Balans nr 6–7 2000

IT-säkerhet: Konkreta åtgärder för att skydda ett företags nätverk

– Syftet är naturligtvis att försvåra för en obehörig att överhuvudtaget kunna komma åt någon annans nätverk. Angrepp kan nämligen vara förödande, både för företagets anseende och ekonomi.

Det säger Johan Tornérhielm, civilingenjör och IT-säkerhetskonsult på Ernst & Young.

Han förklarar att en inkräktare kan lägga in oönskat material på hemsidan, infoga länkar som företaget absolut tar avstånd från och i övrigt göra företagets webserver omöjlig att använda genom olika typer av överbelastningsattacker (eng. Denial-of-service). På det sättet är den webserver där företagets hemsidor ligger en känslig produkt, vars säkerhet ägaren måste värna om.

Johan Tornérhielm förklarar illustrationen härintill. Ett exempel på ett skydd mot obehöriga angrepp på ett företagets nätverk E&y erbjuder sina kunder – tillsammans med ett Intrusion Detection System (IDS) – program.

1) ”Border router” dvs. ”gräns routern”

Är lämplig för att bl.a. fungera som ett första skydd ut mot Internet.

2) ”Firewall” det vill säga brandvägg

Den skiljer den yttre världen, exempelvis internet, från den inre världen, exempelvis ett lokalt nätverk med e-postkommunikation med mera.

3) DMZ = Demilitarized Zone

Vitsen med ett DMZ är att man där kan placera t.ex. sin webserver, mailserver m.m. som måste vara nåbara från utsidan. Om någon skulle lyckas få kontroll över t.ex. webservern (genom att utnyttja något säkerhetshål) skulle denne person ändå befinna sig utanför brandväggen. Om webservern fanns innanför brandväggen på det lokala nätverket, finns risken att angriparen skulle kunna ta kontroll över de andra maskinerna innanför brandväggen.

Det är dock viktigt att poängtera att det finns flera typer av nätverksarkitekturer som är ännu mer komplexa. Den som beskrivs i bilden är bara ett exempel på en klassisk nätverksarkitektur.

4) Intrusion Detection System (IDS)-program

Förutom den ovan nämnda nätverksarkitekturen är det också bra om man investerar i ett övervakningsprogram som IDS. Ett IDS har avkännare, ”sensorer”. Dessa kan automatiskt larma en administratör om ett känt attackmönster upptäcks. Det är en fördel om de finns på fler ställen i nätverket, t.ex. både utanför och innanför brandväggen.

IDS-program är dock relativt dyra och kräver mycket underhåll. Ett bättre sätt kan därför vara att använda program för att ”scanna av” nätverket efter kända säkerhetsproblem, som sedan kan täppas igen.

Pär Trehörning