Boks verner webtrafikk mot angrep og misbruk

Brannmur er ikke nok når port 80 er åpent for webtrafikk. Blue Coat har en boks som verner mot alt fra ondsinnet Java til DoS-angrep.

Blue Coat Systems er det nye navnet til CacheFlow, en av mange børskometer som dukket opp på Wall Street senhøstes 1999. På et tidspunkt da siste kjente årsomsetning var 10 millioner dollar, og resultatet minus 6,6 millioner, var aksjekursen 121 dollar og markedsverdien 4,1 milliarder dollar. I dag er finansene noe bedre, og aksjekursen 0,56 dollar.

Les også

CacheFlows opprinnelige produkt var en webakselerator, altså en boks med spesialutviklet operativsystem og nedfelte applikasjoner som sørget for å mellomlagre populære nettsider og levere dem lynraskt til nye forespørrere. Markedet for slikt er blitt trangere, og selskapet har følgelig valgt å klatre oppover i verdikjeden ved å satse på det populære temaet IT-sikkerhet.

I går introduserte selskapet sitt nye produkt, Port 80 Security Appliance, og skiftet samtidig navn til Blue Coat. Det dreier seg om en (blå) rack-ferdig boks i 1 U høyde, med eget operativsystem og nedfelte applikasjoner. Operativsystemet er grunnleggende sett det samme som CacheOS - poenget er blant annet rask diskaksess - men er omdøpt til Security Gateway OS.

Boksen overvåker trafikken på port 80, og tar fortløpende avgjørelser om inn- og utgående data skal slippes gjennom, avvises, eller endres. Poenget er, at så sant ditt lokalnett slipper brukerne ut på Internett, skjer dette over port 80. En brannmur kan gjerne stenge alle andre porter, men port 80 må stå åpen. Følgelig brukes port 80 ikke bare av alle de verdifulle tjenestene brukerne henter fra nettet, men også av alt skvipet de søler bort tiden sin på, og av alle hackerne som sikler etter dine hemmeligheter eller vil sabotere deg med et DoS-angrep.

Ifølge en undersøkelse som Blue Coat har fått gjennomført, sier 64 prosent av de 800 respondentene at de har åpnet port 80. Nærmere halvparten innrømmer at de ikke har tilstrekkelig vern mot misbruk av port 80. Blant farene de nevner at de ikke beskytter seg mot er ondsinnet kode formidlet over hypertekstprotokollen (HTTP), uproduktiv surfing og multimediastrømmer kaprer båndbredde.

Port 80 Security Appliance, også kalt SG800 (for "security gateway"), er beregnet på å løse disse problemene.

Maskinvaren er ikke spesielt oppsiktsvekkende. Apparatet installerer seg selv, og kan rekonfigureres løpende. Programvaren er oppgraderbar. Diskene kan byttes under drift.

Funksjonaliteten ligger i programvaren. En "Policy Processing Engine" beskrives som et system for å definere sikkerhetsregler ut fra individuelle brukere, grupper av brukere, tidspunkt, sted, protokoll, brukeragent, type innhold med mer. En "Web Knowledge Framework" analyserer trafikken fortløpende for å identifiserer headere, protokoller, type innhold, webadresser og en rekke andre elementer. Denne analysen leverer data til regelmotoren.

Boksen kan identifisere brukere, webadresser og IP-adresser. Det betyr at den kan hindre bestemte brukere fra å forholde seg til bestemte nettadresser, eller hindre at de når annet enn helt bestemte tjenester. Den kan integreres mot virusverktøy fra Symantec og Trend Micro for å beskytte mot virus. Den kan identifisere nettlesere, multimediaspillere og andre klientverktøy som kommuniserer over port 80, og følgelig avverge bruk av programvare som ikke svarer til det bedriften har definert som norm. Den kan sette grenser for hvor mye båndbredde bestemte typer trafikk kan disponere, og følgelig utestenge DoS-angrep og hindre multimediaapplikasjoner fra å kapre ressurser utover bestemte grenser. Boksen gjenkjenner formater som Real, Windows Media, QuickTime, MP3 og Flash.

En viktig egenskap er evnen til å endre innhold både på vei ut og på vei inn i nettverket. Det kan brukes til å hindre eksterne maskiner fra å samle intern informasjon. Det kan også brukes til å varsle brukeren om at et nettsteds Java-snutter er fjernet, slik at visse tjenester ikke kan nås. Den fjernede Java-snutten kan eventuelt innkapsles og forsynes med en digital merkelapp som dirigerer den til en "sandkasse" for nærmere analyse.

I tillegg kommer logging, varsling, rapportering og liknende. Gammel CacheFlow-funksjonalitet er bevart: Apparatet er fortsatt en proxy server med cache.

- I forhold til våre planer, kommer den nye boksen på et svært gunstig tidspunkt, sier forretningsutvikler Knut Arne Nygård i Blue Coats norske distributør IPnett as til digi.no. - Vi har i løpet av det siste halvåret planlagt å satse på sikkerhet. Produktet er svært aktuelt innen den nye nisjen "content networking".

Modellene som er aktuelle i Norge, differensieres etter båndbredde. Boksen til 2 Mb/s vil selges for rundt 50.000 kroner, den til 10 Mb/s vil prises til det dobbelte.

Til toppen