Under attack!

1997-09-01

Snart finns det inte en dator som inte är nätansluten i någon form. I samband med att vi bygger nät, så utsätts vi också för nya risker. Våra lokala nät upplever vi oftast som en säker zon medan Internet får symboliserar den osäkra zonen. Allt vanligare blir det att etablera en mellanliggande zon för exponerade serverar. Den benämns lite olika i litteraturen, men två vanlig förkortningar är DMZ (DeMiliteriserad Zon) och SSN (Secure Server Network).

Den mellanliggande zonen har den egenskapen att alla icke önskvärda trafikslag stängs ute ifrån zonen. Exempelvis tillåts ingen annan trafik än HTTP till en WWW-server. WWW-servern måste vara bra på att hantera HTTP, men behöver inte alls vara lika bra på att hantera andra tjänster och protokoll. Exempelvis PING, som i sin enkelhet har förorsakat många attacker av typen Denail-Of-Service. Denail-Of-Service kan med visst överseende översättas till tjänsteknock, och resultatet av en attack är vanligtvis att servern är utslagen.

Den mellanliggande zonen skyddar inte bara ifrån icke önskvärda trafikslag utifrån det osäkra nätet, läs Internet, utan kan mycket väl skydda från icke önskvärda trafikslag inifrån vårt lokala nät, det vi många gånger upplever som “den säkra zonen”.

Om en attack till en server på det mellanliggande nätet trots allt lyckas, så medges INGEN access ifrån den mellanliggande zonen till vårt lokala nät. Alla attackförsök loggas, och eftersom en attack vanligtvis kräver en rekognoscering, så går det redan på ett tidigt stadium att notera vad som är i görningen. Det sistnämnda kräver dock lite engagemang av den som bevakar brandväggen. Varje larm från brandväggen måste analyseras och sparas för att sedan kunna nyttjas i en djupare analys om det blir nödvändigt. Ett larm ifrån brandväggen bör också medföra att beredskapen höjs och att man blir mer observant på aktiviteterna i brandväggen.

Det finns undersökningar som tyvärr påvisar motsatsen. Dan Farmer, en av utvecklarna av SATAN, genomförde en studie under november och december 1996. Studien omfattade 1734 amerikanska myndigheter och företag inom sektorn bank/finnans, dagspressen och sexindustrin. Denna målgrupp är ofta utsatta för attackförsök och anser sig ofta vara mån om att ha gott skydd för attacker. För jämförelse valdes slumpmässigt ytterligare 500 företag ut, utanför målgruppen, som kontrollgrupp. Dan var noga med att INTE dölja sina attacker och attackförsök.

Studien visar:
– 3 av 5 var sårbara för attacker i formen av intrång eller denial-of-service
– 1 av 5 hade inte åtgärdat kända brister i exempelvis servers
– den utvalda gruppen var mer än dubbelt så sårbar som kontrollgruppen
– endast 3 av drygt 2200 företag kontaktade Dan

Det är min stora förhoppning att det är bättre ställt här hemma och framför allt att medvetenheten är bättre. Det som skrämmer mig mest, är att endast 3 av drygt 2200 företag noterade att man var utsatt för attackförsök och kontaktade den som utförde attacken!

Tro nu inte att det är frid och fröjd om man inte har några kopplingar till Internet. De flesta nät är åtkomligare än vad man många gånger kan fantisera om. Medvetenheten om de hot och attacker som lurar i nätverken är oftast bättre hos dem som har anslutningar till Internet.