Wat is de firewall aan het doen?
Vroeger was een firewall een vrij simpel toestel dat bepaald verkeer doorliet en ander tegenhield. Tegenwoordig doet een firewall veel meer dan dat. Niet alleen worden er nu volop VPN-verbindingen gemaakt die thuiswerk mogelijk maken, maar het verkeer dat doorgelaten wordt, zal eerst gescand worden om er zeker van te zijn dat er geen kwaadaardig verkeer op het interne netwerk raakt.
Hieronder een uiteenzetting:
Een eerste soort scan is een virusscan, zoals ook gekend van op normale computers.
In onderstaande voorbeeld is te zien dat heel wat verkeerd gescand is, maar geen virussen zijn gedetecteerd. Dit is niet zo verwonderlijk, aangezien op bijna elke computer en server ook antivirussoftware geïnstalleerd is. Toch is het belangrijk waakzaam te blijven!
Een tweede scanfunctie is de botnet detectie. Een botnet is een verzameling van computers die door een kwaadaardige speler overgenomen zijn. Deze botnets worden vaak gebruikt om DDOS aanvallen uit te voeren om bepaalde websites en webservices plat te leggen. Dit is een vaak voorkomende vorm van cyberaanval. Onze Watchguard firewalls gaan de afkomst en bestemming van het verkeer controleren en als dit overeenkomt met een gekend botnet, wordt dit geblokkeerd. In onderstaande grafieken is af te leiden dat deze service regelmatig verkeer kan tegenhouden. Meestal komt dit verkeer in groepen, wat zich zichtbaar maakt in de pieken op onderstaande grafiek.
De laatste service dat we hier bespreken is de ingewikkeldste, maar waarschijnlijk de belangrijkste: IPS, wat staat voor Intrusion Prevention Service. Deze service zal het verkeer dat over de Watchguard firewall gaat scannen en indien deze een aanval herkend, zoals een SQL-injectie, wordt deze tegengehouden. Zo zijn servers achter de firewall veel beter beveiligd zonder dat de servers zelf iets moeten doen. Zoals op onderstaande grafieken te zien is heeft deze service veel werk. Een server of computer dat bereikbaar is vanop het internet zal bijna dagelijks een aantal van deze (geautomatiseerde) aanvallen over zich heen krijgen. In het geval dat een aanval binnen raakt is het mogelijk dat de aanvaller software kan installeren om de computer aan een botnet toe te voegen, data te stelen - wat zware gevolgen kan hebben voor een bedrijf - of de data encrypteren en nadien losgeld eisen. Dit maakt deze service zo belangrijk.
Naast deze services zijn er nog enkele andere die de veiligheid verhogen, zoals geolocatie, waar toegang kan beperkt worden vanuit bepaalde landen. Maar de 3 services die hier besproken zijn, zijn zeer belangrijk om het verkeer dat normaal doorgelaten wordt, verder te controleren en wanneer er toch iets niet juist is tegen te houden. Zo kan het bedrijf veilig blijven werken.