![[Forrige artikkel]](../../gifs/prev.gif)
![[Indeks]](../../gifs/up.gif)
![[Neste artikkel]](../../gifs/next.gif)
![[CW hjemmeside]](../../gifs/cw.gif)
1. "Bruken av brannmur vil derimot ikke kunne forhindre at den sensitive informasjonen blir sendt ut på Internet".
I et leserbrev i Computerworld nr. 7 har signaturene "hth" og "amr" en del betraktninger omkring Internet, brannmurer og informasjonssikring. Leserbrevet gir en god oversikt over de problemer man møter når konfidensialitet av data skal sikres. Deres konklusjon er at separate nett er nøvendig for å begrense tilgang til følsom informasjon. Etter min vurdering er enkelte av de påstandene som fremkommer om brannmurer ikke helt korrekte, og fortjener en kommentar.
Det er fullt ut mulig å begrense hvilke tjenester man gjør tilgjengelig gjennom en brannmur. I det ekstreme tilfellet kunne man sette opp en brannmur slik at kun inngående post var tillatt, og at utgående FTP (put-kommandoen) ikke var tilgjengelig. Digital har et antall brannvegger mellon vårt interne nettverk og Internet hvor FTP er begrenset på denne måten. Vi tillater imidlertid utgående post, fordi vi forutsetter at alle medarbeidere vurderer konfidensialitetet av informasjonen de behandler før de sender slik informasjon til utenforstående.
Med mindre alle brukerne i nettverket er klarert for tilgang til alle data, kan man ha et tilsvarende problem også uten tilknytning til Internet. I de fleste systemer i dag finnes det informasjon som ikke skal være tilgjengelig for alle brukere av systemet. Man kan avlytte nettverkstrafikk, slik at selve bruken av følsom informasjon kan representere en risiko. Enkelte har løst dette problemet med interne brannvegger i nettverket, slik at de som må ha tilgang til fortrolig informasjon arbeider innenfor en brannvegg, men kan gå ut på det "åpne" nettet for å hente den informasjon de trenger der.
2. "I tillegg er en brannmurløsning både kostbar og kompetansekrevende å installere og vedlikeholde".
Brannmurer kan bygges på mange måter - fra en enkel "screening router" til et mer komplisert 2-maskinopplegg. De mer komplekse løsningene kan implementere en mer detaljert styring av tjenester, og gi bedre loggingsmuligheter. Den løsningen Digital leverer som en del av "Digital Firewalk Service", benytter en eller to maskiner. En slik løsning har vi benyttet oss av de siste syv årene for å beskytte vårt interne nettverk overfor Internet.
Oppsett av en effektiv brannmur krever en god del kompetanse og helst erfaring. Men når en brannmur først er satt opp korrekt, begrenser arbeidet seg til oppfølging av systemlogger. Selve brannmuroppsettet trenger ikke endring, med mindre man skal endre de tjenester som er tillatt. Som tommelfinger-regel regner vi med at ca. én dag i uken vil medgå til gjennomgang av logger for en systemadministrator.
Dette oppfølgingsarbeidet er viktig. Hvorfor skulle man investere i et sikringsiltak hvis man ikke følger opp at det virker? Man må veie dette mot kompleksitet (og kostnadene) med dupliserte nettverk - flere terminaler/PC pr. bruker, duplisert kabling, mer manuell dataoverføring og redusert produktivitet. Man må være oppmerksom på at delte nett virkelig må være fysisk (og ikke bare logisk) adskilt, fordi man ellers kan avlytte nettverkstrafikk.
Det sentrale spørsmålet når man diskuterer sikkerhet i nettverk er å formulere en klar sikkerhetspolicy. Hvilke tjenester er tilgjengelig? Hvem skal kunne gjøre hva? Dette kan så sammen med vurderinger av dataenes følsomhet, verdi, krav fra lover, konsesjonsbetingelser m.m. danne grunnlaget for en konkret løsning. En slik sikkerhetspolicy må ha støtte fra ledelsen for å kunne ha noen effekt, og må følges opp med skolering av brukerne - hvorfor har man reglene? I motsatt fall risikerer man at enkelte brukere kommer opp med "kreative" uautoriserte løsninger.
Hva er reellt sett en brannmur? Det er konkretiseringen av en sikkerhetspolicy i praksis. Den bygges mellom to nettverk for å fremtvinge at policy blir fulgt for så vidt det angår utveksling av informasjon mellom nettverkene. I denne forbindelse er Internet "just another network" som man må forholde seg til og ha en policy overfor.
For en nærmere diskusjon av brannmurer kan man blant annet se på vår norske WWW-tjener: http://unix.digital.no/tjenester/Security/home.html
Man må imidlertid ikke glemme at media som bånd og disketter også fremdeles i denne nettverkenes tid kan brukes til lekkasje av informasjon. Det finnes liten statistikk om "datakriminalitet", men enkelte antar at så mye som 90 prosent er utført av legitime brukere. BJøRN MYHRHAUG, BRANNVEGGMURER, Digital Equipment CORP. AS. BJORNMY@NWO.DEC.COM
LAILA B. CARLSEN
![[Image map not available]](../../gifs/artmap.gif)