Document toolboxDocument toolbox

3.3.3.7. Content/URL filtering als maatregel 3.0

Owned by Kenzo Vertenten (VO)
Last updated: 06 Dec, 2024 by Tom De CubberVersion comment
3 min read

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Content/URL filtering is een preventieve en een reactieve maatregel. 

Meer en meer worden diensten of informatie aangeboden via internet. Het is dan ook ondenkbaar dat men deze toegang zou ontzeggen. Aan de andere kant wordt de kans op misbruik steeds groter. Het is evident dat illegale of ongepaste websites geblokkeerd worden. Maar ook toegang verbieden tot sociale netwerken en tot websites niet gerelateerd aan de kernactiviteiten van de organisatie kan deel uitmaken van het beleid.  

Om dit beleid technisch af te dwingen biedt content filtering en/of URL-filtering een oplossing. Dit biedt de mogelijkheid te bepalen wie waar op internet mag en kan. In theorie kan dit ook geregeld worden in de firewall: men kan in de filter immers aanduiden welke websites bezocht mogen worden en welke niet. In de praktijk is het opzetten en onderhouden van zo’n lijst ondoenbaar: er zijn te veel malafide websites en bovendien veranderen ze frequent van domeinnaam. Daar kan de content/URL filter bij helpen. 

Surfen op internet wordt door de content/URL filter onder andere voortdurend vergeleken met een lijst van meer miljoenen websites. Deze websites zijn in categorieën ingedeeld. Per persoon of groep van personen wordt bepaald tot welke categorie gebruikers al dan niet toegang hebben. Er wordt gecontroleerd of een persoon toestemming heeft om op deze categorie te surfen. De database waarop de content/URL filter steunt, wordt voortdurend bijgewerkt (te vergelijken met de signature database van signature gebaseerde antimalware software). 

Content/URL filters worden ook vaak als bijkomende antimalware-maatregel aanzien – naast de gekende antimalware software – omdat deze filters de toegang blokkeren tot websites die vaak als hosts voor malware worden gebruikt. Sommige filters kunnen zelfs informatie blokkeren die via internet wordt verzonden, om ervoor te zorgen dat bepaalde gegevens niet worden vrijgegeven. 

Er bestaan verschillende methoden om te beoordelen of een bepaalde website aan de gebruiker getoond mag worden. De meest toegepaste methoden zijn de volgende:  

  • Controleren of de site op de vooraf samengestelde whitelist met toegestane websites staat; 

  • Controleren of de site op de vooraf samengestelde blacklist met verboden websites staat; 

  • Controleren of de betreffende website door de uitgever voorzien is van een classificeringslabel, bijvoorbeeld een ICRA-label; en 

  • Controleren of in de inhoud van de website bepaalde niet-toegestane woorden voorkomen. 

De meeste content/URL filters gebruiken een combinatie van de hierboven genoemde filtermethoden.  

De URL-filter kijkt naar de URL van de gewenste site en bepaalt of de verbinding wordt geblokkeerd of toegestaan. Filters worden vaak geïnstalleerd als browser-uitbreiding, als zelfstandig computerprogramma of als onderdeel van een uitgebreide beveiligingsoplossing. Organisaties kunnen filters echter ook in het netwerk installeren om de internettoegang van meerdere gebruikers tegelijk te beperken. Sommige zoekmachines bevatten ook eenvoudige filters om ongewenste pagina's uit de zoekresultaten te verwijderen. 

Er zijn echter manieren om content/URL filters te omzeilen, zoals het gebruik van een web-gebaseerde proxy, het gebruik van websites in een andere taal, of het creëren van een VPN naar een persoonlijke proxyserver

Web Application Filter 

Een web application filter is nauw verbonden met content- en URL-filters, die ook dienen om schadelijke of ongewenste inhoud te blokkeren. Echter, terwijl content- en URL-filters voornamelijk focussen op het filteren van toegang tot bepaalde URL's of inhoudstypes gebaseerd op beleid, richten WAF's zich specifiek op de beveiliging van de applicatielaag en de bescherming tegen gerichte aanvallen op de webapplicatie zelf. 

Een WAF inspecteert het inkomende verkeer naar de webapplicatie om te bepalen of het verkeer kwaadaardig of veilig is. Dit gebeurt vaak door middel van een set regels of beleid, die kunnen worden geconfigureerd op basis van de behoeften van de organisatie. Deze regels kunnen zijn gebaseerd op patronen zoals SQL-injectie, cross-site scripting (XSS), en andere bekende beveiligingskwetsbaarheden. 

Een WAF kan in een preventieve modus worden ingeschakeld, waar het actief ingrijpt om aanvallen te blokkeren voordat ze schade aanrichten. Dit vereist nauwkeurige configuratie om valse positieven te minimaliseren, waar legitieme verzoeken ten onrechte als kwaadaardig worden beschouwd.