Fem ting du må kunne for sikkerhets skyld

Det er fem teknologier som IT-folk må kunne i dag innen sikkerhet, mener Gartner.

8. nov. 2005 - 07:13

Gartner-analytiker Neil Rickard erkjenner at det er mye støy rundt IT-sikkerhet, og at det er vrient å skille ut det man bør sette seg inn i og gjøre noe med. På den pågående Gartner-samlingen i Cannes trakk han fram fem teknologier som har betydning for et stort antall miljøer, og som virkelig kan brukes til å løse aktuelle utfordringer.

De fem er:

  • lynmeldinger
  • tilgang til et lokalnett
  • 802.1x
  • Sikkerhet på port 80
  • SSL-baserte virtuelle private nett

Lynmeldinger

– Lynmeldinger er en stor sikkerhetsutfordring, mener Rickard. – Det er mange typer trusler, alt fra phishing til ormer og virus, og sikkerhetshull i klientene. Derfor er det viktig at IT-miljøet tar tak for å implementere regler for hvordan lynmeldinger skal brukes. Sikkerhetspolitikken må si noe om lynmeldingstjenester.

Alternativene er flere. Noen bedrifter forbyr dem helt, eller utelukkende tillater bruk av bedriftens egen interne lynmeldingstjeneste.

– Siden offentlige lynmeldinger er kommet for å bli, er det bedre å legge opp til et kompromiss, for eksempel at man tillater MSN eller Yahoo Messenger på betingelse av at man registrerer sentralt hvilke skjermnavn som brukes.

Rickard viser til at det finnes løsninger i dag som kan bidra til å hindre at bruken av offentlige lynmeldinger truer den generelle IT-sikkerheten i bedriften. Han mener disse hensynene er de viktigste:

  • autentisere alle brukere som sender meldinger ut av lokalnettet
  • skanne inn- og utgående meldinger for ondsinnet kode
  • håndheve regler for vedlegg og legge opp innholdsfiltrering for å avdekke misbruk, for eksempel sending av porno eller bedriftsinternt materiale
  • hindre «spim», det vil si spam over lynmeldinger

Rickard tror ikke på løsninger som logger all bruk av lynmeldinger.

– Slike løsninger er vanskelig å få til, rent teknologisk. De fører også gjerne til svulmende behov for lagring. Dessuten reiser de problemstillinger rundt personvern. Lynmeldinger brukes ofte til private utvekslinger. Det er ikke akseptabelt å avlytte de ansattes private telefonsamtaler, og det samme bør gjelde for lynmeldinger.

De tre store tilbyderne av lynmeldinger – Microsoft, Yahoo og AOL – har alle sertifiserte partnere som kan bidra til løsninger for sikrere bruk av lynmeldingstjenester. Rickard nevner spesielt Akonix, FaceTime og IMLogic. Ellers er det flere selskaper som tilbyr løsninger for lynmeldinger i tilknytning til mer omfattende IT-sikkerhet. Blant disse er Blue Coat, Cisco, Omnipod, Sigaba, Voltage og Websense.

Tilgang til lokalnettet

– De fleste lokalnett har lite eller ingen kontroll av hvem som kommer og går. Faren er ikke så mye at en utenforstående tar med sin bærbare PC, finner en tilknytning og begynner å snuse rundt. Faren er heller alt det som kan skje med både bærbare og stasjonære PC-er hos de faste brukerne.

Modellen for å løse dette ser omtrent slik ut:

  • Det må utarbeides en politikk som tar hensyn til både hvilke roller de ulike brukerne har, og hvilke apparater de bruker til å sanke tjenester i nettet.
  • Alt som kopler seg til nettet må sjekkes og overvåkes. Noen løsninger bruker en agent (av typen Cisco Trust Agent), men det er ikke hensiktsmessig i alle miljøer. Har man mange gjester og store endringer i staben, bør man vurdere agentfrie løsninger.
  • Når det avsløres ved oppkopling at brukere ikke holder seg til sikkerhetspolitikken, for eksempel ved at antivirus ikke er oppdatert, at det er ondsinnet kode på maskinen eller at sikkerhetsoppdateringer ikke er installert, må det være en tilpasset respons. Reglene må kunne gi begrenset tilgang, ilegge karantene til oppdateringene er gjennomført, eller blokkere helt.
  • Det må være en automatisert løsning som oppdaterer og fikser der det er påkrevd av hensyn til sikkerhetsreglementet.
  • Kontrollen kan ikke bare skje ved pålogging. Noen stasjonære PC-er blir aldri avlogget. De må følgelig overvåkes kontinuerlig, og systemet må kunne slå alarm og ta tiltak dersom det skjer noe med dem.
  • Skulle ondsinnet kode slippe løs i nettet, må det kunne tas tiltak for å isolere smittede klienter, eller generelt sett begrense klienters og serveres mulighet til å bidra til å overbelaste nettet.
  • Til slutt må det være klare rutiner for vedlikehold av alt fra PC-er til sikkerhetsregler.

– Ingen selger kan bidra med fullstendige løsninger på dette. Man må diskutere behovene med spesialister, og legge opp noe rask som reelt sett reduserer risikoen, mener Rickard.

802.1x

Dette er en protokoll for å registrere brukere og slippe dem inn på et nettverk. PC-en ber om godkjenning, og godkjenningen skjer i en prosess med en svitsj eller et trådløst aksesspunkt, og en autentiseringsserver.

– Det som er poenget her, er at 802.1x-kompatibilitet ikke sier så veldig mye om selve løsningen, og det sier heller ikke så mye om hvorvidt en 802.1x-løsning fra én leverandør passer mot 802.1x-utstyr fra en annen. Det innebærer også at løsningene innbyrdes sett er svært forskjellige. Microsofts løsning bygger for eksempel på sertifikater, mens Ciscos er noe mindre rigorøs. Derfor må kundene sette seg inn i problematikken, og definere hva de trenger før de kjøper noe.

Sikkerhet på port 80

Port 80 brukes til å komme seg ut på web, og må følgelig være åpen på både PC-er og webservere.

– Siden porten alltid er åpen, brukes den også av mange andre applikasjoner, som XML-prosessering og webtjenester. Dessuten har for eksempel Skype laget en proprietær IP-telefoniprotokoll som bruker denne porten. Skal du ha kontroll over trafikken over port 80, kan du komme et stykke på vei med en pakkeinspiserende brannmur, men du trenger samtidig noe mer.

Rickard anbefaler følgelig å supplere slike brannmurer med proxy caching.

– Cacher du det som kommer inn fra web, kan du også filtrere innholdet. Til en viss grad kan dette hindre ondsinnet kode fra å nå brukerne dine. Å cache det som går ut gjennom dine primære webservere bidrar ikke bare til bedre ytelse for populært innhold. Det gjør også at angrep treffer proxyen først, og det beskytter den egentlige webserveren.

Dette innebærer også at URL-filtrere er viktige.

– Her er det ingen som gjør alt, og du må sette sammen løsninger. Du kan kombinere URL-filtrering med proxy cacher i programvare eller ty til spesialisert maskinvare fra flere leverandører. Noen tilbyr alt-i-ett bokser til småbedrifter. De gjør nytten, selv om de ikke er så veldig avanserte.

SSL-baserte virtuelle privatnett (VPN)

Gartner setter IPsec VPN opp mot SSL VPN. Rickard mener at IPsec er en tung løsning, og at det er mange tilfeller der SSL kan gjøre jobben bedre.

– Med SSL, kan man legge opp en VPN som kontrollerer hvilke brukere får tilgang til hva, gjennom en nettleser. Man kan bruke javasnutter for å gi tilgang til tjenester som ikke kan leses direkte i en nettleser. Man kan nyansere tilgangen slik etter bruker, type klient og til og med tid på dagen. Har du for mange applikasjoner kan dette fort bli svært tungvint. Men har du noen få spesifikke applikasjoner som du mener folk bør ha tilgang til uansett hvor de befinner seg, så er det verdt å vurdere SSL-basert VPN.

Rickard ser ikke for seg at sammenkopling mellom to nettsteder kan skje med SSL VPN, slike løsninger krever IPsec. Men han regner med at alt som har med individuell tilgang til bestemte tjenester, etter hvert vil gå over til SSL VPN.

Til slutt anbefaler Rickard generelt sett å ha tillitt også til små aktører innen IT-sikkerhet.

– Mange av dem kan levere svært hensiktsmessige løsninger. Du må forvente utfordringer når du skal sette ting sammen, men du har ikke råd til å vente på at de store kommer på høyde med absolutt alle utfordringer. Du trenger beskyttelsen nå.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.