Strategier for netværkssikkerhed
Da design og implementering af et IP-internetmiljø kræver afbalancering af private
og offentlige netværkskrav, er firewallen blevet en vigtig delkomponent i beskyttelsen
af netværkets integritet. En firewall er ikke en enkelt komponent. NCSA (National
Computer Security Association) definerer en firewall som "et system eller en kombination
af systemer, der fastlægger en grænse mellem to eller flere netværk". Selvom der
benyttes forskellige begreber, kaldes grænsen ofte for et afskærmet netværk. Det
afskærmede netværk beskytter intranettet eller virksomhedens lokale netværk (LAN
– Local Area Network) mod indtrængen ved at kontrollere adgangen fra internettet
eller andre større netværk.
Følgende diagram viser et afskærmet netværk, der er afgrænset med firewalls og
placeret mellem et privat netværk og internettet for at beskytte det private netværk:
Grundlæggende afskærmet netværk
Organisationer benytter firewalls til at give sikkerhed på forskellige måder.
IP-pakkefiltrering giver dårlig sikkerhed, er svær at administrere og let at kompromittere.
Programgateways er mere sikre end pakkefiltre og lettere at administrere, fordi
de kun gælder for nogle få, bestemte programmer, for eksempel et bestemt e-mail-system.
Gateways på kredsløbsniveau er mest effektive, når brugeren af et netværksprogram
udgør en større trussel end de data, som programmet overfører. En proxyserver
er et omfattende sikkerhedsværktøj, der indeholder en programgateway, sikker adgang
for anonyme brugere og andre tjenester. Her er nogle oplysninger om de forskellige
muligheder:
• IP-pakkefiltrering
IP-pakkefiltrering var den første implementering af firewallteknologi. Pakkeheaders
undersøges for kilde- og destinationsadresser, TCP- og UDP-portnumre (Transmission
Control Protocol og User Datagram Protocol) og andre oplysninger. Pakkefiltrering
er en begrænset teknologi, der fungerer bedst i overskuelige sikkerhedsmiljøer,
for eksempel hvis der ikke er tillid til noget uden for det afskærmede netværk,
men der er tillid til alt inden for det afskærmede netværk. Nogle forhandlere
har inden for de seneste år forbedret pakkefiltreringsmetoden ved at føje funktioner
til intelligente beslutninger til pakkefiltreringskernen. Dette har skabt en ny
form for pakkefiltrering kaldet stateful protocol inspection. Du kan konfigurere
pakkefiltrering til enten at acceptere visse typer pakker og afvise alle andre
eller til at afvise visse typer pakker og acceptere alle andre.
• Programgateways
Programgateways bruges, når et programs egentlige indhold udgør den største trussel.
Det, at de er programspecifikke, er både deres styrke og begrænsning, eftersom
de er svære at tilpasse til teknologiske ændringer.
• Kredsløbsgateways
Kredsløbsgateways er tunneler, der er bygget gennem en firewall, og som skaber
forbindelse mellem bestemte processer eller systemer på den ene side med bestemte
processer eller systemer på den anden side. Kredsløbsgateways er mest nyttige
i de tilfælde, hvor den person, der bruger et program, udgør en større potentiel
trussel end de oplysninger, som programmet overfører. Forskellen mellem en kredsløbsgateway
og et pakkefilter er, at gatewayen kan oprette forbindelse til et eksternt programskema,
der kan tilføre yderligere oplysninger.
• Proxyservere
Proxyservere er omfattende sikkerhedsværktøjer, der indeholder firewall- og programgatewayfunktioner,
som administrerer internettrafik til og fra et lokalnetværk. Proxyservere stiller
også cachelagring af dokumenter og adgangskontrol til rådighed. En proxyserver
kan forbedre ydeevnen ved at cachelagre data, der ofte forespørges efter, for
eksempel populære websider, og stille dem direkte til rådighed. En proxyserver
kan også filtrere og slette anmodninger, som ejeren finder upassende, for eksempel
anmodninger om uautoriseret adgang til fortrolige filer.
Placer et afskærmet netværk i netværkstopologien på et sted, hvor al trafik fra
uden for virksomhedens netværk skal passere gennem afskærmningen, som opretholdes
af en ekstern firewall. Du kan finindstille firewallens adgangskontrol, efter
behov, og du kan konfigurere firewalls til at rapportere alle forsøg på uautoriseret
adgang.
Hvis du vil minimere det antal porte, som du skal åbne på den indre firewall,
kan du bruge en firewall på programniveau, for eksempel ISA Server 2000.
Yderligere oplysninger om TCP/IP finder du under "Designing a TCP/IP Network"
(Design af et TCP/IP-netværk) på adressen
Til toppen af sidenTrådeløs netværk
Trådløse netværk er som standard konfigureret, så det er muligt at lytte til
de trådløse signaler. De kan være sårbare, hvis en hacker får adgang til dem,
på grund af standardindstillingerne på noget trådløst hardware, den nemme adgang
i trådløse netværk og de aktuelle krypteringsmetoder. Der er konfigurationsindstillinger
og værktøjer, som kan beskytte mod aflytning, men husk, at de ikke beskytter computerne
mod hackere og virus, der kommer ind via internetforbindelsen. Det er derfor ekstremt
vigtigt at inkludere en firewall for at beskytte computerne mod uønsket indtrængen
fra internettet.
Yderligere oplysninger om at beskytte et trådløst netværk finder du under "How
to Make Your 802.11b Wireless Home Network More Secure" (Sådan gør du dit trådløse
802.11b-hjemmenetværk mere sikkert) på adressen
Til toppen af sidenNetværkssikkerhedsscenarier
Den grad af sikkerhed, som organisationen har brug for, afhænger af flere faktorer.
Det er som regel et kompromis mellem budgettet og behovet for at beskytte virksomhedens
data. Det er muligt for en mindre virksomhed at have en meget kompleks sikkerhedsstruktur,
der giver den bedst mulige netværkssikkerhed, men mindre virksomheder har muligvis
ikke råd til denne grad af sikkerhed. I dette afsnit undersøger vi fire scenarier,
og for hvert scenarie stiller vi forslag, der giver forskellige grader af sikkerhed.
Ingen firewall
Hvis én har forbindelse til internettet, men ingen firewall, skal der implementeres
en form for netværkssikkerhed. Der findes enkle netværksfirewallkomponenter, som
giver tilstrækkelig sikkerhed til at holde de fleste hackere ude.
En enkel firewall
Den mindste grad af sikkerhed, der kan anbefales, er at have en enkel firewall
mellem internettet og data. Firewallen giver muligvis ikke nogen avanceret sikkerhed
og må ikke antages for at være særligt sikker. Men den er bedre end ingenting.
Enkel firewall
Hvis budgettet tillader en mere sikker løsning, der kan beskytte deres virksomhedsdata.
ISA Server er en sådan løsning. Den forøgede omkostning til den ekstra server
giver en langt bedre sikkerhed end en normal forbrugerfirewall, eftersom de kun
stiller NAT (Network Address Translation) og pakkefiltrering til rådighed.
ISA Server-firewall
Denne løsning med én firewall er mere sikker end en simpel firewall og indeholder
Windows-specifikke sikkerhedstjenester.
Én eksisterende firewall
Hvis der er én eksisterende firewall, der adskiller intranet fra internettet,
bør du muligvis overveje en ekstra firewall, der giver flere måder at konfigurere
interne ressourcer til internettet på.
Webudgivelse er en af disse måder. Dette er, når der installeres en ISA Server
foran organisationens webserver, der giver adgang for internetbrugere. Med indkommende
webforespørgsler kan ISA Server fungere som en webserver over for verden udenfor,
der opfylder klientanmodninger om webindhold fra dens cachelager. ISA Server videresender
kun anmodninger til webserveren, når anmodningerne ikke kan efterkommes fra dens
cachelager.
En anden metode er serverudgivelse. ISA Server gør det muligt at udgive interne
servere til internettet uden at slække på det interne netværks sikkerhed. Du kan
konfigurere regler for webudgivelse og serverudgivelse, der bestemmer, hvilke
anmodninger der skal sendes til en server på det lokale netværk, for at skabe
en højere grad af sikkerhed for de interne servere.
Eksisterende firewall med tilføjet ISA Server
To eksisterende firewalls
Det fjerde scenarie er, at organisationen har to firewalls installeret med et
etableret afskærmet netværk (DMZ – demilitariseret zone). En eller flere af disse
servere stiller omvendte proxytjenester til rådighed, så internetklienter ikke
har direkte adgang til servere på intranettet. I stedet opfanger en af firewallene,
helst den interne firewall, netværksanmodninger til interne servere, kontrollerer
pakkerne og videresender dem på vegne af internetværten.
To eksisterende firewalls
Dette scenarie svarer til det foregående scenarie efter tilføjelsen af den anden
firewall. Den eneste forskel er, at den interne firewall, der understøtter omvendt
proxy, ikke er en ISA-server. I dette scenarie skal du arbejde tæt sammen med
administratorerne af de to firewalls for at definere serverudgivelsesregler, som
overholder sikkerhedspolitikken.
Til toppen af siden
Du skal være logget ind før du kan se eller skrive kommentarer til de forskellige indlæg. Klik her for at logge ind, eller oprette en bruger.
