Har ni givit några nyårslöften som innebär en säkrare IT-miljö? Om inte är det högtid att staka ut årets bana för en säkrare IT-miljö. Här får ni lite hjälp på traven med tre förhållandevis enkla aktiviteter som till en ringa kostnad tar er ett relativt stort steg i rätt riktning.
Den första aktiviteten är en mycket enkel domänuppdatering som gör det betydligt svårare att skicka falsk E-post med ert domännamn som avsändare. Falsk E-post som ofta syftar till att lura mottagaren på information, så kallad phishing. Inom ramen för SPF (Sender Policy Framework) skall ni uppdatera er domän med ett TXT-record som berättar vilka datorer som har rätt att skicka E-post med ert domännamn som avsändare. Mottagande mailsystem kan sedan enkelt kontrollera om E-post med ert domännamn som avsändare verkligen kommer från någon av de datorer som ni definierat. Nedan följer ett exempel på TXT-record för SPF:
domain.tld. IN TXT “v=spf1 mx -all”
Detta exempel betyder att endast de datorer som tar mot E-post för er domän (MX-record) har rätt att skicka E-post med ert domännamn som avsändare. På http://spf.pobox.com/wizard.html finns en enkel lathund för att skapa det TXT-record som avspeglar er miljö. Använder ni er av flera domäner måste ni självfallet lägga upp ett record i varje enskild domän. Tänk på att dessa kan skilja sig åt.
Om ni inte redan har satt upp ert eget mailsystem så att det gör SPF-kontroller så är det ett naturligt avslut på den första aktiviteten. SPF-kontrollen innebär att ni i er tur slipper E-post med falsk avsändare i de fall SPF-information finns tillgänglig. SPF-kontrollen görs med fördel i det system som identifierar virus, standardavvikelser, spam etc.
Den andra aktiviteten är portstängning i brandväggen. Handen på hjärtat, används verkligen alla de portar som ni öppnat för utgående trafik och hur rimmar brandväggskonfigurationen med säkerhetspolicyn? Med vetskap om att även utgående portar utgör en allt större säkerhetsrisk är det dags att täppa till de portar som inte används och definitivt dem som inte har stöd i säkerhetspolicyn. Det finns ingen ursäkt att skjuta upp denna aktivitet längre.
Den tredje aktiviteten, vilken är ett naturligt steg efter den andra aktiviteten, är den aktivitet som är den mest omfattande men samtidigt är den ett mycket viktigt steg att ta. Ni kommer nämligen att upptäcka efter en genomgång av vilka portar som kan stängas för utgående trafik i brandväggen, att endast ett fåtal portar kvarstår. Två av dessa har blivit riktigt stora slasktrattar. Jag talar om TCP-port 80 och 443. Två portar som vi idag kör det mesta över och i de flesta fall sker det helt utan någon kontroll. RFC3093 känns inte längre som ett aprilskämt. Om er nuvarande lösning inte har tillräcklig intelligens till kontrollera detta måste ni otvivelaktigt komplettera lösningen i en eller annan form med mer intelligens. Låt 2005 bli det år när ni återtar kontrollen över dessa generella portar. Gör ni det inte så blev år 2005 det år när ni helt förlorade kontrollen över trafikflödet till och från ert interna nätverk.
© 2005 Thomas Nilsson, Certezza AB
Thomas Nilsson
