Sikkerhed kan ikke købes for penge

Trenden i disse år er at der bruges flere og flere penge på sikkerhed. Det er rigtigt godt for så bliver jeg ikke arbejdsløs ![Eksternt billede](http://www.version2.dk/uploads/smil3dbd4d6422f04.gif" alt="). Det der ærgrer mig ved det er at mange tror at sikkerhed kan købes for penge, i den mening af bare man køber den rigtige firewall eller det rigtige antivirus produkt, så er den hellige gral velforvaret.

Surprise - det er den ikke !

Jeg syntes det er enormt ærgerligt at gennemgå kunders firewall og så finde ud af at de har snydt sig selv ved at sætte den forkert op. Jeg gennemgår flest Checkpoint firewalls - men jeg er overbevist om at problemet er det samme med alle andre firewalls på markedet.

De fejl jeg ser oftest er:

  • Dårlig netværksbaseline / topologi
  • DMZ er ikke en DMZ
  • ANY ALLOW regler
  • Zone spanning rules

Det er meget få kunder der har forstået den med at segmentere netværket - OG lave adgangskontrol imellem segmenterne så det kun er arbejdsbetinget trafik der flyder rundt i netværket. Den der med kun at give ansatte den adgang til interne servere de rent faktisk behøver for at kunne udføre sit arbejde, er også noget jeg ser meget sjældent.

Jeg fandt ud af meget tidligt i mit job at bare fordi man kalder en netværkszone for DMZ så er det meget sjældent den samme definition af en DMZ jeg har. For mig er en DMZ en netværkszone hvor ingen hosts selv kan initiere en netværksforbindelse - hverken ud på internet eller ind på virksomhedens interne netværk. Det har den store fordel at bliver en server hacket, så kan hackeren ikke bruge hosten som et springbrædt til at hacker andre fra. Jeg oplever alt for tit at for en admin er DMZ bare et navn man har givet et netværk uden faktisk at vide hvad det betyder.

ANY ALLOW bruges generelt ALT for meget. Jeg oplever alt for tit alt for mange firewallregler hvor der enten tillades alle trafik typer til eller fra et ip nummer imellem zoner eller til eller fra internet. Hvor tit har man reelt behov for at en host skal bruge AL trafik i verden'. Nej vel' Lad være med at være doven. Tillad kun den trafik du ved du skal bruge og afvis alt andet. Så ved du at en kompromitteret host ikke kan bruges til at sende farlig trafik til andre med - hvis den overhovedet kan modtage noget farlig trafik.

Jeg syntes at objektorienterede firewall som Checkpoint FW-1 og Cisco ASA er enormt smart. Jeg fatter bare ikke at Checkpoint tillader at en admin kan lave zone spanning rules. Det betyder at en admin kan putte hosts fra flere forskellige netværkszoner i den samme gruppe og tildele dem alle de samme adgange. Det er ALT for nemt at tildele flere rettigheder til de enkelte hosts end det kan begrundes - og alt for nemt at miste overblikket.

Og overblik er alfa og omega på en firewall. Mange FW-1 har op mod 200 regler med et utal af host- og serviceobjekter. Hvem kan overskue det? Jeg kan ikke - og jeg vover den påstand at ingen kan - ikke uden hjælp i form af værktøjer der kan analysere regler på en firewall og hjælpe med at vurdere om reglerne er tillader for meget trafik, eller om der er flere regler der overlapper. Rigtig god idé at købe - eller at få nogen til at gennemgå reglerne periodisk.

Det virker som om man i virksomhederne kun fokuserer på at købe hardware og slet ikke bekymrer sig om alle de penge man bruger på hardware giver value - og klart - uden uddannelse i produktet og af folk der ikke er kompetente, er pengene spildt. Det ser jeg tit - og det er dælme ærgerligt at man ikke lige bruger lidt flere penge, og så køber uddannelse oveni.

Husk det : Sikkerhed er ikke et produkt man kan købe. Sikkerhed er en proces hvor et produkt som en firewall kan indgå. Produktet må aldrig stå alene.

Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Poul-Henning Kamp Blogger

Det har den store fordel at bliver en server hacket, [...]

Jeg er langt hen ad vejen enig med dig, men jeg synes du springer over det allerførste lave sted på stakittet her:

Det har den store fordel at bliver en server hacket, [...]

Hvis man vil have et sikkert netværk, så starter man med et operativsystem der ikke er hullet om en si og som ikke tvinger dig til at installere alt muligt andet hullet software, som du ikke har brug for.

Jeg synes den der "når/hvis en server bliver hacket" holdning er lige så latterlig som når Monty Python lader en admiral sige "Kanibalisme er et problem flåden stort set har under kontrol."

Poul-Henning

  • 0
  • 0
#3 Klavs Klavsen

Hej PHK,

Vi kan hurtigt blive enige om at hvis de insisterer på at køre windows, bør de gøre alt for at sikre den også - eller måske hellere vælge et operativsystem som har en bedre trackrecord mht. sikkerhed. Men måske har windows platformen nogle features de mener at have behov for. Hvem ved :)

Man kan IMHO ikke forvente at der bare skiftes OS, og så må man fokusere på den situation kunden så er i, og her vil det uanset, hjælpe at have en ordentlig/sikker netværksopsætning.

Så få huller i firewalls som muligt og en ordentlig segmentering af netværket.

Hvilken segmentering der så lige passer en, afhænger jo af mange ting.

Man kunne f.ex. vælge at lave 5 netværkssegmenter til ens desktop-maskiner - og putte 1/5 af computerne i hver afdeling i hvert sit segment. På den måde vil et udbrud som, af en eller anden grund kommer forbi den personlige firewall på skrivebordspc'erne og inficerer de andre, så vil man stadig have 80% arbejdsdygtige i hver afdeling.

Mht. at implementere en ordentlig netværkssikkerhed, kan det sagtens være nemt, billigt og vedligeholdelsesfrit.

nemt: Bruger man windows klienter, kan personlig firewall opsætning rulles ud vha. AD. På unix'er kan det gøres via f.ex. cfengine/puppet. Opsætning af firewalls burde være lige til for en kompetent netværksmedarbejder. Jeg vil anbefale at man laver en rollebaseret firewall opsætning og så bare tildeler roller til de servere der nu engang udfylder den pågældende rolle. Det er langt nemmere at vedligeholde og overskue.

billigt: Giver man én kompetent netværksmedarbejder halv tid i 2 måneder (dvs. udgiften = 1 måneds løn for én person) så burde opgaven være færdiggjort i de mest almindelige virksomheder.

Vedligeholdelsesfrit: Når først det virker, er der ikke noget der skal holdes vedlige. Skal der implementeres nye services eller flyttes noget skal der selvfølgelig lige opdateres lidt i ens firewall opsætning, men det er jo ikke det store.

  • 0
  • 0
#7 Klaus Agnoletti

@PHK God pointe - jeg laver et blogindlæg snart om defence in depth - der vil det være oplagt at tage den problematik med. Dette indlæg var om firewalls, så derfor var min antagelse at en server kan hackes. Expect the worst :)

Og - windows KAN godt gøres sikkert. Det er besværligt, der skal patches konstant - men det er ikke umuligt..

/k

  • 0
  • 0
#8 Lars Roark

Generelt er jeg enig med dine (og de øvrige bidrag) betragtninger omkring firewall. Og vores firewalls opsættes langt hen af vejen efter lignende idealer. Men vi matcher ikke 100%. Som eksempel er det ikke usædvanligt, at vi tillader selv en DMZ-server at hente tid på en tidsserver (Ud fra din bekrivelse ville du jo sørge for at DMZ-serveren i stedet får "påført" tiden udefra).

Jeg undrer mig lidt over anvendelsen af "netværkszone" i sammenhæng med DMZ. Det rigtige er vel, at en DMZ server står alene - netværksmæssigt ?

-Lars

  • 0
  • 0
#9 Klaus Agnoletti

@Lars

Ingen regler uden undtagelser, og generelt mener jeg også at trafik til WSUS servere etc bør tillades - ellers står man pludseligt med et helt andet problem.

Grunden til at jeg formulerer mig sådan er at det skam også er muligt at tillade trafik fra DMZ til LAN - og det er ligeså forkert - om ikke mere. Det ser jeg også tit ..

/k

  • 0
  • 0
#10 Henrik Kramselund Jereminsen Blogger

Jeg er enig med mange af ovenstående kommentarer, godt indlæg :-)

Et andet problem er at folk idag bruger firewalls, og firewalladministration som morfar gjorde det.

Der er meget få der overvåger hvad der sker, hvilke regler bliver ramt, hvor ofte, hvorfra, hvortil osv.

Ligeledes er versionsstyring og hele administrationen af processen, hvem må oprette regler, hvem godkender forøvrigt INDEN der oprettes regler, hvor ofte SKAL reglerne gennemgås - man kan i visse tilfælde sætte en ejer på reglerne.

Ja, der findes værktøjer til at styre de tekniske ting som versionsstyring, men igen lander det på mennesker - som er en stor trussel mod sikkerheden.

Administrationen er mindst lige så vigtig som valget af operativsystem og leverandør til firewall.

  • 0
  • 0
Log ind eller Opret konto for at kommentere