Jericho 2.0

Deperimeterisatie: een firewall met gaten.

Volgens het Oude testament werd stad Jericho belegerd door de Israëlieten. De stad had een robuuste stadsmuur die niet zomaar beslecht kon worden. Rond de muren van de stad werd zes dagen lang, eenmaal per dag, een ronde gelopen door de belegeraars, al blazend op de sjofar (ramshoorn). Op de zevende dag liepen de belegeraars zevenmaal rond de stad. De muren stortten in en de belegeraars kwamen probleemloos in de stad.

Vanaf de jaren ’90 werden bedrijfsnetwerken die met het internet werden verbonden, beveiligd met een firewall. Het bedrijfsnetwerk was een veilige en vertrouwde zone die door een elektronische stadsmuur werd beschermd tegen het grote boze internet. Zo’n vertrouwde zone wordt een perimeter genoemd. Ik heb dit in 2001 beschreven in een tijdschriftartikel dat ook op deze site te vinden is.

perimeter om kantoornetwerk en rekencentrum

Tot 1990: Afgesloten netwerk, geen internet

Het principe van beveiligen door het instellen van perimeters is erg handig. Je hoeft je dan niet meer druk te maken over de beveiliging van de afzonderlijke systemen, maar je kunt alles regelen in de firewall. Deze wijze van beveiligen is effectief zolang er weinig behoefte is aan interacties tussen systemen die in verschillende perimeters staan.

perimeter om kantoor- en rekencentrumnetwerk, met eigen website en verbindingen met het Internet

Jaren ’90: Perimeterbescherming

De tijd heeft intussen niet stilgestaan. Bedrijven bieden hun diensten aan via het Internet of nemen diensten af via het Internet. Medewerkers werken op uiteenlopende locaties en gebruiken laptops, tablets en smartphones om gegevens met het bedrijfsnetwerk uit te wisselen. Ook binnen het bedrijfsnetwerk is de gegevensuitwisseling tussen de verschillende bedrijfsonderdelen gevarieerder en intensiever geworden. Het gevolg is dat de firewall die het verkeer tussen perimeters zo veel mogelijk moest beperken, steeds meer moet gaan doorlaten.

Perimeter rond kantoor- en rekencentriumnetwerk wordt op veel plaatsen doorbroken

21e eeuw: Toenemende deperimeterisatie

Beveiliging en functionaliteit gaan elkaar tegenwerken. Extra functionaliteit is een directe bedreiging van de beveiliging en een adequate beveiliging gaat weer ten koste van functionaliteit. De beveiliging wordt daardoor minder effectief en je kunt er niet meer van uit gaan dat het interne netwerk gesloten en veilig is.

Dit afbrokkelen van den beveiliging van de perimeter vertoont gelijkenis met het spontaan ineenstorten van de muren van Jericho. Dit fenomeen, dat aangeduid wordt als ‘deperimeterisation’, vraagt om een aangepaste visie op informatiebeveiliging. The Open Group, een Internationaal consortium dat zich richt op het ontwikkelen en beheren van open IT-standaarden, heeft dit al vroeg onderkend en tien jaar geleden een denktank opgericht met de naam Jericho Forum.

Het Jericho Forum, inmiddels Jericho Work Group, heeft een beveiligingsconcept ontwikkeld in de vorm van 11 ‘commandments‘ (geboden). Dit beveiligingsconcept is bekend geraakt als Jericho 2.0 en kan worden samengevat als: “Beveilig de gegevens en in plaats van de perimeter.” Dit kan worden gerealiseerd met:

  • Encryptie
  • Inherent veilige protocollen
  • Inherent veilige systemen
  • Authenticatie op gegevenselement

Gebaseerd op de 11 commandments is een architectuurframework ontwikkeld genaamd Collaboration Oriented Architecture, waarover een andere keer meer.

Kleine perimeters om data-elementen en verslutelde verbindingen tussen data, kantor, externe mederwerkers, klanten en ketenpartners.

Beveiliging van gegevens en gegevensstromen beveiligd door middel van encryptie.

Jericho 2.0 gaat er van uit dat een ‘veilig intern netwerk’ een utopie is. Dit betekent dat we de systemen moeten inrichten alsof ze direct op het grote boze internet zijn aangesloten. Dat lijkt best ingrijpend, maar moderne besturingssystemen zijn goed te beveiligen.  Er zijn voldoende tools beschikbaar die het  opzetten en beheren van een veilige inherent veilige infrastructuur mogelijk maken. Ook het beveiligen van het netwerkverkeer met bijvoorbeeld SSL is best te doen. Deze manier van werken is bij internetproviders gemeengoed, maar bij de meer traditionele organisaties nog niet erg ingeburgerd.

Dit betekent niet dat we er licht over kunnen denken, of dat het allemaal makkelijk en eenvoudig is. Het vraagt wel degelijk kennis en kunde, aandacht en zorgvuldigheid. Maar de middelen en benodigde informatie zijn ruim voorhanden. Ik zal in een volgend bericht dieper ingaan op de beschikbare technieken om dit in de praktijk te brengen.

Betekent dit nu dat we de firewall bij het grof vuil moeten zetten? Integendeel, maar de firewall is niet meer de hoeksteen van de beveiliging. Het is altijd verstandig om een gelaagde beveiliging toe te passen. Defense in depth. Maar de firewall is in dit model niet meer de belangrijkste barrière maar de eerste barrière; de first line of defense.

Het goede nieuws is dat Jericho 2.0, wanneer goed toegepast, een veel flexibeler vorm van beveiliging biedt dan het oude perimetermodel. Wijzigingen in de infrastructuur die de perimeter doorkruisen zijn nu geen bedreiging meer. Locatie-onafhankelijk werken (thuiswerken e.d) is eenvoudiger geworden. Koppelingen met ketenpartners zijn veilig te realiseren.

Op deze wijze is beveiliging niet meer blokkerend maar juist faciliterend.

Connection Tracking

Onderstaand artikel is gepubliceerd in het septembernummer van Linux News, jaargang 2001. Het is enigszins aangepast aan de huidige situatie.

Wanneer we een netwerk willen beveiligen met een firewall is het gebruik van Linux een aantrekkelijke optie. Sinds kernelversie 2.4 biedt Linux een krachtige en complete firewall.

Met de komst van de Linux 2.4 kernel in 2001 zijn de mogelijkheden om IP-verkeer te filteren sterk uitgebreid. Het in eerdere kernelversies (2.2 en eerder) toegepaste ipchains is vervangen door iptables, met netfilter als onderliggende structuur. Deze faciliteit vinden we nog steeds terug in de huidige kernels. Met deze structuur is onder andere statefull filtering tot de mogelijkheden gaan behoren. De linux implementatie hiervan wordt overigens connection tracking genoemd. Door gebruik te maken van connection tracking is het mogelijk om het beveiligingsniveau dat door de firewall geboden wordt op een hoog niveau te brengen. “Connection Tracking” verder lezen