Vem i IT-världen kan man lita på?
För några veckor sedan hjälpte vi en kund att felsöka ett
komplicerat kommunikationsproblem. I samband med felsökningen så
inventerade vi kundens kommunikationslösningar. Där noterade vi
bland annat en "skyddad" Internetaccess. Den skyddade
Internetaccessen bestod av en förbindelse till en leverantör som
tillhandahåller både brandväggstjänst och Internetaccess.
Idén är god. För många är ett eget skydd, exempelvis en brandvägg,
en kostsam investering. Köper man tjänsten, så kan man långsamt
ansluta sitt företag till Internet och successivt växa avseende
användningen av accessen. Inledningsvis är det många som enbart
önskar möjligheten att "surfa" och utbyta E-post. Nästa steg är
vanligtvis att man önskar att exponera servers. Exempelvis en egen
web-server eller en egen DNS. Köper man tjänsten i form av en
central brandvägg hos leverantören så är det sällsynt att man ges
möjligheten att exponera servers lokalt. I detta läge är det många
som väljer att etablera ett eget lokalt placerat skydd, exempelvis
en brandvägg. Alternativet till en lokal lösning är att köpa
tjänsten, exempelvis ett web-hotell.
Tillbaka till kunden som köper tjänsten för att erhålla en skyddad
Internetaccess. Kunden har ett fullgott skydd från Internet, vilket
stämmer väl överens med både kunden och leverantörens syn på
tjänsten. Det varken kunden eller leverantören har haft i åtanke är
att flera kunder delar på tjänsten i form av en central brandvägg.
Samtliga kunder ansluts till en standardkonfigurerad router på den
skyddade sidan av brandväggen. Gissa vad detta medför? Alla kunder
kommunicera med varandra fullt ut! Ingen kedja är starkare än den
svagaste länken. Brandväggen som alla fokuserat på gör sitt jobb.
Den tillåter inte att trafik initieras från Internet. Den tillåter
heller inte kunderna att kommunicera med varandra. Men, vad hjälper
det då andra komponenter tillåter det?
Oavsett om Ni väljer att köpa en tjänst för att skydda Er
Internetaccess eller väljer att etablera ett skydd lokalt, så skall
Ni vara kritisk. Den säkraste brandväggen kan se ut som en såll om
den konfigureras fel. Exemplet ovan, hämtat från verkligheten,
visar att leverantören måste ha både ett bredare och djupare
kunnande. Allt för många fokusera bara på sin produkt och ser det
som vilken standardprodukt som helst. Är Er verksamhet extra
intressant att angripa, spionera på eller sabotera anser jag att Ni
skall anlita en tredje part som verifierar den lösning Ni valt och
verifiera det arbete Er leverantör gjort. Detta är intressant även
för leverantören att få ett kvitto på att lösningen håller måttet
och klara de attacker som är kända idag.
