Forside Profil IT sikkerhed Søgemaskineoptimering Reference Ressourcer

Midlertidige links: vidensbank

Bufferzone

Sikkerhed i dybden

Alle militære forsvarsdoktriner i dag anvender begrebet forsvar i dybden, hvad enten disse doktriner er på dansk, engelsk, kinesisk eller et helt fjerde sprog. Lige som det militære forsvar, bør også netværks og computer forsvar være baseret på principper om dybde og opdeling, så man tidligt opdager at der er noget i gang, så evt. angribere skal i gennem mange lag før de kommer ind til de vigtige ressourcer, og så evt. skader kan inddæmmes og begrænses. Dette vil her blive beskrevet mere detaljeret.

Første lag. Opklaring

Første lag i ethvert forsvar er opklaring. Opklaring er det der skal give et varsel om at der er noget i gang, opklaring er det der fortæller hvad der kommer og giver et tidsvarsel om hvornår der kommer noget. Når vi taler IT sikkerhed, er der masser af muligheder for at holde sig orienteret og for at få diverse varsler, der er nyhedsbreve, web tjenester, blogs, fora og alle de oplysninger du kan fange i egne logs.

Nyhedsbreve: Mange forskellige web sites, personer og nyhedstjenester udgiver IT sikkerhedsspecifikke nyhedsbreve du med fordel kan læse, du skal dog være opmærksom på at der ikke er grund til at tilmelde dig et nyhedsbrev hvis du ikke læser det, du bør derfor være meget selektiv i hvad du vælger så du også får dem læst. Securityfocus er et gammelt og meget anerkendt web site, der har drevet adskillelige nyhedsbreve i mange år. Disse nyhedsbreve går under fællesbetegnelsen BugTraq og hvert nyhedsbrev er relativt smalt i sit scope. Kik på mulighederne og tilmeld dem der har din interesse. Når du kommer ind i sagerne vil du opdage at begrebet Bugtraq ID bruges over alt og er en slags identifikation af sårbarheder og exploits. Meget ofte kan du finde en specifik sårbarhed med tilhørende exploit på http://www.securityfocus.com/bid/

Milw0rm var/er oprindelig en hackergruppe, der i dag primært laver exploits. Milw0rm har masser af gode ressourcer liggende på deres web site og de udsender et fornuftigt nyhedsbrev som orienterer om hvad de har gang i. Som eksempel kan nævnes at største delen af de web site defacings, der blev foretaget af Tyrkiske scriptkiddies, blev gennemført med exploits, der er lavet af milw0rm og hvor sårbarheden for længst er patchet af fabrikanterne.

Securiteam er et andet sike ligesom Milw0rm, men mindre hacker præget. Securiteam udgiver flere rigtig gode nyhedsmails hvor de annoncerer både sårbarheder, exploits og værktøjer både til hacking og til IT sikkerhed.

Metasploit er et must site for alle der interesserer sig for IT sikkerhed, dels udgiver de et af de bedste fremeworks for exploit udvikling og her er også muligheder for at fange op på en masse IT sikkerhedsrelaterede ting helt fra de første hints.

Fora. Alle ovennævnte web sites har udover deres nyhedsbreve også gode fora tilknyttet. Igen er det ofte et spørgsmål om at finde et begrændset antal fora og så deltage aktivt her da man får mest ud af tingene hvis man er aktiv, Lidt små bladren rund i tilfældige fora giver ikke nok og er derfor spild aftid. Ud over de allerede nævnte bør du kikke på:

Spywarefri.dk er et web sted med forum, der er dedikeret til kampen mod spy- og malware de har et fornuftigt, kraftigt modereret forum, hvor du kan få rigtig god hjælp inden for deres valgte emne, Du kan også hente både værktøjer og vejledninger på dansk på deres web site og skulle det drille er de altid klar til at hjælpe.

Eksperten.dk er Skandinaviens største IT relaterede forum hvor du kan få svar på næsten alt. Forummet stærke side er at her kan du fange op på problemer og andet ting forhåbentlig før de rammer dig.

Fabrikant fora og nyhedsbreve er meget almindelige. Hvis du har en Checkpoint firewall-1 eller en cisco router, så vil og bør du kunne tilmelde dig fabrikanternes nyhedsbreve og på den måde holde dig orienteret om nyheder inden for produktet.

Tjenester som f.eks. Internet Storm Center

Andet lag. Routeren

Andet lag vil ofte være routeren, da den for det meste vil stå forrest på nettet. Dette sikkerhedslag er meget vigtigt, dels for at stoppe alt det trivielle, alle fejl ting og alle amartørene, dels for at filtrere alt ”fyldet” fra så det vigtige træder tydeligere frem længere inde i forsvaret, og endeligt for at give et varsel og indikationer på hvad der er i gang, så du kan forberede beskyttelsen dybere i sætuppet. Følgende ting er væsentlige.

Firewall funktionalitet: En router skal have firewall funktionalitet, helst af typen Stateful Inspection, og denne funktionalitet skal være konfigureret og slået til. Routeren bør stoppe alt det trivielle, alt det åbenlyse alt det man kalder absolut filtrering. Under ligger begreber som Ingress og Egress filtrering og filtrering af IP adresser fra f.eks. gotomypc og dem der listes i Internet Storm Center. Filtrer ikke IP adresser ukritisk, men overvej nøje hvad der skal fjernes.

Logging Logging er en forudsætning for at opdage at der foregår noget og hvad der foregår. Du vil opdage at en routerlog der jo er første forsvars linie fanger rigtig meget, og at der kan være svært at få hoved og hale på alle de mange forskellige ting der opfanges. Du bør ikke undlade at logge ting, for at få loggen mindre og mere overskuelig, det er meget bedre at efterbehandle log resultaterne, så du har mulighed for at blive mere detaljeret senere, hvis du skulle få behov.

Tredje lag, Bastions firewallen.

Bastionsfirewallen er dit systems hovedforsvarslinie, det er her tingene gerne endeligt skulle standses, da alle væsentlige ressourcer her stadig er beskyttede. Bastions firewallen har også den meget vigtige opgave at opdele dine ressourcer i zoner og således medvirke til at begrænse evt. skader inden for en zone (forhåbentlig)

DMZ er en forkortelse for Demilitariseret Zone og betegner et område at dit net, hvor du har ting stående som udgør en vis risiko for resten, men som der skal være adgang til. Normalt tillades kun i meget begrænset og helt specifikt omfang, trafik fra en DMZ ind til de andre zoner. Kun trafik fra Internettet og ind til DMZ, fra andre Zoner ind til DMZ og fra DMZ og ud på Internettet tillades, og herer ikke tale om generelle carte blanche tilladelser, trafikken filtreres så kun den absolut nødvendige trafik kommer igennem.

Når du vælger hvilken firewall du vil anvende som bastions firewall er det en vigtig parameter hvad det koster at sætte flere interfaces (det hedder det i firewall verdenen, i virkeligheden er der bare tale om en eller anden form for netkort) i løsningen, især i hardware løsninger kan dette godt koste en del. Fattigmandsløsningen er at have en DMZ hvor alt det farlige sidder på, men sikkerhedsmæssigt er det en stor fordel at opdele DMZ yderligere og du kan sagtens ende med ret mange forskellige zoner. F.eks. kunne du sætte følgende i sin egen zone:

Trådløse netværk. Har du et trådløst område der skal tilgå Internettet via dit normale net, bør det trådløse accesspoint sidde i sin egen DMZ, så du kan styre trafikken fra den trådløse del til resten af nettet Undervisningslokaler, test net, mødelokaler, gæste forbindelser og alle andre forbindelser, hvor du ikke har helt styr på hvem der lige sidder der i dag, hvilke maskiner der er tilkoblet og hvad deres brugere lige laver. Disse net stik bør helt sikkert placeres i egen zone. Andre net, f.eks. IP overvågnings kameraer, card nøgle netværk, og andre ikke deciderede data/computer net bør også afskæres hvis de da ikke køre i helt særlige kabler

Det er ikke bare DMZ man med fordel kan dele op, også det interne netværk bør opdeles i forskellige zoner alt efter f.eks. organisatorisk tilhørsforhold eller endnu bedre efter deres sikkerhedsmæssige behov. F.eks. kunne du opdele dit net i følgende zoner:

Chef zonen hvor direktionen sidder. Om deres sekretærer også skal sidde på dette net må man overveje i hvert enkelt tilfælde. Forskningszonen hvor udvikling og forskning foregår. Dette net skal mindst have sin egen zone, hvis det overhoved skal sidde på nettet, ofte vil disse net være totalt afskåret fra alt andet Økonomi zone, hvor regnskab og økonomi sidder. Disse ligger ofte inde med personfølsomme data og økonomiske oplysninger der skal beskyttes De andre afdelinger som personale, salg, lager, produktion bør også have egne zoner og afskærmes

Det er ikke altid man vælger at opdele i firewallen, man kan også lave noget af opdelingen som VLAN (Virtuelt lan) og med gode layer 3 switche kan man også få en hel del firewall funktionalitet ind mellem de forskelle virtuelle net.

Fjerde lag, Applikations proxyen.

En applikations proxy giver meget god sikkerhed for den specifikke type trafik, som den er lavet. Har du en web server, så giver det rigtig god mening at beskytte den bag en http applikations proxy som f.eks. Squid. Ulempen ved disse proxyer er at de faktisk kun kan håndterer trafik som de har indbygget moduler til, de er ofte relativt dyre og de er meget mere ressourcekrævende end f.eks. en stateful inspektion firewall. Disse forholder også grunden til at den slags firewalls bør placeres dybt inde i nettet, hvor største delen af trafikken allerede er filtreret fra af andre firewalls og hvor de, hvis de placeres rigtigt, kun skal håndterer den type trafik de er lavet til. Hvis du har lavet opdelingen af dit net i fornuftige zoner, som beskrevet oven for, så vil det også være relativt lige til at afgøre hvor du med fordel kan indsætte en applikations proxy. Ofte ser man f.eks. Squid oven på Netfilter evt. med jeanna som http proxy og Microsoft tjenester beskyttet af Microsoft ISA, der er relativt billig alt taget i betragtning og som giver rigtig god mening hvis den bruges til at beskytte Microsoft ting, i dette lag.

Femte lag. Maskinerne

Vi er nu nede og have fat i de enkelte maskiner, servere og klienter. Disse bør beskyttes som beskrevet i artiklen ”sådan sikre du din private computer” og du kan i denne sammenhæng betragte servere som ”private computere”. Den personlige firewall, hvis du vælger n af de gode af slagsen, giver rigtig god mening i sammenhæng med de andre sikkerhedstiltag. Hvor ”rigtige” firewalls kikker på trafikken, og filtrere på baggrund af TCP/IP og pakkernes indhold, så gør en personlig firewall oftest det at den kikker på processer og applikationer på den enkelte maskine. Når en proces forsøger at kommunikerer ud på nettet, vil den personlige firewall tilbageholde kommunikationen indtil brugeren har givet lov til at denne kommunikation kan forekomme. Vi tilføjer altså ikke blot endnu et lag i vores dybde forsvar, vi tilføjer også en ny teknologi. Man kunne kalde dette er virtuelt lag af sikkerhed og det vender vi tilbage til lige om lidt.

Der findes flere forskellige gode personlige firewall løsninger, særlig en skiller sig ud i netværkssammenhæng. Den danske Bitguard, der nu er opkøbt af Daneware og kaldes Netop desktop firewall, har nogle, set med en netværks administrators øjne, attraktive faciliteter. Den kan styres fra en server, på en sådan måde at det er administratoren der bestemmer hvad der skal tillades og hvad der ikke skal. Man kan endda køre med positivlister der beskriver hvad brugeren kan starte op på maskinen og hvad de ikke kan. Med denne firewall, vil en bruger kunne downloade en kazaa klient, men han vil ikke kunne installerer den og skulle den være installeret kan han ikke starte den.

Sjette lag, Det virtuelle lag.

Det virtuelle lag har vi allerede berørt ovenfor og vi skal fortsætte lidt af samme vej. Det drejer sig om at sørge for at en sårbarhed ikke laver hul hele vejen ind, man kalder det også for mono kultur. Hvis du f.eks. baserer alt din sikkerhed på Cisco bokse, helt fra routeren ind til klienterne, så kan du komme ud for at den samme sårbarhed, i f.eks. Cisco IOS, giver en hacker adgang ind gennem alle dine sikkerhedslag. Princippet er gældende ligegyldig hvad du anvender, om det er Cisco, Linux, Windows eller noget helt fjerde. Det drejer sig om at lave teknologi skift undervejs. Hvis du f.eks. bruger en Cisco router med firewall featureset, så anvend f.eks. en FreeBSD bastions firewall, brug ISA og Linux Netfilter som Applikations proxy og beskyttelse af de interne Zoner og Netop Desktop firewall på alle maskinerne. Et sådant setup vil kræve af hackeren at han er dygtig på mindst 4 forskellige styresystemer og at han kan finde sårbarheder og huller i alle 4 systemer på dit system inden for samme korte tidsrum. Det er ikke særligt sandsynligt at det findes.

Toppen (eller bunden).

Brugerne Al sikkerhed handler om mennesker og uden mennesker har sikkerheden ingen mening. Brugerne er det svageste led og det er næsten altid brugernes handlinger der kompromitterer sikkerheden når noget går galt. Når du har lavet din sikkerhed i dybden, så er rammerne for god sikkerhed sat og du mangler nu kun at sørge for at de ”soldater” der skal besætte skyttegravene i de forskellige lag, ved hvad de skal gøre. Mange gange er det kommunikationen der er et stort problem. En hver IT mand eller kvinde med respekt for sig selv kan tale på en måde så ingen almindelig bruger har en chance for at følge med. Det er meget vigtigt at tale til brugerne så de forstår hvad man siger, ikke tale ned eller op, men sørge for at budskabet når igennem, selv den bedste og dyreste sikkerhed kan gennemhulles af en bruger der ikke lige tænker sig om, eller også bare er ligeglad.

Kontakt Os

Bufferzone.DK
C.F:Richsvej 90
2000 Frederiksberg
Denmark

e-mail
info@bufferzone.dk

Zones

- GraficZone
- ScriptZone
- LinkZone
- BannerZone

FocusZones

- webpromotion
- søgemaskineoptimering
- søgemaskinepositionering
- Søgemaskine
markedsføring
- google
- SEO
- Hacking
-Google

Midlertidige links: vidensbank

Bufferzone

Sikkerhed i dybden

Første lag. Opklaring

Andet lag. Routeren

Tredje lag, Bastions firewallen.

Fjerde lag, Applikations proxyen.

Femte lag. Maskinerne

Sjette lag, Det virtuelle lag.

Toppen (eller bunden).

Læs mere om IT sikkerhed her:

Læs mere om Trådløs IT sikkerhed her:

Læs mere om Computer Forensics her

Læs mere om Windows Registreringsdatabase her

Læs også disse serier