3Com har slitt hardt det siste året, men regner nå med å begynne å høste fruktene av reorganiseringen i tre ulike selskaper, for henholdsvis infrastruktur (Business Networks Company - BNC), aksessprodukter (Business Connectivity Company - BCC) og tilbyderprodukter, vesentlig for data og tale over IP (CommWorks, utskilt som selvstendig datter i desember 2000). Innen aksessprodukter skal det satses på en nyhet, nemlig nettverkskort med innebygget brannmur og kryptering, såkalt "Embedded Firewall". Dette er en produktserie 3Com har utviklet i samarbeid med Secure Computing Corporation, kjent blant annet for SideWinder-brannmuren.
- Jeg gleder meg til å selge dette, forteller James Walker som har ansvaret for produktet i Norden, Storbritannia og Midtøsten. I Norge er han med på arbeidet med å skolere potensielle partnere. Det brannmurende nettkortet skal selges gjennom to partnere i Norden. Det første skoleringsmøte holdes i juni. Salget kan komme i gang over sommeren.
Nettkortet er bygget ut med ekstra prosesseringskraft og minne, og finnes i ulike versjoner for klienter og servere, blant annet en utgave der sikkerhetshensyn tilsier at man holder seg til fiberoptisk kabling.
Prinsippet for Embedded Firewall er at brannmuren nedfelles i maskinvare, altså selve nettkortet, og styres av en dedikert server som forsyner hvert nettkort med reglene som brannmuren skal følge. Reglene kan begrense hva slags pakker nettkortet skal ha lov til å sende og motta, hvilke IP-adresser det har lov til å sende til og motta fra, og så videre. Det kan gjerne bestemmes at en klient skal kunne sende data til en server, men ikke motta noe derfra. Servere og klienter kan struktureres i grupper, der gruppen følger noenlunde felles regler. Styringen av regelserveren - "policy server" - skjer gjennom et standardisert webgrensesnitt. En regelserver kan holde orden på inntil 1000 nettkort. Et nettkort i en klient kan styres av inntil 64 regler, mens minnet på serverkortene kan motta inntil 128 regler. En server kan romme inntil 8 kort med hver sin integrerte brannmur. Serverkortene har i tillegg funksjonalitet for blant annet belastningsfordeling og failover.
- Man definerer gjerne sikkerhetsdomener med redundante regelservere, slik at nettkortene kan falle tilbake på en annen server hvis hovedserveren skulle falle fra, presiserer Walker.
Kommunikasjon mellom regelserver og nettkort krypteres etter et offentlig nøkkelsystem, med nøkkellengde på 56 eller 168 biter. Krypteringen og dekrypteringen ordnes i selve kortet. Kryptoprosessoren kan håndtere enhver form for IPSec-funksjon, slik at andre typer nettverkstrafikk kan også krypteres, uten at det går på bekostning av prosessorkapasiteten i selve serveren eller klienten.
- Produktet retter seg i hovedsak mot store miljøer innen for eksempel finans og offentlig myndighet, der man trenger et sterkt internt vern i tillegg til den sedvanlige brannmuren mot omverdenen. FBI rapporterte i fjor at 49 prosent av alle tilfeller av snoking stammet fra brukere innenfor hovedbrannmuren. Embedded Firewall gjør det mulig å regulere den interne nettrafikken slik at den utelukkende består av bevisst tillatte pakker mellom noder med et legitimt behov for å kommunisere med hverandre.
Walker mener sikkerheten i maskinvarebaserte lokale brannmurer er langt overlegen den man får gjennom programvarebaserte løsninger, særlig fordi brannmuren ikke kan saboteres gjennom finurlig anlagt fremmedkode som kan lures inn i en PC eller server på forskjellige måter.
- Brannmurer er til for å verne operativsystemet. Men programvarebaserte brannmurer er sårbare for angrep nettopp gjennom operativsystemet. Det blir en "Catch 22"-situasjon.
Med Embedded Firewall kan man legge opp til en standard konfigurasjon for en arbeidsstasjon, der brukeren hindres fysisk fra å drive med "sniffing", "spoofing" eller fra å håndtere fragmenterte IP-pakker. Har du en gjestarbeider som ikke trenger annet enn lokal programvare og e-post, kan brannmuren konfigureres til bare å tillate kontakt med en gitt server over port 110, og ellers avvise all trafikk. Trenger vedkommende internettilgang, kan man utvide tillatelsen til http og https over spesifiserte porter.
- Servere kan få regler tilpasset spesifikke funksjoner. En ftp-server kan tvinges til bare å godta ftp-trafikk. En server der det lagres følsom informasjon kan konfigureres til bare å kunne kommunisere med spesifiserte klienter. En webserver kan settes opp med to brannmurer, en mot det eksterne nettet, den andre mot det interne. Mot det interne nettet kan det bestemmes at trafikken bare skal gå én vei, nemlig inn til serveren. Er du gjenstand for et tjenestenektangrep, kan du fort rekonfigurere brannmuren slik at angrepet ikke ødelegger så mye for den legitime trafikken. Vi har en kunde i Nederland som sukket fornøyd da han oppdaget at det hadde tatt et par minutter å kvitte seg med Code Red for godt, i stedet for de tre månedene de måtte gjennom i sin tid.
Nettkort med innebygget brannmur og kryptering vil koste tre til fire ganger så mye som standard nettkort. 3Com regner med å få ferdig et PC-kort i løpet av oktober, slik at også bærbare enheter kan trekkes inn i ordningen. En annen forbedring for framtiden, er å gjøre det mulig for regelserveren å formidles over et virtuelt privatnett (VPN). Da ser Walker for seg at Embedded Firewall kan brukes av hjemmearbeidende og folk på farten, og at den også kan inngå som tjeneste fra internettilbydere.
