Julpyssel och nyårslöften

Nu är vi inne på slutspurten inför en av många efterlängtad jul- och nyårshelg. En tidpunkt då tempot sjunker och det blir tillfälle att i lugn och ro pyssla lite och fixa det som man inte hann med innan jul.

Det första förslaget till julpyssel är en domänuppdatering som gör det betydligt svårare att skicka falsk E-post med ert domännamn som avsändare. Falsk E-post som ofta syftar till att lura mottagaren på information, så kallad phishing. Inom ramen för SPF (Sender Policy Framework) skall ni uppdatera er domän med ett TXT-record som berättar vilka datorer som har rätt att skicka E-post med ert domännamn som avsändare. Mottagande mailsystem kan sedan enkelt kontrollera om E-post med ert domännamn som avsändare verkligen kommer från någon av de datorer som ni definierat. Nedan följer ett exempel på TXT-record för SPF:

domain.tld. IN TXT "v=spf1 mx -all"

Detta exempel betyder att endast de datorer som tar mot E-post för er domän (MX-record) har rätt att skicka E-post med ert domännamn som avsändare. På http://spf.pobox.com/wizard.html finns en lathund för att skapa det TXT-record som avspeglar er miljö. Självklart skall ni sätta upp ert eget mailsystem så att det gör SPF-kontroller för att ni i er tur skall slippa E-post med falsk avsändare i de fall SPF-information finns tillgänglig.

Det andra förslaget till julpyssel är portstängning i brandväggen. Handen på hjärtat, används verkligen alla de portar som ni öppnat för utgående trafik och hur rimmar brandväggskonfigurationen med säkerhetspolicyn? Med vetskap om att även utgående portar utgör en allt större säkerhetsrisk är det dags att täppa till de portar som inte används och definitivt dem som inte har stöd i säkerhetspolicyn. Nackdelen att göra detta under jul- och nyårshelgen kan vara att ni inte upptäcker all utgående trafik på grund av det lugn som råder, men å andra sidan är det inte ett tillräckligt starkt skäl för att ytterligare skjuta upp detta.

Steget från julpyssel med portstängning till ett nyårslöfte är inte långt. Ni kommer att upptäcka efter en genomgång av vilka portar som kan stängas för utgående trafik i brandväggen, att endast ett fåtal kvarstår. Två av dessa har blivit riktigt stora slasktrattar. Jag talar om TCP-port 80 och 443. Två portar som vi idag kör det mesta över och i de flesta fall sker det helt utan någon kontroll. Låt år 2005 bli det år när ni återtar kontrollen över dessa generella portar. Gör ni det inte så kommer år 2005 bli det år när ni helt förlorade kontrollen över trafikflödet till och från ert interna nätverk.

Med dessa rader vill jag tacka för den gångna hösten och tillönska en god jul och ett gott nytt år med förhoppning om ett snart återseende efter helgerna.

© 2004 Thomas Nilsson, Certezza AB