PERSONLIGE FIREWALLS
Er PCerne i det LAN du har ansvar for servere eller klienter?
Sikkerhedsproblematikken er helt forskellig for servere og
klienter.
En server skal behandle indgående forespørgsler
fra klienter. Hvis en server pludselig begynder at foretage
forespørgsler mod andre servere er der noget galt.
Der findes selvfølgelig specielle servere, f. eks.
WinFrame- eller printservere, som skal foretage forespørgsler
mod andre servere, men den almindelige administrative applikationsserver
hvor virksomhedens salgsplaner, prispolitik og kundekartotek
ligger lagret i letlæselige dokumenter, skal ikke lige
pludselig begynde at kommunikere med det åbne internet
af sig selv.
En klient skal foretage udgående forespørgsler
mod servere. Hvis en klient pludselig begynder at svare på
forespørgsler fra andre klienter er der noget galt.
Rent teknisk er der intet til hinder for, at en tilfældig
klient-PC begynder at fungere som router, men hvis den begynder
på det af sig selv er der noget galt.
Personlige firewalls er små billige, brugervenlige
programmer som beskytter PCere mod indtrængen udefra.
Beskyttelsen er baseret på regler (rules) ligesom i
de store firewalls, og reglerne beskriver om indgående
eller udgående access er tilladt, hvilke protokoller
reglerne drejer sig om (f. eks. E-mail, FTP, News Groups eller
Web Browsers) og hvilke adresser der er tilladte.
Teknisk set fungerer en personlig firewall ligeså
udmærket hvis den installeres på en server, og
performancemæssigt er det langt enklere at designe sig
til gode svartider, når serveren selv ordner firewallproblematikken
helt eller delvis.
Adgangen til at ændre rules i en personlig firewall
er eller kan være centralt administreret således,
at en gruppe af brugere kan administreres i fælleskab.
Herved opnås, at omkostningerne til administration af
firewall regler bliver faste og uafhængige af antallet
af brugere. Alternativt kan administrationen af firewall regler
lægges ud til de enkelte brugere hvorved det opnås,
at omkostningen til administration af firewall regler bliver
variabel med antallet af PCere.
En personlig firewall har eller kan have funktioner til
logning af adgang og adgangsforsøg således, at
man kan følge op på om der har været indbrudsforsøg
samt kontrollere, at den stedfundne adgang er som ønsket.
Kontrollen med indbrudsforsøg og stedfunden adgang
kan være centralt administreret. Herved opnås,
at omkostningerne til kontrol bliver faste og uafhængige
af antallet af brugere. Alternativt kan kontrollen lægges
ud til de enkelte brugere hvorved det opnås, at omkostningen
til kontrol bliver variabel med antallet af PCere.
Performancemæssigt er der store fordele ved personlige
firewalls, fordi belastningen bliver fordelt på mange
platforme, som ovenikøbet typisk har en del ledig kapacitet.
Et af de svære designproblemer i standalone firewall
løsninger er netop, at firewallen sjældent eller
aldrig har kapacitet til at matche de hubber og switche lokalnettet
iøvrigt er baseret på.
Performancemæssigt er det muligt at aflaste en standalone
firewall ved at lægge en del af firewall belastningen
på serverne eller klienterne. En stor dyr standalone
firewall har eller kan have avancerede firewall funktioner
som f. eks. afsløring af ondsindet java, kontrol med
mime-filer og virus-scanning, men den begrænsede kapacitet
i en standalone firewall gør det urealistisk at kontrollere
alt dette med en performance, der matcher en almindelig fast
ethernet switch. Ved at flytte dele af firewall belastningen
ud i de mange PCere, kan standalone firewallen friholdes for
belastning fra trafiktyper som kun behøver kontrolleres
for adresser, protokol og ind- eller udgående adgang.
Geografisk har den personlige firewall den fordel, at den
ikke kræver sin egen platform. Herved kan man fordele
firewalls geografisk uden at investere i mere hardware. En
personlig firewall har eller kan have beskyttelsesfunktioner
overfor al IP trafik, hvadenten den foregår via WAN
eller LAN således, at selv bærbare sælgere
kan beskyttes under rejsen.
OFFLINE nr. 23 - år 1999
|
