Holm & Bertram
Konsulenter i
datatransmission
tlf: +45 7013 1010

Hovedside

Information

Intro



Kontakt mig

 

Må frit gengives med kildeangivelse

Windows 2000 sikkerhed

 

Kører I Windows/2000? Så kan I måske afskaffe virksomhedens Firewall og nedbringe omkostningerne!

For at forstå hvordan det kan hænge sammen, er det nødvendigt at se nøjere på hvad en Firewall gør, og hvad Windows/2000 kan.

Hvad en Firewall gør

Den oprindelige betydning af ordet "Firewall" var en router sat op på en særlig måde. Hvor en almindelig router er sat op til at rute trafik al den trafik den modtager, var en Firewall sat op til at blokere uønsket trafik.

Blokeringen bestod i, at
Firewallen havde statisk definerede ARP entries, der pegede på Internet routeren, web serveren og andre udvalgte adresser således, at andre maskiner end de statisk udpegede ikke kunne påtage sig uplanlagte roller.
Firewallen havde statisk definerede filtre på IPv4 adresse og TCP/UDP port numre således, at kun planlagte trafiktyper fik lov at køre.
Firewallen havde nøje planlagte begrænsninger på anvendelsen af ICMP redirect, rutningsprotokoller og statiske ruter således, at al trafik var tvunget til at gå igennem Firewallen.

En sådan "Neanderthal" Firewall behøver kun et ben til lokalnettet, og etbenede Firewalls er stadig den dag i dag det man vælger, hvis man skal implementere høj performance billigst muligt.

Et af problemerne med etbenede Firewalls er, at routerne og serverne skal være sat op således, at de ikke kan køre uden om Firewallen. Driftmæssigt og organisatorisk er dette lettere sagt end gjort fordi, opsætning af de forskellige maskintyper gøres på forskellige tidspunkter af forskellige mennesker, istedetfor samtidig og af en enkelt m/k.

Mangebenede Firewalls

For at tvinge trafikken igennem Firewallen uanset hvordan routere, servere osv. var sat op, introduceredes mangebenede Firewalls, typisk med 2, 3 eller mange ben. En tobenet Firewall havde et "indre" og et "ydre" ben, en trebenet Firewall havde indre, ydre og "demilitariseret zone", DMZ.

Fordelen ved mangebenede Firewalls var og er, at al Firewall opsætning sker i én maskine, hvorved betydelige mængder planlægning og uddannelse kan spares, og fejlmulighederne reduceres. Opgaven med at vedligeholde virksomhedens Firewall bliver lettere at styre, og i mange virksomheder vælger man at lægge dette arbejde ud til trediepart, og betale sig fra det istedetfor at gøre det selv.

Denne fordel er dog samtidig en ulempe! Iogmed at alt skal igennem Firewallen, er der en tendens til, at flere og flere routerfunktioner havner i Firewallen, så den bliver meget indviklet. F.eks. kører adresseoversættelse (NAT) tit i en Firewall.

En anden ulempe ved mangebenede Firewalls er, at de er dyre og langsomme sammenlignet med Ethernet switche og WAN routere og, at de blokerer for nye anvendelser, som der ikke er noget ondt i.

Et godt eksempel på det sidste er dagens VoIP H.323 NPAT ALG situation (alfabet suppen betyder "Voice over IP Telephony Gateway Network Port Address Translation Application Level Gateway"). Der er en del Firewalls ude i virksomhederne, som man simpelthen ikke kan køre IP telefoni igennem.

Usynlige Firewall funktioner

En moderne Firewall er ganske let at sætte op. Brugergrænsefladen er menustyret, og de fleste almindeligt anvendte funktioner installerer sig selv, uden at man som ansvarlig behøver forholde sig særskilt til dem. Eksempler på sådanne "usynlige" funktioner er
DoS beskyttelse
Stateful Inspection
RSA baseret VPN
NAPT ALG

Andre funktioner kræver lidt opsætning, men er lettere at sætte op end i en router. F.eks. kan man umiddelbart angive i en Firewall, om en tilladelse vedrører ind- eller udgående trafik, medens dette typisk er lidt bøvlet at sætte op i en router.

Hvordan er virksomhedernes Firewalls i praksis sat op?

Så simpelt så muligt. Det helt overvejende indtryk når man bladrer igennem nogle eksempler på kørende Firewalls er, at virksomhederne vælger et niveau der kræver så lidt planlægning og dokumentation så muligt.

F. eks. er det ikke ualmindeligt, at virksomhederne filtrerer IP adresser svarende til det man ville i en almindelig WAN router opsætning, og overlader resten til de "usynlige" funktioner i Firewallen, istedetfor at have besvær med at finde ud af præcis hvad der skal være åbnet og lukket for.

Man ser også tit, at virksomhederne åbner for HTTP (TCP port 80), uden at forholde sig til Java. Det svarer til at sætte en dyr lås på hoveddøren, og derefter opsætte et skilt med teksten: "Hvis du har glemt din nøgle, ligger der en nøgle under måtten."

Web tjenesterne er med på spøgen. F. eks. kræver certificering, kryptering og validitetscheck en del usædvanlige protokoller, som sjældent er eksplicit tilladt i en typisk Firewall opsætning. Ude på Internettet ordner man dette problem ganske enkelt: Man slører simpelthen hvad det er der foregår, ved at køre den usædvanlige protokol med almindelig HTTP som transportprotokol således, at, den usædvanlige protokol slipper igennem fordi, Firewallen tror det bare er almindelig Web trafik.

Forklaringen på, at dette trick kan lade sig gøre er, at Firewallen ikke blokerer Java. Med Java kan en Web-site omprogrammere slutbrugerens PC og få den til at køre en hvilkensomhelst protokol med HTTP som transportprotokol.

 

OFFLINE nr. 35 - år 2002