ICT in de Praktijk Bastiaan Bakker 20-12-2010

 

Over de beschermingsmuur rond het netwerk, de zogenoemde firewall, wordt bij de meeste organisaties niet echt meer nagedacht. Het is een standaard netwerkcomponent geworden. Een randvoorwaarde in de IT-infrastructuur. Toch staan de ontwikkelingen op het gebied van firewalls zeker niet stil. Application Aware Firewall (AAF) en Web Application Firewall (WAF) zijn inmiddels veelgehoorde termen. Gaat het hier om dezelfde wijn in nieuwe zakken? Gaat het over totaal verschillende dingen? En voegt het eigenlijk iets toe aan de bestaande IT infrastructuur? Een korte uitleg is wel op z’n plaats.

 

Het gebruiken van applicaties vanaf of via internet neemt hand over hand toe. Daarbij gaat het steeds vaker ook om bedrijfsapplicaties. De grenzen van het netwerk vervagen daardoor. Was een firewall voorheen een sterke muur de "organisatievesting” beschermde, vandaag de dag hebben we steeds meer te maken met telewerkers, extranetten en andere vormen van externe toegang. Daardoor zitten er tegenwoordig in de oude vertrouwde muur meer gaten dan in een Leerdammer kaas. Toch wil dat niet zeggen dat een firewall nutteloos is. Sterker nog, de rol wordt weliswaar anders, maar zeker niet kleiner.

 

Zowel de Web Application Firewall als de Application Aware Firewall voegen veel toe aan de traditionele vormen van firewalling. Het verschil tussen deze twee is groot en is terug te vinden in de toepassing.

 

De Web Application Firewall (WAF) is niet bedoeld als vervanger van de traditionele firewall, maar wordt ingezet om gepubliceerde webapplicaties te beschermen tegen aanvallen van buiten. In omgevingen zonder WAF wordt veelal een traditionele firewall ingezet in combinatie met een Intrusion Detection & Prevention (IDP)-oplossing om de webapplicatie te beschermen. Deze constructie voorziet niet in het monitoren (en eventueel blokkeren) van het verkeer op daadwerkelijke inhoud; hooguit op basis van afwijking van protocollen en herkenbare aanvallen.

 

De WAF voegt hier een dimensie aan toe. Alle verkeer naar en van de webapplicatie gaat door de WAF. De WAF kent de applicatie inhoudelijk. De WAF weet bijvoorbeeld wat de te verwachten input is in invoervelden binnen de webapplicatie. Op het moment dat afwijking van de policy wordt geconstateerd, grijpt de WAF in. Dit varieert van het sturen van een alarm tot het blokkeren van het verkeer.

 

De Application Aware Firewall (AAF) komt wel in plaats van de traditionele firewall en helpt de organisatie bij het technisch afdwingen van het internetbeleid. Er wordt binnen organisaties steeds vaker gebruik gemaakt van social media en andere online diensten. Gezien de maatschappelijke ontwikkelingen willen veel organisaties hier juist gebruik van maken, in plaats van dit zonder meer te blokkeren. Met een AAF kunnen mensen bijvoorbeeld toegang krijgen tot de webinterface van Gmail, terwijl het onmogelijk wordt gemaakt een attachment te verzenden. De AAF heeft inhoudelijke kennis van Gmail en hoe Gmail omgaat met (bijvoorbeeld) attachments. Zo is het mogelijk een policy te implementeren rondom webmail, maar bijvoorbeeld ook rondom LinkedIn, Twitter en andere populaire media, waarbij het beleid technisch wordt afgedwongen.

 

AAF kent ook veel raakvlakken en zelfs overlap met Data Leakage Prevention (DLP). Het is daarom goed om de keuze voor een Application Aware Firewall te combineren met het DLP-beleid.

 

De Web Application Firewall en de Application Aware Firewall zijn totaal verschillende oplossingen ieder met een eigen specifiek doel. De WAF wordt ingezet om (zelf-)gepubliceerde applicaties te beschermen, terwijl de AAF wordt toegepast om de beleidsregels rond social media en publieke webservices af te dwingen. Beide technologieën voegen veel toe aan de traditionele vormen van netwerkbeveiliging, omdat veel meer gestuurd kan worden op inhoud dan op platte verkeersstromen. Voor veel organisaties is dit een uitkomst.

 

Is deze technologie interessant voor u? Welke technologie moet u dan toepassen? Zijn beide voor uw organisatie noodzakelijk? Het beantwoorden van deze vragen begint zoals altijd bij beleid en classificatie. Leg vast wat de waarde van de te beschermen gegevens is (impactanalyse). Leg ook vast welk verkeer is toegestaan en wat niet. Op basis daarvan kan een overwogen keuze worden gemaakt. Afhankelijk van de impactanalyse kan worden vastgesteld welke beleidsregels technisch moeten worden afgedwongen. Vervolgens kan de juiste oplossing worden gekozen.