Het basisidee achter de firewall is bekend: door bepaalde poorten af te sluiten moet het netwerk worden beveiligd tegen dreigingen van buitenaf. Het is een basisfunctie die met de opkomst van internet eind jaren 90 onmisbaar is geworden in de zakelijke omgeving.

Maar ondanks de verdiende sporen lijkt de firewall van nu allang niet meer op de varianten die zes of zeven jaar geleden de standaard waren. In de tussentijd is de beveiligingsbarrière flink veranderd. "Je kunt eigenlijk niet meer spreken van een firewall, maar van een security gateway", zegt consulent Marco Barkmeijer van security-integrator SecureLink. "De firewall is eigenlijk heel erg verouderd."

Voorheen kon de firewall alleen verkeer erin of eruit laten, en de term wordt daar nog steeds mee geassocieerd, zo meent Barkmeijer. En daar begint de schoen te wringen. "Firewalls werkten alleen op de derde laag van het OSI-model, de netwerklaag. Pakketten die langskomen, worden daar globaal bekeken en op basis daarvan doorgelaten of tegengehouden", zegt Barkmeijer. "Dat volstaat niet meer. Je ziet nu dat gebruikers zoeken naar iets dat werkt op meerdere lagen van het OSI-model, laag 3 tot en met laag 7. Bovendien moeten bijvoorbeeld versleutelde pakketten worden uitgepakt door de firewall, en niet zomaar door worden gelaten omdat de beveiligingssoftware het niet kan zien."

Niet meer centraal

Ronald Beekelaar, zelfstandig consulent en mede-auteur van Firewalls voor Dummies, wil niet zo ver gaan als Barkmeijer, maar onderkent dat firewalls als zodanig niet meer zo centraal staan als eerst. "Beveiliging wordt op een andere manier aangepakt, omdat de grootste dreiging sinds een paar jaar niet van het internet komt, maar van het netwerk zelf", zegt Beekelaar. "Medewerkers zijn mobieler, gebruiken laptops, nemen die mee naar huis en komen ermee op het bedrijfsnetwerk. Dat is funest voor de beveiliging. Sinds het Voor Dummies-boek is er daardoor een hoop verschoven."

Dat de firewall verandert heeft dan ook alles te maken met de manier waarop applicaties omgaan met het netwerk, zo zeggen Arthur van Vliet en Hans Doornbosch van een andere integrator, Pinewood. "Er zijn allemaal nieuwe protocollen uitgekomen die moeiteloos door de oude firewalls heen komen", zegt Van Vliet. Als voorbeeld noemt hij Poort 80, waar http doorheen komt en dus onmisbaar is voor de internetverbinding. Firewalls hielden vooral op die poort de wacht. "Maar als je poort 80 uitsluitend open of dicht zet, dan verzinnen leveranciers allerlei protocollen die met http vervoerd worden, zodat ze toch ongehinderd hun verkeer naar binnen of naar buiten kunnen krijgen."

Maar de mening van Barkmeijer dat de firewall als zodanig verouderd is, delen Van Vliet en Doornbosch niet. Zeker het onderscheid tussen 'firewall' en 'secure gateway' willen de twee niet maken. "De term next-gen gateway bestaat al een jaar of zeven, en meerdere leveranciers hebben een dergelijke term gebruikt", zegt Doornbosch. "Het is op zich niks nieuws. Je geeft er een nieuwe naam aan, en de marketingafdeling kan er weer even mee verder." Voorbeelden van zulke termen zijn Smart Defense (Check Point) en Deep Inspection (Juniper). "En om de zoveel tijd komt er een nieuwe term waarmee de marketingafdeling aan de slag kan", zegt Doornbosch.

Kasteel

"Je ziet wel weer dat de beveiliging steeds meer naar de client toe gaat, terwijl de oude modellen in stand blijven", vervolgt Doornbosch. "Vroeger was het een kasteel, met een ophaalbrug en twee bewakers, en de schatkist lag ergens in een van de binnenste kamers. Wie eenmaal voorbij de wachters kwam, kon bij het goud. Dat is in de nieuwe apparatuur vervangen door detectiepoortjes bij elke deur in het gebouw, terwijl de tassen van een bezoeker door een röntgenapparaat worden gehaald."

Technologieën op cliëntniveau, zoals NAC, zijn "het failliet voor de firewall" volgens Beekelaar. "Die gaan er immers al vanuit dat de firewall faalt", voegt Beekelaar daaraan toe. Maar dat wil volgens de consulent niet zeggen dat de firewall op den duur verdwijnt. "Die behoudt ten minste zijn functie om ruis eruit te filteren. Op cliëntniveau, persoonlijke firewalls als Windows firewall, blijven ze ook hun nut houden." Dat blijkt volgens Beekelaar ook wel uit de manier waarop grote spelers met de firewall omgaan. "Ja, het klopt dat de boel verschuift. Zelfs Microsoft heeft een tijd terug de term 'firewall' ingeruild voor gateway, en nog dit jaar komen ze met de Universal Access Gateway, UAG, en de Threat Management Gateway, TMG. De eerste is puur voor het internetverkeer, terwijl de tweede zich stort op outbound-SSL-verbindingen. Microsoft is daar zeker niet de eerste in, maar als zo'n partij ook meegaat, dan weet je dat het een trend is."

De rol van de firewall wordt volgens Beekelaar dus steeds kleiner, maar die rol verschuift wel naar domeinen waar de firewall nog steeds van groot nut kan zijn. In de toekomst, zo denkt Beekelaar, zullen firewalls meer de functie van tijdelijk slot krijgen. Vaak kunnen patches tegen bepaalde virus- of wormdreigingen niet direct worden toegepast, "maar leveranciers zouden tegelijk met die patch een policy voor de firewall kunnen meeleveren die wel vrijwel direct kan worden toegepast. Die houdt dan het verkeer tegen, tot de patch wel gewoon kan worden toegepast", zegt Beekelaar. "Het bestaat op zich al wel, maar ik kan me voorstellen dat dit meer aandacht gaat krijgen." Bron: Techworld