Firewalls – Ordet alene kan starte ophedede diskussioner, hvor forskellige begreber kastes på banen og hvor tingene llynhurtigt bliver religiøse. Skal det være FreeBSD eller Linux. Er en software firewall det samme som en personlig firewall. Er en personlig firewall i det hele taget en friewall og er det nok at have sådan en er blot nogle af de mange spørgsmål der kan stilles.
Firewall Typer.
Artiklen Firewall typer forsøger at give en indføring i de forskellige typer af firewalls der findes. Artiklen har en teknologisk indgangsvinkel til emnet, og kan derfor godt være en stor mundfuld for folk der ikke har en vist grundlæggende viden omkring netværk og hvordan den slags trafik fungerer. Emnet forvirres af at der er mange forskellige begreber, der bruges forskelligt af de forskellige leverandøre. En af årsagerne skal findes i den hårde konkurrence der hersker på området. Når en leverandør opfinder et nyt begreb, der giver denne leverandør en sikkerhedsmæssig fordel, så vil man se de andre spillere på markedet lave tilsvarende, men sjældent helt ens løsninger, som så kaldes det samme for at kunne konkurrere på markedet. Eksempler på dette er begreber som Statefull Inspection og DMZ. Man skal altid holde tungen lige i munden, når man foretager teknologi valg. kik på hvad den enkelte leverandør forstår ved de begreber han forsøger at sælge sin boks med. Se hvordan teknologien er implementeret, og foretag så valg ud fra det.
Firewall Regler
Selv den dyreste og bedste firewall kan konfigureres forkert, eller sættes op løsere end den behøver, og selv den bedste og mest sikre konfiguration, kan ændres hvorved store huller og nye muligheder for hackerne åbnes.
Artiklen Firewall Regler beskriver i detaljer hvordan disse bør opbygges og hvilke overvejelser man bør gennemgå når man skal sætte den slags op. Der er to overordnede principper man som minimum bør overholde for at tilsikre at reglsættet bliver sæ sikkert som muligt.
Første princip er at man altid starter fre en lukket og slukket perimeter. Dette betyder at første regl er luk for det hele, intet tilladt og undlad at reagerer på noget som heldst. Herefter åbnes for de ting vi positivt har besluttet os for at tillade. Princippet er at man ikke banner og udelukker f.eks. IP adresser, i stedet tillader man dem der må få adgang. Det er klart at det ikke altid er den mest praktiske måde at gøre tingene på, men som overordnet hovedprincip, bør altidn gøres efter dette princip.
Næste princip er at håndtering af udgående regler har hovedprioritet i forhold til indgående regler. Dette lyder måske lidt mærkligt, idet en firewall jo skal sørge for at hackerne ikke kan komme ind. Argumentet er at en hacker i virkelig godt må komme ind, hvis han ikke kan komme ud, er der ingen skade sket. Fornuften i dette princip bliver først gennemskuelig, når man opnår en vis viden om hvordan hacking foregår. Her er de vise sten, at de fleste exploits virker således at man i stedet for at hacke ind, får en indvendig server til at forbinde ud. Som eksempel på hvad der her menes kunne vi kikke på reglerne omkring port 80, der jo skal åbnes indefra for at brugerne kan surfe. De fleste steder er port 80 så generelt åbnet for trafik ud, men dette er langt fra nødvendigt, f.eks. skal web serveren eller mailserveren vel ikke kunne surfe på internettet. Web serveren skal kunne svare på udefra kommende forespørgsler på web sider, men den skal ikke selv kunne gå ud og hente web sider på andre servere. Derfor skal port 80 kun være åbnet for de arbejdsstationer, hvor der sidder folk der har behov for st surfe.
Firewallen i det samlede billede.
Det er klart at firewallen, ellere rettere firewallene, er en del af det samlede billede og at overvejelserne bør have sammenhæng med infrastruktur og teknologivalg på alle områder. Artiklen sikkerhed i dybden, som jeg også nævnte i posten i går, giver nogle råd og vejledninger til hvordan man bør indtænke placering i infrastrukturen og hvordan man kan tænke i teknologivalg når man de signer sin sikkerhed.
Spørg roligt
Hvis du har spørgsmål, bemærkninger eller kommentarer så skal du ikke holde dig tilbage læg en kommentar så vender jeg tilbage med et svar. Alle seriøse kommentarer og bemærkninger accepteres også selvom vi er uenige. Racistiske, sexsistiske, hadefulde eller på anden måde stødende ting fjernes uden videre
