Nieuwste dienst in het Serverius cybersecurity-portfolio: de WAF

De bescherming van websites en online applicaties vergt meerdere maatregelen. Het gebruik van firewalls hoort daarbij. Firewalls zijn er globaal in twee soorten, de conventionele en de Web Application Firewalls, ook wel WAF genoemd. Serverius legt hieronder uit wat een WAF is en welke klantgroepen ze er mee bedienen.

Het gesprek over de WAF met de connectiviteit-, colo- en cybersecurityspecialist Serverius vindt plaats het kantoor in Meppel. Wat Serverius heeft gedaan, en tot zover bekend als enige op de Nederlandse markt, is een eigen vendor-onafhankelijke WAF ontwikkelen vanuit de carriergedachte. Voor het interview zat niet een productmanager of de directie aan tafel. Stephen Klaasen, Dylan Reimerink en Mathijs Merema, alle drie behorend tot het developersteam, legden op boeiende wijze idee en werking uit.

De WAF in vogelvlucht

Dylan Rijmerink

Het gesprek bestond uit drie delen. Dylan Reimerink legde als eerste uit wat een WAF is en voor wie het is bedoeld. “De eenvoudigste uitleg van een WAF is dat het cloudbased oplossing is die ervoor zorgt dat verkeer naar websites en applicaties – eigenlijk alles dat je met een webbrowser kunt bezoeken – eerst wordt gecontroleerd voor het wordt toegelaten. In die bewerkingsslag wordt normaal gewenst verkeer doorgelaten, ongewenst verkeer wordt afgevangen”, aldus Reimerink. Vervolgens gaf hij aan dat het grootste verschil met een conventionele hardware firewall de schaalbaarheid en flexibiliteit is.

Ambitie is het cybersecurityportfolio verder uit te breiden

“Uiteindelijk is een hardware firewall een computer. Die zijn allemaal onderworpen aan onvermijdelijke beperkingen. De performance en capaciteit van de firewall en de te beschermen websites en applicaties lijden daaronder.” De WAF van Serverius is cloud-based dus maximaal schaalbaar en hindert de aanbieders van diensten en legitieme gebruikers op geen enkele wijze. “Onze WAF is ontwikkeld met de Serveriusklanten en de carrier-gedachte in het achterhoofd. Dat zijn grote klanten met eigen netwerken. Ze hebben zelf veel webverkeer, gevoelige informatie en backends die online benaderd moeten worden, of klanten met dat profiel. Onze WAF past ook heel goed in de dienstverlening van een colo-hoster of anderen die dienstverlening voor veel andere klanten aanbieden.” Omdat het ongewenste verkeer niet tot aan het platform of de applicatie komt, levert een WAF naast veiligheid nog een belangrijk voordeel op: de bestaande hardware en infra kan zwaarder worden belast omdat er geen sprake meer is van ongewenste pieken waar voorheen altijd rekening gehouden moest worden.

De techniek

Mathijs Merema

Met deze eerste uitleg over de Serverius WAF was de vraag aan Mathijs Merema hoe ze er toe gekomen zijn dit zelf te ontwikkelen en niet voor een bestaande oplossing te kiezen. Volgens Merema was dat een logisch proces: “Serverius is inmiddels behoorlijk succesvol met DDoS-protectie en IP, beiden hebben veel raakvlakken met de WAF. Het herkennen van bedreigingen en weten hoe IP-filtering werkt zijn essentieel voor een goede WAF. Daarnaast zijn de diensten ook sterk verweven. Daarom was het logisch – op basis van het bestaande eveneens zelf ontwikkelde cybersecurity portfolio – de WAF te ontwikkelen.”

 

Over de werking van de WAF kon Merema niet veel vertellen omdat het zo simpel is. “Een klant die een webapplicatie wil beschermen met de WAF klikt die aan in een menu met op dit moment ruim 1.000 veelgebruikte toepassingen. Grote kans dus dat zijn applicatie daarin voorkomt. Als hij daar een vinkje bij zet, activeert hij beschermingsregels die wij verder onderhouden. Hij heeft er zelf geen omkijken meer naar.” Belangrijk is te vermelden dat dit niet de enige bescherming is. Standaard en bekende aanvalsmethoden worden, los van de website of applicatie, geweerd. Klanten die maatwerk applicaties hebben die niet het voorgedefinieerde menu voorkomen kunnen zelf regels toevoegen. Merema: “Iemand die bekend is met reguliere expressies kan dat doen. Bij maatwerkapplicaties is die kennis bij die klanten altijd aanwezig.

De maatwerkoptie is maar voor een kleine subset van gebruikers relevant. Voor de meesten is het echt aanzetten en applicaties aanvinken. Meer is het niet. In lijn met de Serverius-filosofie geldt ook voor de WAF-klanten dat ze dienst bij voorkeur zelf bedienen. Mochten ze er niet uitkomen is er uiteraard support en deels is die zelfs proactief. Dat laatste is iets waarin Serverius zich nadrukkelijk van andere marktpartijen onderscheidt.”

IP reputatie via IPJudge

Stephen Klaassen

Stephen Klaasen nam hierna het woord om een zeer belangrijke component van zowel de WAF als de DDoS-protection uit te leggen: het identificeren van ongewenst verkeer. “Met de DDoS-protection zijn we succesvol en dat komt vooral omdat we in staat zijn verkeer snel en goed te onderscheiden in gewenst en ongewenst. Daarnaast hebben we in tegenstelling tot andere partijen oog voor de het verkeer dat niet zo snel te classificeren valt. Wij noemen dat grijs verkeer.” Uit zijn verdere uitleg blijkt dat bij Serverius wordt gewerkt met een eigen blacklisting, de IPJudge, die elke kwartier (!) wordt ververst. Die lijst wordt per uur aangevuld met de data van externe lijsten en dat is een 24/7 operatie. Waar Serverius zich onderscheidt van andere partijen is dat het elke eigen melding altijd verifieert met meldingen van externe bronnen. “Een melding van een ongewenste handeling van een IP-adres die wij alleen zien, kan duiden op een false positive. Als we dat IP-adres dan blacklisten en daarmee de DDoS-protection en WAF voeden kan dat onzinnig zijn. Daarom doen wij die extra controle.”

In tegenstelling tot andere partijen hebben wij oog voor grijs verkeer, verkeer dat niet zo snel te classificeren valt

Roadmap

Na deze uitgebreide uitleg restte nog de vraag naar de toekomstplannen. De ambities zijn het team met nu nog vijf developers verder te laten groeien, zodat het gehele cybersecurityportfolio verder kan worden onderhouden en zelfs uitgebreid. Dat wordt gezien als voorwaarde om de ultieme one-stop-shop te zijn voor met name de carrier-klanten die gewend zijn ‘elke Mbit te optimaliseren’. Een ander punt op de roadmap is meer partnering. Pentesters zijn daarbij voor Serverius een interessante groep. Zij controleren of netwerken en applicaties veilig zijn. In geval van een zwakte die om welkereden dan ook niet direct gepatched kan worden kan de Serverius WAF het verschil uitmaken. Als daar de regel wordt geactiveerd dat een applicatie beschermd moet worden, geeft dat de eigenaar de tijd de patch uit te rollen zonder te grote risico’s te lopen.

[Dit artikel is eerder gepubliceerd in het magazine ChannelConnect 4 2018]

Lees het artikel hier in PDF