Vad är väl en brandvägg i nätverket? (del 1)
(Publicerad 2009-04-23)
Brandväggar har under många år fått bära ett tungt lass inom IT-säkerheten och förväntas lösa (lite väl) många av våra problem. I första delen ska jag försöka ändra din syn på brandväggar. De handlar nämligen en hel del om förtroende.
Varning: denna bloggpost tar inte hänsyn till förkortningar som UTM, VPN och IDP som brukar associeras med dagens brandväggar. Vi har en ganska gammaldags syn; en brandvägg är ett flexibelt paketfilter.
En lärare på ISY på Linköpings universitet, Niclas Wadströmer, hade en härligt klar syn på brandväggar. Han sade någon gång att man behöver en brandvägg om man inte kan lita på datorerna i sitt nätverk. Det här kan tyckas vara raka motsatsen till hur vi vanligen ser på saken, elakingarna är ju på Internet, utanför nätverket. Det är ju de vi inte litar på.
Det är dock lätt att få vem som helst att acceptera Niclas syn; om alla datorer på ditt nätverk är säkra så att du kan lita på dem och du behöver ingen brandvägg. I verkligheten kan tyvärr ingen riktigt göra det. Tillit är alltid farligt och robusta system är sådana som inte kräver att man litar på andra.
Det är nu vi kan se brandväggens styrka, den minskar mängden förtroende vi måste ha för ändpunkterna i vårt nätverk. Vi samlar ansvaret i en punkt. En ansvarig för säkerhet behöver inte längre oroa sig för att en administratör plötsligt ska dra igång en sårbar webbtjänst på mailservern så att den är åtkomlig från Internet. Det spelar ingen roll, brandväggen släpper bara fram trafik till mailtjänsten.
Synsättet passar lika bra för användarnas datorer och den lokala brandvägg de (förhoppningsvis) kör. Användaren råkar ut för en drive-by-download, något främmande program installeras och detta försöker öppna en port för att ta emot eller (vilket är mycket vanligare) hämta instruktioner. En lokal brandvägg kan stoppa båda dessa attacker; användaren kan alltså känna sig trygg även om hon inte kan lita på sin webbläsare. NB: Det här förutsätter givetvis att webbläsaren inte körs med administratörsrättigheter. Men det gör den ju inte, eller hur?
En brandvägg används inte för att skydda mailserverns mailtjänst. En brandvägg används för att se till att det bara är mailtjänsten som är tillgänglig. Det är denna skillnad som tas upp i del 2.
--
Stefan Pettersson
Brandväggar har under många år fått bära ett tungt lass inom IT-säkerheten och förväntas lösa (lite väl) många av våra problem. I första delen ska jag försöka ändra din syn på brandväggar. De handlar nämligen en hel del om förtroende.
Varning: denna bloggpost tar inte hänsyn till förkortningar som UTM, VPN och IDP som brukar associeras med dagens brandväggar. Vi har en ganska gammaldags syn; en brandvägg är ett flexibelt paketfilter.
En lärare på ISY på Linköpings universitet, Niclas Wadströmer, hade en härligt klar syn på brandväggar. Han sade någon gång att man behöver en brandvägg om man inte kan lita på datorerna i sitt nätverk. Det här kan tyckas vara raka motsatsen till hur vi vanligen ser på saken, elakingarna är ju på Internet, utanför nätverket. Det är ju de vi inte litar på.
Det är dock lätt att få vem som helst att acceptera Niclas syn; om alla datorer på ditt nätverk är säkra så att du kan lita på dem och du behöver ingen brandvägg. I verkligheten kan tyvärr ingen riktigt göra det. Tillit är alltid farligt och robusta system är sådana som inte kräver att man litar på andra.
Det är nu vi kan se brandväggens styrka, den minskar mängden förtroende vi måste ha för ändpunkterna i vårt nätverk. Vi samlar ansvaret i en punkt. En ansvarig för säkerhet behöver inte längre oroa sig för att en administratör plötsligt ska dra igång en sårbar webbtjänst på mailservern så att den är åtkomlig från Internet. Det spelar ingen roll, brandväggen släpper bara fram trafik till mailtjänsten.
Synsättet passar lika bra för användarnas datorer och den lokala brandvägg de (förhoppningsvis) kör. Användaren råkar ut för en drive-by-download, något främmande program installeras och detta försöker öppna en port för att ta emot eller (vilket är mycket vanligare) hämta instruktioner. En lokal brandvägg kan stoppa båda dessa attacker; användaren kan alltså känna sig trygg även om hon inte kan lita på sin webbläsare. NB: Det här förutsätter givetvis att webbläsaren inte körs med administratörsrättigheter. Men det gör den ju inte, eller hur?
En brandvägg används inte för att skydda mailserverns mailtjänst. En brandvägg används för att se till att det bara är mailtjänsten som är tillgänglig. Det är denna skillnad som tas upp i del 2.
--
Stefan Pettersson
Kommentarer
Trackback
