Bezoekers van de InfoSecurity

'We hebben veel zicht op het HTTP-verkeer'

Deel 1: Pieter de Groot, netwerkbeheerder bij de overheid

Computable sprak met vier ict’ers op beveiligingsbeurs Infosecurity over hun overwegingen om deze beurs te bezoeken, en de uitdagingen die ze tegenkomen in hun dagelijkse praktijk. In deze aflevering vertelt netwerkbeheerder Pieter de Groot over hoe zijn organisatie het netwerk beveiligt. ‘Onze backbone heeft een snelheid van 10 Gigabyte per seconde, dus je wilt ook dat een firewall met die snelheid het verkeer kan bekijken.’

Waarom bezoek je de InfoSecurity?
Ik kijk hoofdzakelijk naar firewalls. Binnen ons netwerk vindt ontzettend veel mailverkeer plaats. Aan die mails worden ook steeds meer ingescande stukken bijgevoegd. Dat moet allemaal secure gebeuren. Dat doen we al, maar nu wil ik graag binnen die secure tunnel kijken. Alleen om te zien: zitten er gekke dingen in? De oudere generatie firewalls maakt geen onderscheid tussen goed en slecht browserverkeer. En er zijn allerlei trucjes om binnen ogenschijnlijk ‘goed verkeer' in tunnels toch ‘slecht' verkeer te transporteren.

Welke stands heb je bezocht?
Ik heb net even bij Palo Alto staan kijken, dat is de generatie firewalls die er nu aan zit te komen. Dat soort firewalls beoordeelt ip-verkeer niet alleen op basis van een ip- en poortnummer, maar kijkt dieper. Net als de proxyserver. Die kijkt ook: wat zit erin en checkt de inhoud op virussen.

Zijn er nog andere opties?
NetScreen is ook nog steeds een heel mooi product, vooral omdat je ze op verschillende plaatsen aan de randen van je netwerk kunt plaatsen en doordat ze dan samenwerken. Dus als je iets ziet aan de inkomende kant, kan de uitkomende kant erop reageren. En dan zeggen: dan stop ik het ook. Dat soort mechanieken.

Wat is belangrijk aan een firewall?
De focus ligt het laatste jaar heel erg op prestatie. Onze backbone heeft een snelheid van 10 Gigabyte per seconde, dus je wilt ook dat een firewall met die snelheid het verkeer kan bekijken. Bij de proxyserver ligt dat eenvoudiger. Het internetverkeer komt binnen met een lagere snelheid.
In augustus 2008 hebben we de laatste proxyserver eruit gehaald en vervangen door een proxy appliance. We hebben nu heel veel zicht op het http-verkeer. Ik kijk niet echt inhoudelijk, maar zie bijvoorbeeld wel dat er radiostreams aangezet worden. Terwijl het goedkoper is een radiootje neer te zetten op je bureau, dan het netwerk te belasten. We verbieden het niet, maar het is eigenlijk wel zonde van de bandbreedte. Intern bij ons mogen we dat allemaal niet. We mogen ook niet naar Gmail of Marktplaats, dat is allemaal verboden terrein. Per groep kun je blokkades opwerpen via onze nieuwe proxyserver. Alles wat je met de proxy al hebt gestopt, hoeft niet meer door die firewall. Dat betekent dat je firewall van een lagere capaciteit kan zijn. Dan wordt het weer betaalbaar.

Heb je de voorkeur voor een bepaalde firewall-leverancier?
Welk merk het wordt, kan ik nog niet zeggen. Maar in grote netwerken, zoals het onze, met tig vestigingen, heb je toch al snel te maken met een kostenpost. Doe je het overal? Of bescherm je alleen je rekencentrum? Dat is een afweging die voor je het weet over heel veel geld gaat, en daarmee automatisch over een Europese aanbesteding en een langdurig traject. Voordat een advies uitmondt in een apparaat dat ik op mijn bureau heb, zijn we zo twee jaar verder.