Hur osäkra är de enkla brandväggslösningarna?
Många företag, främst de mindre och mellanstora, väljer allt oftare att investera i allt enklare brandväggslösningar. Troligtvis för att ekonomin styr allt hårdare och för att de enklare lösningarna upplevs enkla att administrera. Något som också värdesätts är möjligheten att rackmontera dem och om den brede diverse-handlaren har den i sitt sortiment. De större företagen styrs av helt andra faktorer. Målet med investeringen är att brandväggslösningen skall förhindra intrång. Ett intrång som kan allvarligt skada vilken verksamhet som helst. Givetvis borde målet att förhindra intrång vara det samma för alla som investerar i en brandväggslösning.
En enkel regel är att man får vad man betalar för. En produkt som kostat tusen mantimmar att utveckla är givetvis billigare i inköp än en som kostat en miljon mantimmar att utveckla. Klart är att även försäljningsvolymen påverkar priset, men sanningen är den att brandväggsprodukter säljs i förhållandevis små volymer. Produkten som tagit tusen gånger fler mantimmar att utveckla, har givetvis funktioner som inte syns på ytan utan det är funktioner som försvårar de allt mer komplicerade intrången.
För att åskådliggöra skillnaden mellan en så kallad brandväggslösning och en fungerande brandväggslösning så kan nedanstående exempel visa på olikheter mellan en bra och en mindre bra lösning. Det skall sägas att nedanstående exempel inte kan appliceras på alla enklare lösningar, men exemplet är lättöverskådligt.
Exempel på vad en brandväggslösning skall hantera vid FTP
När en klient etablerar en FTP-session görs det vanligtvis på TCP port 21. En port kan liknas vid en tjänsteidentifierare. I anropet begär klienten svar på en godtycklig port, normalt strax över port 1024. Detta är inte något problem att hantera för en brandvägg. Det hela är så här långt en traditionell TCP-session. När sessionen väl är etablerad, kan en kompetent produkt spärra vilka FTP-kommandon som tillåts. Något som exempelvis är användbart vid exponering av en FTP-server där man hindra omvärlden från att kunna skriva på servern.
Vid överföring av data finns det två metoder att välja. Passiv mode (PASV) och port mode. Den sistnämnda har använts sedan urminnestider och innebär att servern etablerar en ny session vid själva filöverföringen. Servern etablerar normalt den nya sessionen via TCP port 20. Brandväggslösningen måste alltså tillåta att en utomstående part etablerar en session till det interna skyddade nätet. I det enklaste brandväggslösningarna är det fritt fram för vem som helst, när som helst, att etablera en session från det externa nätet (läs Internet) till det interna skyddade nätet. En kompetent brandvägg kan hantera detta.
När passiv mode väljs för dataöverföring, etablerar klienten en ny session på en av servern utvald port, något som oftast både är bättre och säkrare.
Vad kan hända om en TCP eller UDP port står vidöppen för omvärlden?
I princip vem som helst kan köra nästan vad som helst på en godtycklig port. Exempelvis TCP port 20. Få har väl undgått att läsa om de bakdörrar som planterats i diverse utrustning och som sedan accessas via Internet. Exempel på detta är Netbus. Netbus använder i och för sig TCP port 12345 som standard, men det är lätt att ändra. Andra portar som ofta lämnas vidöppna är TCP port 25 (SMTP) och UDP port 53 (DNS). En brandväggslösning måste förhindra möjligheterna att nyttja exponerade tjänster för annat än de avses för.
Teknikerna för attacker och intrång utvecklas
Exemplet ovan med FTP är ett ganska gammalt exempel på hur man kan nyttja hål i en brandväggslösning. Ändå finns det brandväggslösningar som säljs idag som har dessa brister. Med detta i åtanke och med vetskap om att tekniken för attacker och intrång utvecklas i rasande takt, så kan det vara svårt att utveckla och förfina en brandväggslösning i samma takt om det inte är tillverkarens huvudsakliga levebröd. Brandväggsprodukten och den lösning som produkten ingår i måste utvecklas i minst samma takt tekniken för intrång och attacker utvecklas.
Kan vem som helst installera en brandvägg?
Vem som helst, nästan, kan installera en brandväggsprodukt. Men, det är inte lika vanligt att diverse-handlaren vet och förstår hur produkten skall anpassas för just din miljö. Hjulen uppfinns inte en gång och inte två gånger. Hjulen uppfinns tusental gånger i samband med installation och anpassningar. De som attackerar system, uppfinner inte hjul. De har redan någon annan gjort, de som attackerar system funderar på att finna en lucka eller ett hål som ingen annan upptäckt ännu. Det är ganska stor skillnad på fokus.
Vad betyder en brandväggscertifiering från ICSA?
Lever man i en svart-vit värld, så betyder en certifiering från ICSA ingenting. Det vill säga att en certifiering av ICSA sållar bort någon procent av de produkter som aldrig borde ha nått marknaden. Tyvärr är en certifiering från ICSA inte någon garanti för att brandväggsprodukten är skottsäker.
PS! Bara för att en box är märkt med ordet Firewall, så behöver den inte vara en sådan.
Thomas Nilsson
