedrijf met honderden medewerkers heeft ook honderden computers. Die zijn allemaal met elkaar en met internet verbonden. Zonder een firewall zijn al die honderden computers direct toegankelijk voor iedereen op internet. Iemand met enige IT kennis kan die computers via internet onderzoeken. Hij kan namelijk proberen om er FTP-verbindingen mee tot stand te brengen. Hij kan ook proberen telnet-verbindingen met hen te maken enzovoort. Als een medewerker een fout maakt en een gat in de beveiliging achterlaat, kunnen hackers de machine bereiken en het gat benutten.

Werking met firewalls

Met firewalls ziet de wereld er anders uit. We plaatsen een firewall bij iedere verbinding met internet. Op de firewall kunnen we beveiligingsregels implementeren. Een van de beveiligingsregels binnen het bedrijf kan zijn:

Van de 300 computers binnen dit bedrijf mag slechts één van hen een openbaar FTP-verkeer ontvangen. Sta FTP-verbindingen alleen toe voor die ene computer en blokkeer ze op alle andere.

We kunnen dergelijke regels instellen voor FTP-servers, webservers, Telnet-servers, enzovoort. Bovendien kunnen we bepalen hoe medewerkers verbinding maken met websites, of bestanden het bedrijf mogen verlaten via het netwerk enzovoort. Een firewall geeft ons enorme controle over hoe mensen het netwerk gebruiken.

Firewalls kennen drie methoden om het verkeer te beheren

Firewalls gebruiken een of meer van de drie methoden om verkeer binnen en buiten het netwerk te beheren:

• Proxyservice– Informatie van internet haalt de firewall op en vervolgens verzonden naar het aanvragende systeem en omgekeerd.
• Pakketfiltratie– Pakketten (kleine hoeveelheden data) worden geanalyseerd op basis van een reeks filters . Pakketten die de filters doorlopen, worden doorgelaten of worden weggegooid.
• Stateful inspection– Een nieuwere methode onderzoekt niet de de inhoud van ieder pakket. In plaats daarvan vergelijkt het belangrijke delen van het pakket met een database met vertrouwde informatie. Informatie die naar buiten reist, bewaakt de firewall op specifieke definiërende kenmerken. Vervolgens vergelijkt hij inkomende informatie met deze kenmerken. Als de vergelijking een redelijke overeenkomst oplevert, staat hij deze informatie toe. Anders gooit de firewall de informatie weg.

Installatie van firewalls

Sommige besturingssystemen worden geleverd met een ingebouwde firewall. Anders kunnen we een software-firewall installeren op de computer met een internetverbinding. Deze computer beschouwen we als een gateway omdat deze het enige toegangspunt is tussen het netwerk en internet.

Normaal gesproken is een hardware-firewall de internet gateway. Hardware-firewalls zijn ongelooflijk veilig en niet duur. Home-versies met een router , firewall en Ethernet-hub voor breedbandverbindingen zijn te vinden voor ver onder de 100 Euro.

Firewall-configuratie

Firewalls kunnen we aanpassen. Dit betekent dat we filters kunnen toevoegen of verwijderen op basis van verschillende voorwaarden. Sommige hiervan zijn:

IP-adressen – Elke machine op het internet heeft een uniek IP-adres. Als een bepaald IP-adres buiten het bedrijf bijvoorbeeld te veel bestanden van een server leest, kan de firewall al het verkeer naar of vanaf dat IP-adres blokkeren.

Domeinnamen – Omdat het moeilijk is om de reeks cijfers waaruit een IP-adres bestaat te onthouden en omdat IP-adressen soms wijzigen, hebben alle servers op internet ook leesbare namen, de zogenaamde domeinnamen. We  kunnen alle toegang tot bepaalde domeinnamen blokkeren of alleen toegang tot specifieke domeinnamen toestaan.

Poorten – Iedere server stelt zijn services beschikbaar via genummerde poorten, één voor iedere service die beschikbaar is op de server. Als een server bijvoorbeeld een web-server en een FTP-server gebruikt, is de webserver meestal beschikbaar op poort 80 en is de FTP-server beschikbaar op poort 21. We kunnen poort 21-toegang bijvoorbeeld blokkeren op alle machines behalve op één.

Specifieke woorden en zinsdelen – Dit kan van alles zijn. De firewall doorzoekt ieder pakket met informatie voor een exacte overeenkomst van de tekst die in het filter staat vermeld. We kunnen zoveel woorden, zinnen en variaties toevoegen als we nodig hebben.

Protocollen – Het protocol is de vooraf gedefinieerde manier waarop iemand die een service wil gebruiken, met die service praat. Die ‘iemand’ kan een persoon zijn, maar vaker is het een computerprogramma zoals een webbrowser. Protocollen zijn vaak tekst en beschrijven eenvoudig hoe de cliënt en de server hun gesprek voeren. Enkele veel voorkomende protocollen waarvoor we firewall-filters kunnen instellen zijn:

• IP(Internet Protocol) – het belangrijkste communicatie protocol voor informatie via internet.
• HTTP(Hyper Text Transfer Protocol) – gebruikt voor webpagina’s.
• FTP(File Transfer Protocol) – gebruikt om bestanden te downloaden en te uploaden.
• SMTP(Simple Mail Transport Protocol) – gebruikt om e-mail te verzenden.
• Telnet– gebruikt om opdrachten uit te voeren op een externe computer.
• TCP(Transmission Control Protocol) – gebruikt om informatie, die via internet reist, uit elkaar te halen en opnieuw samen te stellen.
• UDP(User Datagram Protocol) – gebruikt voor informatie die geen respons vereist, zoals streaming audio en video.
• ICMP(Internet Control Message Protocol) – gebruikt door een router om de informatie uit te wisselen met andere routers.
• SNMP(Simple Network Management Protocol) – gebruikt om systeeminformatie van een externe computer te verzamelen.

We kunnen één of twee machines opzetten om een ​​specifiek protocol af te handelen. Daarna kunnen we dat protocol op alle andere machines verbieden.

Kies voor firewalls als beveiliging

Er zijn veel creatieve manieren die gewetenloze hacker gebruiken om onbeschermde computers te openen en te misbruiken:

• SMTP session-kaping– SMTP is de meest gebruikte methode voor het verzenden van e-mail via internet. Door toegang te krijgen tot een lijst met e-mailadressen, kan iemand ongevraagde ongewenste e-mail verzenden naar duizenden gebruikers. Dit gebeurt vrij vaak door de e-mail om te leiden via de SMTP-server van een nietsvermoedende host. Daardoor is de daadwerkelijke afzender van de spam moeilijk te traceren.
• Inloggen op afstand– Iemand kan verbinding maken met onze computer en deze op een of andere manier bedienen. Dit kan variëren van het bekijken of openen van bestanden tot het daadwerkelijk draaien van programma’s.
• Denial of service – DDoS – Dit type aanval is bijna onmogelijk om tegen te gaan. Wat er gebeurt, is dat de hacker een verzoek naar de server stuurt om er verbinding mee te maken. De server reageert met een bevestiging en probeert een sessie tot stand te brengen. Hij kan het systeem dat de aanvraag heeft gedaan echter niet vinden. Door een server te overspoelen met deze onbeantwoordbare sessieverzoeken, zorgt een hacker ervoor dat de server steeds langzamer wordt en uiteindelijk crasht.
• E-mailbommen– Een e-mailbom is meestal een persoonlijke aanval. Iemand stuurt ons dezelfde e-mail honderden of duizenden keren totdat ons e-mailsysteem geen berichten meer kan accepteren.
• Virussen– Waarschijnlijk de meest bekende bedreiging zijn computervirussen. Een virus is een klein programma dat zichzelf naar andere computers kan kopiëren. Op deze manier kan het zich snel van het ene systeem naar het andere verspreiden. Virussen variëren van onschadelijke berichten tot de installatie van malware.
• Malware – Via allerlei slinkse wegen weten hackers stukjes software op je computer te installeren die intelligent en schadelijk zijn. Meestal is het software die hackers op afstand kunnen bedienen. Daarmee kunnen ze DDoS aanvallen uitvoeren en wachtwoorden achterhalen. Er is ook malware die er voor zorgt dat je computer onderdeel wordt van een botnet.
• Spam– Ongevaarlijk maar altijd irritant, spam is ongewenste e-mail. Spam kan echter gevaarlijk zijn. Vaak bevat het links naar websites. Wees voorzichtig met het klikken omdat je per ongeluk een cookie kunt accepteren die een achterdeur open zet.
• Backdoors van applicaties– Sommige programma’s hebben speciale functies die externe toegang mogelijk maken. Anderen bevatten fouten die een achterdeur of verborgen toegang bieden.
• Macro’s– Om ingewikkelde procedures te vereenvoudigen, kunnen we voor veel toepassingen een script maken met opdrachten die de toepassing kan uitvoeren. Zo’n script staat bekend als een macro. Hackers hebben hun eigen macro’s gemaakt die, afhankelijk van de toepassing, onze data kunnen vernietigen of onze computer kunnen laten crashen.
• Besturingssysteem bugs– Net als applicaties hebben sommige besturingssystemen backdoors. Anderen bieden externe toegang met onvoldoende beveiligingsopties of hebben bugs waar een ervaren hacker misbruik van kan maken.

Zwakheden van firewalls

Sommige zwakheden zijn moeilijk om te filteren met een firewall. Hoewel sommige firewalls virusbescherming bieden, is het aan te bevelen om op iedere computer antivirussoftware te installeren. Tevens zal er wat spam door je firewall blijven komen zolang je e-mail accepteert.

Discussieer mee op LinkedIn.