[Forrige artikkel] [Indeks] [Neste artikkel] [CW hjemmeside]

Bedre brannvegger

Alle skal ha Internet, noe som øker etterspørsel på brannvegger for å holde uvedkommende ute. Mange leverandører tilbyr løsninger, men sikkerhet, pris og funksjoner varierer enormt.

Anders Løvøy

-- Den eneste 100 prosent sikre måten å være en node i Internet, er å koble noden fra det interne nettet. Selv om denne påstanden fortsatt er sann, begynner det nå å bli mange og gode produkter for å holde inntrengere ute. De to nye brannveggene gir et godt bildet av spennvidden i dette markedet.

Den nye programvarebaserte brannveggen FireWall 1 fra SunSoft er billig, forenkler administrasjon, og gir en relativt høy sikkerhet. The Norman Firewall er opprinnelig utviklet på bestilling fra DoD (Department of Defense) i USA. Den er laget for å tilfredsstille B1 sikkerhet, krever en dedikert maskin for å kjøre, og ligger i en helt annen prisklasse.

Brannvegg

Målt etter hva som selges under betegnelsen brannvegg, kan man trygt si at en brannvegg kan være litt av hvert. Alt fra rutere med aksesslister til dedikert maskinvare har gått under denne betegnelsen, og noen klar definisjon finnes ikke.

Men for at noe skal kunne kalle seg brannvegg er det enkelte krav som tross alt bør oppfylles. Det nærmeste definisjon en kommer er å si at en kan skille nettet i en intern og en skyttergravsdel ved hjelp av en brannvegg. En del av nettet er sikker, og en del er åpen for utenverdenen. Når all trafikk med utenverdenen må gå gjennom et punkt på det egne nettet, har man infrastrukturen til en brannvegg.

Hvilken funksjonalitet som skal ligge på brannveggen hersker det derimot liten enighet om. De enkleste produktene har i praksis bare flyttet ruter-funksjonalitet til en portner-maskin, og lagt til litt sjekking mot aksesslister og enkel pakkefiltrering. De dyreste produktene har innført fysiske skiller mellom innsiden og utsiden, skjuler nettverksadressene på innsiden fra utsiden, og er helt andre produkter.

Sikring

Den enkleste formen for sikring er rutere med aksesslister. Dette er vanlige rutere, som kan konfigureres til å stoppe pakker av spesielle typer mellom enkelte IP adresser eller adressesegmenter. Dette regnes ikke som brannvegger, men de billigste brannveggene inneholder i praksis ikke mer funksjonalitet.

Allikevel er denne pakkefiltreringen en viktig del av alle brannvegger. I et IP (Internet Protocol)-nett blir alle data stykket opp i mindre biter, såkalte IP-pakker, før de blir sendt over nettet. Alle disse pakkene inneholder adresse-informasjon og informasjon om hvilken type tjeneste som utføres.

Ved å se på informasjonen i pakkene mot hva som er definert tillatt eller ikke, avgjør brannmuren om pakken skal slippes gjennom eller ikke. Som en ruter med aksesslister, kan en brannvegg stanse pakker, men den kan i tillegg logge ulovlige forsøk, holde oversikt over lovlige sesjoner og forhindre at inntrengere overtar en lovlig sesjon. Denne og lignende funksjonalitet skiller intelligente pakkefiltre fra rutere med aksesslister, og vil langt på vei holde uønskede elementer ute.

Bevisst

Allikevel er et bevisst forhold til sikkerhet fra organisasjonens side noe av det viktigste for å kunne ha en god sikkerhetsløsning mot Internet. Samme hvor dyr og god den er, er det fullt mulig å installere en brannvegg på en slik måte at den gir minimal sikkerhet.

Man vil dessuten ofte ha deler av nettverket som skal ligge på utsiden av brannveggen, og det er nok av eksempler på at sensitive data er stjålet fra den usikrede delen av bedrifters nettverk.

For fattig og for rik

Sunsoft og Norman lanserer brannvegger

I hver sin prisklasse tilbyr Sunsoft og Norman Data Defense brannvegger mot Internet-inntrengere. Sunsoft mener at en programvareløsning er bra nok, men Pentagon fikk Norman Data Defense til å server/programvareløsning.

Anders Løvøy

FireWall 1 er en brannvegg som baserer seg på intelligent pakkefiltrering. Samtlige IP-pakker blir filtrert, og for samband som ikke er forbindelsesorienterte vil filteret selv holde orden på sesjoner for å forhindre at en inntrenger overtar en sesjon fra en lovlig bruker.

For å kjøre Firewall 1 trenger du en 486 PC med to nettverkskort som kjører Solaris. Selve pakkefilteret kan installeres på flere maskiner i nettet, og samtidig bli administrert fra ett punkt. I prinsippet kan derfor alle maskinene i nettet settes opp med egne pakkefiltre og egne regler.

Patent

SunSoft har inne en patentsøknad på sin måte å filtrere pakker på. Firewall 1 benytter en teknikk som de mener gir svært høy ytelse. Når en konfigurasjon er bestemt, vil Firewall 1 kompilere dedikert kode som behandler det spesifikke sikkerhetsregimet og sende den ut på de maskinene som skal filtrere pakker. Dette gir, ifølge SunSoft, så bra ytelse at filteret ikke påvirker gjennomstrømshastigheten til pakkene.

Dersom en pakke ikke godtas, droppes den bare. Dette innebærer at en inntrenger aldri vil få rede på at så faktisk har skjedd. For inntrengeren vil det virke som om adressen ikke eksisterer.

FireWall 1 vil også konfigurere aksesslistene på Cisco og Wellfleet rutere, slik at de gjenspeiler sikkerheten som er definert i systemet.

Administrasjon

Sikkerhetsregimet vedlikeholdes gjennom en regelbase som definerer aksjoner på pakketyper til og fra forskjellige adresser eller adressegrupper. Selve regelbasen vedlikeholdes gjennom et administrasjonsverktøy som gir en enkel og grei oversikt over reglene.

Systemet har som standardverdi at alt er sperret, og baserer seg på at man åpner funksjonalitet med regler.

FireWall 1 fra SunSoft importeres av Multix AS, er leveringsklart, og koster i grunnversjon for inntil 50 systemer i underkant av 50.000 kroner.

Brannmur med antivirus

Norman Data Defense Systems har samarbeidet med amerikanske C&A for å lage sin brannvegg. Resultatet er en brannvegg som også sjekker alle data du tar inn for virus. The Norman Firewall er opprinnelig designet på oppdrag fra det amerikanske forsvaret, og er noe av det sikreste som er å få kjøpt i dag.

Anders Løvøy

The Norman Firewall er ikke beregnet på Hvermansen AS. Med en pris på rundt 250.000 kroner er dette en brannvegg for de som stiller meget strenge krav til sikkerhet. Og dersom du mener at en brannvegg som brukes av det amerikanske forsvaret er bra nok for deg, er dette løsningen.

-- Vi tror ikke på rene pakkefiltre, sier Jay Nispel, en av sjefsdesignerene bak brannveggen. Han mener at så lenge det er en direkte forbindelse mellom omverdenen og det interne nettet, er ingen ting sikkert.

Dual home

Derfor har The Norman Firewall såkalt dual home. Det innebærer at når en maskin på innsiden tar kontakt med en maskin på utsiden, er det i virkeligheten brannveggen som kommuniserer med den eksterne maskinen. På den måten blir aldri interne IP-adresser sendt ut på det eksterne nettet.

I det vanntette skottet foregår det også virussjekking av alle data. Dette gjelder også E-post som blir sendt. For hva hjelper det å ha rutiner på sjekking av disketter dersom viruset sendes over linje? Norman tar mål av seg å levere komplett sikkerhet, med alt det innebærer.

Allikevel innrømmer Nispel at det eneste som er helt sikkert er å ikke være tilkoblet.

-- Men jeg ville ha brukt et år på å bryte meg inn på denne maskinen, og jeg vet hvordan alt virker, sier Nispel.

Fire

Brannveggen består i virkeligheten av fire maskiner, og leveres spesialkonfigurert for alle kunder.

-- Gjennomgangen av sikkerheten for hver enkelt kunde er en viktig del av en installasjon. Det er viktig at kunden er bevisst på hvordan sikkerheten skal være, sier Kristian A. Bognæs, ansvarlig for brannvegger i Norman Data Defense System AS.

Administrerende direktør i Norman Data Defense Systems, Gunnel Berdal Wullstein, mener at markedet for denne brannveggen er større organisasjoner med strenge sikkerhetskrav. Men Norman ser et behov for å kunne dekke opp mindre bedrifter på sikt. I et slikt marked vil også Norman kunne tilby et intelligent pakkefilter med logging og autentiseringsfunksjoner.

DÅRLIGE TIDER: Det dukker stadig opp flere og bedre brannvegger på markedet, så Internet hackerne går nok mot dårligere tider (Foto: Roar Nerdal).

STOPPES: Uønskede inntrengere stoppes enkelt og effektivt ved hjelp av FireWall 1, mener daglig leder Rolf Rennemo i Multix. (Foto: A. Løvøy)

ADMINISTRASJON: Administrasjonen i FireWall 1 er enkel og oversiktlig.

SKIKKELIG: Dette er en skikkelig brannmur, rene pakkefiltre holder ikke for bedrifter som stiller strenge krav til sikkerhet, mener Kristian A. Bognæs fra Norman Data Defense Systems AS. (Foto: A. Løvøy)

PAKKEFILTER: -- Vi vil komme med et intelligent pakkefilter for å få produkter for hele markedet, sier administrerende direktør Gunnel Berdal Wullstein i

[Forrige artikkel] [Indeks] [Neste artikkel] 

[Image map not available]
Artikkel automatisk generert, 07/04-95, kl. 18.32 cw@oslonett.no