Vem i IT-världen kan man lita på?
För några veckor sedan hjälpte vi en kund att felsöka ett komplicerat kommunikationsproblem. I samband med felsökningen så inventerade vi kundens kommunikationslösningar. Där noterade vi bland annat en “skyddad” Internetaccess. Den skyddade Internetaccessen bestod av en förbindelse till en leverantör som tillhandahåller både brandväggstjänst och Internetaccess.
Idén är god. För många är ett eget skydd, exempelvis en brandvägg, en kostsam investering. Köper man tjänsten, så kan man långsamt ansluta sitt företag till Internet och successivt växa avseende användningen av accessen. Inledningsvis är det många som enbart önskar möjligheten att “surfa” och utbyta E-post. Nästa steg är vanligtvis att man önskar att exponera servers. Exempelvis en egen web-server eller en egen DNS. Köper man tjänsten i form av en central brandvägg hos leverantören så är det sällsynt att man ges möjligheten att exponera servers lokalt. I detta läge är det många som väljer att etablera ett eget lokalt placerat skydd, exempelvis en brandvägg. Alternativet till en lokal lösning är att köpa tjänsten, exempelvis ett web-hotell.
Tillbaka till kunden som köper tjänsten för att erhålla en skyddad Internetaccess. Kunden har ett fullgott skydd från Internet, vilket stämmer väl överens med både kunden och leverantörens syn på tjänsten. Det varken kunden eller leverantören har haft i åtanke är att flera kunder delar på tjänsten i form av en central brandvägg. Samtliga kunder ansluts till en standardkonfigurerad router på den skyddade sidan av brandväggen. Gissa vad detta medför? Alla kunder kommunicera med varandra fullt ut! Ingen kedja är starkare än den svagaste länken. Brandväggen som alla fokuserat på gör sitt jobb. Den tillåter inte att trafik initieras från Internet. Den tillåter heller inte kunderna att kommunicera med varandra. Men, vad hjälper det då andra komponenter tillåter det?
Oavsett om Ni väljer att köpa en tjänst för att skydda Er Internetaccess eller väljer att etablera ett skydd lokalt, så skall Ni vara kritisk. Den säkraste brandväggen kan se ut som en såll om den konfigureras fel. Exemplet ovan, hämtat från verkligheten, visar att leverantören måste ha både ett bredare och djupare kunnande. Allt för många fokusera bara på sin produkt och ser det som vilken standardprodukt som helst. Är Er verksamhet extra intressant att angripa, spionera på eller sabotera anser jag att Ni skall anlita en tredje part som verifierar den lösning Ni valt och verifiera det arbete Er leverantör gjort. Detta är intressant även för leverantören att få ett kvitto på att lösningen håller måttet och klara de attacker som är kända idag.
Thomas Nilsson
