Hur osäkra är de enkla brandväggslösningarna?
Många företag, främst de mindre och mellanstora, väljer allt
oftare att investera i allt enklare brandväggslösningar. Troligtvis
för att ekonomin styr allt hårdare och för att de enklare
lösningarna upplevs enkla att administrera. Något som också
värdesätts är möjligheten att rackmontera dem och om den brede
diverse-handlaren har den i sitt sortiment. De större företagen
styrs av helt andra faktorer. Målet med investeringen är att
brandväggslösningen skall förhindra intrång. Ett intrång som kan
allvarligt skada vilken verksamhet som helst. Givetvis borde målet
att förhindra intrång vara det samma för alla som investerar i en
brandväggslösning.
En enkel regel är att man får vad man betalar för. En produkt som
kostat tusen mantimmar att utveckla är givetvis billigare i inköp
än en som kostat en miljon mantimmar att utveckla. Klart är att
även försäljningsvolymen påverkar priset, men sanningen är den att
brandväggsprodukter säljs i förhållandevis små volymer. Produkten
som tagit tusen gånger fler mantimmar att utveckla, har givetvis
funktioner som inte syns på ytan utan det är funktioner som
försvårar de allt mer komplicerade intrången.
För att åskådliggöra skillnaden mellan en så kallad
brandväggslösning och en fungerande brandväggslösning så kan
nedanstående exempel visa på olikheter mellan en bra och en mindre
bra lösning. Det skall sägas att nedanstående exempel inte kan
appliceras på alla enklare lösningar, men exemplet är
lättöverskådligt.
Exempel på vad en brandväggslösning skall hantera vid FTP
När en klient etablerar en FTP-session görs det vanligtvis på TCP
port 21. En port kan liknas vid en tjänsteidentifierare. I anropet
begär klienten svar på en godtycklig port, normalt strax över port
1024. Detta är inte något problem att hantera för en brandvägg. Det
hela är så här långt en traditionell TCP-session. När sessionen väl
är etablerad, kan en kompetent produkt spärra vilka FTP-kommandon
som tillåts. Något som exempelvis är användbart vid exponering av
en FTP-server där man hindra omvärlden från att kunna skriva på
servern.
Vid överföring av data finns det två metoder att välja. Passiv
mode (PASV) och port mode. Den sistnämnda har använts sedan
urminnestider och innebär att servern etablerar en ny session vid
själva filöverföringen. Servern etablerar normalt den nya sessionen
via TCP port 20. Brandväggslösningen måste alltså tillåta att en
utomstående part etablerar en session till det interna skyddade
nätet. I det enklaste brandväggslösningarna är det fritt fram för
vem som helst, när som helst, att etablera en session från det
externa nätet (läs Internet) till det interna skyddade nätet. En
kompetent brandvägg kan hantera detta.
När passiv mode väljs för dataöverföring, etablerar klienten en ny
session på en av servern utvald port, något som oftast både är
bättre och säkrare.
Vad kan hända om en TCP eller UDP port står vidöppen för
omvärlden?
I princip vem som helst kan köra nästan vad som helst på en
godtycklig port. Exempelvis TCP port 20. Få har väl undgått att
läsa om de bakdörrar som planterats i diverse utrustning och som
sedan accessas via Internet. Exempel på detta är Netbus. Netbus
använder i och för sig TCP port 12345 som standard, men det är lätt
att ändra. Andra portar som ofta lämnas vidöppna är TCP port 25
(SMTP) och UDP port 53 (DNS). En brandväggslösning måste förhindra
möjligheterna att nyttja exponerade tjänster för annat än de avses
för.
Teknikerna för attacker och intrång utvecklas
Exemplet ovan med FTP är ett ganska gammalt exempel på hur man kan
nyttja hål i en brandväggslösning. Ändå finns det
brandväggslösningar som säljs idag som har dessa brister. Med detta
i åtanke och med vetskap om att tekniken för attacker och intrång
utvecklas i rasande takt, så kan det vara svårt att utveckla och
förfina en brandväggslösning i samma takt om det inte är
tillverkarens huvudsakliga levebröd. Brandväggsprodukten och den
lösning som produkten ingår i måste utvecklas i minst samma takt
tekniken för intrång och attacker utvecklas.
Kan vem som helst installera en brandvägg?
Vem som helst, nästan, kan installera en brandväggsprodukt. Men,
det är inte lika vanligt att diverse-handlaren vet och förstår hur
produkten skall anpassas för just din miljö. Hjulen uppfinns inte
en gång och inte två gånger. Hjulen uppfinns tusental gånger i
samband med installation och anpassningar. De som attackerar
system, uppfinner inte hjul. De har redan någon annan gjort, de som
attackerar system funderar på att finna en lucka eller ett hål som
ingen annan upptäckt ännu. Det är ganska stor skillnad på
fokus.
Vad betyder en brandväggscertifiering från ICSA?
Lever man i en svart-vit värld, så betyder en certifiering från
ICSA ingenting. Det vill säga att en certifiering av ICSA sållar
bort någon procent av de produkter som aldrig borde ha nått
marknaden. Tyvärr är en certifiering från ICSA inte någon garanti
för att brandväggsprodukten är skottsäker.
© 1999 Thomas Nilsson, Certezza AB
PS! Bara för att en box är märkt med ordet Firewall, så behöver
den inte vara en sådan.
