IT Security – Software updates bij firewalls
Software updates – wanneer voer je ze uit?
Je mobiele telefoon, PC, laptop, allerlei apparaten in ons leven geven regelmatig te kennen dat ze een update nodig hebben. Dus natuurlijk voeren we software updates meteen uit. Toch?
Nou... Ja en nee. In veel organisaties worden software updates niet geïnstalleerd op het moment dat ze beschikbaar zijn. Vaak zijn hiervoor speciale tijdvakken gereserveerd. De reden hiervoor is heel simpel: Een update kan in veel gevallen zorgen voor een herstart van een systeem.
Als dit gebeurt met een server die bijvoorbeeld voor mail wordt gebruikt kan tijdens de herstart en vaak ook tijdens de software update niemand meer mail versturen. Er moet dus goed worden bekeken welke systemen wanneer kunnen worden ge-update. Puur omdat ze door die actie waarschijnlijk tijdelijk niet meer beschikbaar zijn.
Dit resulteert vaak in een schema waarin updates niet direct, maar wekelijks, maandelijks of zelfs per kwartaal worden uitgevoerd. Hierdoor wordt een voorspelbaar ‘change window’ gebruikt waarin de organisatie ook rekening kan houden met ‘downtijd’ van een groot aantal systemen. Meestal worden zulke schema’s buiten normale bedrijfs- of productie uren gepland.
Drie type software updates
Bij firewalls wordt het update probleem misschien nog wel erger, omdat vrijwel elke gebruiker en vele andere systemen door die firewall willen communiceren. Een firewall die plat gaat voor een update betekent dus veel ongemak en soms ook een probleem in de primaire bedrijfsprocessen. Simpel dus, we laten de firewalls meedraaien in ons eerder genoemde update schema.
Wederom... Ja en nee. Er zijn grofweg drie soorten software updates die gelukkig zoals altijd in de IT verschillende namen kennen. Dus ik maak hier een keuze uit de voor mijn gevoel meest gebruikte benamingen:
- Upgrade
- Update
- Hotfix
Voor de nieuwsgierigen onder ons, patches, major en minor updates, maintenance update, point release, service pack en nog een hele riedel amusante en verwarrende namen kun je dus ook tegen komen. Maar ik dwaal af...
Software Upgrade:
Hiermee wordt meestal bedoelt dat de software van een apparaat wordt voorzien van aanpassingen die (meestal) functionele veranderingen met zich meebrengen. Er kunnen dus nieuwe features worden geïntroduceerd of bestaande features significant worden aangepast. Vaak zitten hier ook andere kleinere verbeteringen in, maar de naam upgrade betekent meestal echt ‘We hebben iets nieuws gedaan, kijk maar. Leuk!’
Upgrades moeten jouw spullenboel naar een hoger niveau tillen. Er wordt van alles verbeterd en je gaat er blij mee zijn of je nou wilt of niet. Upgrades zijn vaak een reden om extra geld te vragen voor het product en ze bevallen meestal alle voorgaande updates en hotfixes.
Software Update:
Een update is minder heftig dan een upgrade. Hierin worden bestaande features vaak wat verbeterd of een manier van werken wordt iets aangepast. Vaak worden ‘bugs’ hierin opgelost. Denk bij een ‘bug’ aan irritante problemen die een functionaliteit anders laten werken dan de bedoeling is. Fouten in de werking dus.
Updates worden meestal gepland. Leveranciers brengen deze vaak uit in een vast schema. Meestal zitten alle hotfixes sinds de laatste update ook weer verwerkt in een nieuwe update, voor het geval gebruikers niet de moeite hebben genomen om die hotfixes toe te passen.
Hotfix:
Een hotfix is dus... Hot! Er zit vaak druk op omdat een probleem is ontdekt dat een snelle oplossing vereist. Een hotfix is meestal voor één specifiek probleem dat ernstig genoeg is om direct aandacht aan te besteden. Er wordt snel iets ‘gefixt’.
Hotfixes worden door leverancier uitgebracht zodra er een oplossing is voor een dringend probleem. Dit kan het soort probleem zijn dat een apparaat onbruikbaar maakt, maar vaak ook veiligheidsrisico’s betekent. Het snel uitbrengen van hotfixes is dus in ieders belang.
Als een hotfix een pleister is op een wond op je wang, is een update een vorm van plastische chirurgie en bij een upgrade krijg je een ander hoofd.
Wanneer update ik mijn firewalls?
In de firewall wereld is het belangrijkste devies: houd in de gaten welke hotfixes, updates en upgrades er uitkomen en plan ze naar behoefte in. Dat klinkt natuurlijk hetzelfde als ‘doe er een snuifje zout bij’ of ‘naar smaak kruiden’. Eigenlijk weet je dan nog steeds niets. Laten we hier dus bij stil staan. Wanneer voer je welke software aanpassingen uit:
Upgrades kennen een speciale behandeling. Doordat je dat compleet nieuwe hoofd opgeschroefd krijgt is de verandering vaak behoorlijk drastisch. Het is daarom absoluut raadzaam om upgrades niet direct te implementeren. Sterker nog, de meeste firma’s wachten tot er minimaal een of twee hotfixes of updates zijn uitgebracht ná een upgrade waardoor de kans op stabiliteit groter is. In de regel zal een doorgewinterde IT-er een compleet nieuwe upgrade niet zomaar implementeren. Kijk dus naar het update schema en kies een moment waarop je weet dat de update al een tijdje beschikbaar is en stabiel draait. De reden hiervoor is erg simpel: die upgrades worden ook door mensen gemaakt. En mensen maken fouten. De kans op fouten neemt toe als de wijziging groter wordt, dus upgrades lopen de grootste kans op het introduceren van fouten. Bedenk dat jouw nieuwe hoofd misschien een scheve neus heeft. Dan wachten we op een hotfix of update voor die neus. Daarna mogen ze het er op schroeven.
Updates houd je ook in de gaten. Een deel van een update zal bijvoorbeeld het gebruiksgemak verbeteren of iets aanpassen. Het is ook mogelijk dat een feature wordt uitgebreid met bijvoorbeeld een security standaard waar jij gebruik van wilt (of moet) maken. Het is dus absoluut mogelijk dat een update relatief dringend is, maar er loopt vrijwel nooit bloed uit. Updates plan je daarom zoveel mogelijk in op het bestaande update schema, tenzij de nood hoog is om de nieuwe functionaliteit in te voeren.
Hotfixes voor firewalls lossen meestal vrij ernstige problemen op. Ernstig omdat het hier gaat een om product dat jouw netwerk moet beveiligen en er blijkbaar op de een of andere manier niet zo goed in is. Denk hierbij aan problemen waardoor een firewall kan stoppen met werken, kan worden gehackt of bepaald verkeer doorlaat dat absoluut geblokkeerd zou moeten worden.
Echt zaken die voor jou van belang zijn. Bekijk dus bij elke hotfix nauwkeurig de release notes. Hierin kun je vinden waar de hotfix betrekking op heeft en of dit een probleem is dat bij jou ook voorkomt. Soms is een hotfix voor een speciale feature en als jij die feature niet gebruikt, is die hotfix voor jou ook niet belangrijk. Als een hotfix op jouw firewall van toepassing is, installeer hem dan zo snel mogelijk. Beveiligingsrisico’s wil je echt niet te lang lopen.
Firewall redundantie bij software updates
Redundantie to the rescue! Ik mocht de titel zo niet noemen van de editor, dus begin ik er deze paragraaf gewoon mee. Firewalls moeten jouw omgeving beschermen en vervullen daarmee een heel belangrijke rol. De gezondheid van die firewalls wil je dus zo goed mogelijk houden en daarom installeer je hotfix snel en updates in sommige gevallen ook best snel. Maar elke keer maak je het jouw gebruikers wel lastig, want ze kunnen niet werken. Als alle updates in de avonduren kunnen worden uitgevoerd maakt dat het wat eenvoudiger, maar veel organisaties zijn ook buiten kantooruren bereikbaar. Het is voor sommige medewerkers heel normaal om ‘s avonds of in het weekend even de zakelijke mail te controleren. Het kan ook zo zijn dat jouw bedrijf 24x7 productie draait. Hoe dan ook, het kan soms lastig zijn om een moment te vinden waarop jouw firewall echt even uit mag staan.
Hiervoor is een redundante opstelling een hele goede oplossing. In een dergelijke opstelling vervullen twee firewalls samen de rol die anders door één wordt uitgevoerd. Eén van beide firewalls is actief terwijl de andere als reserve klaar staat (passief) om de taak over te nemen.
Als de actieve firewall uitvalt, neemt de andere alle functionaliteit over. Dit is heel fijn in het geval van hardware problemen, maar kan ook worden gebruikt bij software updates. De meeste leveranciers bieden de optie om eerst de passieve firewall een update te geven. Als deze weer helemaal functioneel is, wordt de passieve firewall actief gemaakt en kan de voorheen actieve firewall dezelfde update krijgen. Het omschakelen gaat in veel gevallen zo snel, dat niemand er last van heeft. Via deze methode kan een redundante firewall opstelling dus snel hotfixes en updates krijgen zonder de organisatie er last van te laten hebben.
Jouw firewall is erg belangrijk. Het is de eerste verdedigingslinie. Naast goede configuratie zijn alle vormen van software updates erg belangrijk. Zorg dan ook dat je hier een plan voor hebt, van het monitoren van nieuwe hotfixes en updates tot het implementeren ervan. Je maakt het hackers moeilijker door goed onderhoud te plegen.
Bekijk ook de rest van onze IT Security Blog reeks
Volg ons op LinkedIn en vind wekelijks waardevolle informatie over cybersecurity en netwerktechnologie op jouw tijdlijn.