Nieuwe beveiliging van Check Point

Volgens Peter Sandkuijl, technisch manager bij de Nederlandse Check Point-vestiging in Nieuwegein, hebben de belangrijkste wijzigingen in NGX betrekking op drie gebieden. Een daarvan is het onder één paraplu brengen van het beheer. De producten van Check Point zijn de laatste jaren uitgewaaierd over de beveiliging van de randen van het netwerk (perimeter), de interne beveiliging van het bedrijfsnetwerk zelf en het verkeer van en naar webbrowsers en web services. De beveiligingsproducten kregen stuk voor stuk hun eigen managementinterface, wat bij de gebruikers niet in goede aarde viel. Sandkuijl: "Klanten hebben er sterk op aangedrongen dat we teruggingen naar de oude situatie: het kunnen beheren van alle componenten vanuit een centraal opgestelde managementconsole. Zo hoef je beheerders maar een keer op te leiden en is de kans op menselijk falen door verschillende beheer- interfaces kleiner." VPN-gateway Een tweede gebied van vernieuwingen in NGX heeft betrekking op het toenemend gebruik van internet voor zakelijk dataverkeer. Sandkuijl: "Check Point heeft zich vanouds geconcentreerd op security en was tamelijk wars van alles wat met het interne netwerk te maken heeft. Door de acceptatie van internet kunnen de werelden van netwerk en beveiliging elkaar deels gaan overlappen. We hebben daarop ingespeeld door dynamische routering te ondersteunen in ons VPN-gatewayproduct." Gevolg is dat de VPN-gateway gebruik kan maken van de informatie in in het netwerk aanwezig is en die ook door kan geven naar de andere kant van de VPN-tunnel. Volgens Sandkuijl betekent dit een forse aanpassing voor Checkpoint en zeker voor klanten, waar de netwerk- en beveiligingsafdelingen vaak ‘water en vuur’ zijn. Netwerkbeheerders stellen snelheid en beschikbaarheid boven alles, terwijl beveiligingsmensen in het belang van de security op allerlei beperkingen aandringen. Sandkuijl: "Dat botst regelmatig. Wij moeten ze vertellen dat het allebei kan." Voice over IP Het derde zwaartepunt van vernieuwingen in NGX sluit aan op de snel toenemende populariteit van internettelefonie. Naast alle voordelen levert Voice over IP (VoIP) ook nieuwe beveiligingsrisico’s op. Kern van het probleem is volgens Sandkuijl dat VoIP in tegenstelling tot traditionele telefonie niet in zijn eigen, beschermde omgeving werkt maar gebruik maakt van het datanetwerk, dat op zijn beurt verbonden is met internet. Inmiddels zijn diverse zwakke plekken gevonden, onder andere in het Session Initiation Protocol (SIP) dat waarschijnlijk de standaard zal worden voor alle multimediaverbindingen, waaronder VoIP. Tot de mogelijke risico’s behoren het kapen van telefoongesprekken door de identiteit van een legitieme gebruiker aan te nemen en het afbreken van een verbinding door het versturen van een daartoe geconstrueerd datapakketje (denial of service) dat door het telefoontoestel onjuist wordt geïnterpreteerd. CheckPoint pakt de beveiliging van VoIP op twee fronten aan. Enerzijds met een firewall die het spraakverkeer toetst op conformiteit aan de standaard (protocol enforcement). Anderzijds door ‘applicatie-intelligentie’ die alert is op bekende aanvalsvormen die binnen de (gebrekkige) VoIP-standaard uitvoerbaar zijn. Samenwerking NGX ondersteunt onder andere Microsoft Windows en Solaris van Sun Microsystems. Daarnaast werkt CheckPoint nauw samen met Nokia. Ook heeft Checkpoint een eigen besturingssysteem ontwikkeld dat deels is gebaseerd op Linux, waar alle elementen uit zijn gesloopt die niet essentieel zijn voor beveiliging. Klanten kunnen op die manier een standaard Intel-pc gebruiken om hun eigen ‘security appliance’ te bouwen. In tegenstelling tot leveranciers van netwerkapparatuur zoals Juniper, Cisco en Watchguard levert Checkpoint zijn beveiligingsproducten in de vorm van software. Volgens het bedrijf is dat flexibeler dan een speciaal voor dat doel ontwikkelde ‘dedicated box’, waarvan de technologie bovendien al gauw een jaar achterloopt op die van standaard Intel-apparatuur. Juniper gaat er prat op dat zijn op speciaal ontwikkelde chips (ASIC’s) gebaseerde beveiligingsapparaten veel hogere prestaties leveren dan een softwarematige oplossing die draait op Intel-chips. Volgens Sandkuijl valt daar wel wat op af te dingen. "Met ASIC’s gebouwde firewalls zijn in theorie inderdaad razendsnel met de afhandeling van datapakketjes. Het probleem is alleen dat je geen wijzigingen meer kunt aanbrengen, terwijl security een proces is dat voortdurend aanpassingen vergt."