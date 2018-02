Gebruik je je next-generation firewall (NGFW) optimaal? Waarschijnlijk niet, als we recent onderzoek van SafeBreach mogen geloven. De beveiligingsnieuwkomer - het bedrijf kwam van de grond in 2014 - is specialist in netwerksimulaties die een aanval imiteren om ze klanten te helpen gaten in de IT-beveiliging te detecteren.

Netwerkdetectie

Dit bedrijf zet sondes in op plekken in bedrijfsnetwerken om verbindingen te leggen tussen apparaten en netwerksegmenten op dezelfde manier als een aanvaller dat zou doen. Daarbij wordt een bibliotheek gebruikt van bekende aanvalsmethoden om zwakke plekken op te merken die mogelijk benut kunnen worden om voet aan de grond te krijgen.

Het interessante is dat SafeBreach onlangs enkele van de meest voorkomende issues van de testresultaten besprak. De resultaten laten zien dat we de zogenoemde next-generation firewalls niet optimaal benutten vanwege slechte configuraties, legacy-methodes en meer.

Fouten met NGFW's

Doorgaans hebben NGFW's een heleboel beveiligingstechnologieën als intrustion-detection en Deep Packet Inspection om SSL, HTTP en TLS te onderzoeken. Leveranciers van deze firewalls zijn bedrijven als Cisco, Palo Alto Networks, Fortinet, Check Point, McAfee, Sophos, Juniper Networks, Huawei, Barracuda Networks, WatchGuard, Sangfor, Hillstone, SonicWall, en meer.

Zo'n firewall bestudeert verkeer op basis van beveiligingspolicy's, gebruikers en applicaties en niet zozeer op poorten en protocollen, zoals bij vroegere firewalls. "Deze policy's zouden makkelijker te definiëren moeten zijn dan bij legacy-firewall", meldt het bedrijf. "Maar het gaat mis vanwege menselijke fouten. Daarnaast ontstaan er fouten als informatiebeveiligers auto-migratietools van leveranciers inzetten om hun bestaande firewall-policy's over te zetten."

Configuratiemissers

Eerst de menselijke fouten. Beveiliger Chris Webber van SafeBreach: "Veel gebruikers gaan de fout in door de defaults die de fabrikant aanlevert te gebruiken. Een NGFW kan als een Zwitsers legerzakmes in je infrastructuur zijn, maar als als de features niet juist zijn ingeschakeld, is het een gewoon zakmes en krijgen aanvallers toegang."

Migratiefouten ontstaan volgens hem vooral omdat de features en architecturen van legacy-firewalls kan verschillen en fabrikanten daar niet allemaal rekening mee kunnen houden. Daardoor heb je te maken met policy's die niet alles netjes opvangen en erger nog: de aanname dat de NGFW de migratie goed heeft uitgevoerd.

Hierna: Malafide verkeer is sinds 2017 voor het overgrote deel versleuteld, dus de NGFW moet hier rekening mee houden.