+45 75 64 33 99
info@actcom.dk
Blog
Segmentering: Underopdeling i sikre undernet
Internet Protocol IP gør det muligt at udveksle data på tværs af netværksgrænser. Oplysningerne indkapslet i IP-pakker er dirigeret på tværs af forskellige routere til deres destination. Denne routingsfunktion bruges af netværksadministratorer til at opdele virksomhedsnetværk i sammenkoblede undernet. Administrationens computere er tildelt administrationens undernet, og også maskiner i produktionen får deres eget netværkssegment ligesom med computere i afdelingens forskning og udvikling. Hvert af disse netværkssegmenter er forbundet med det omgivende virksomhedsnetværk via en router. Enhver kommunikation mellem undernettet bliver sendt via routerne.
Pakkefilter for mere sikkerhed
Det er fornuftigt at undersøge de omgåede datapakker ved routeren og at videresende kun tilladte datapakker. Det kunne være noget af interesse for virksomhedernes ledelse, at medarbejderne i afdelingen frit kan få adgang til websteder på internettet, mens på samme tid, men hvis følsomme data, såsom løn eller kontrakter forbliver utilgængelige i virksomhedens netværk og internettet. Disse er tilgængelige i Windows-netværk via Fil- og printerdeling.
Et pakkefilter installeret på routeren undersøger nu, om den passerende netværkstrafik indeholder forbindelser, der bruges ved fil- og printerdeling. Dette er TCP-forbindelser til porte 139 og 445. Hvis pakkefiltret registrerer IP-pakker, der indeholder TCP-kommunikation med disse porte, videresendes de ikke, men kasseres. Mens fil- og printerdeling inden for subnet forbliver funktionel til administration, kan den ikke overstige segmentgrænserne. Filer som lønsedler kan ikke fås fra andre netværkssegmenter.
En router, der filtrerer datastrømmen på denne måde, hedder en firewallrouter eller firewall for kort.
Disposition: Målrettet segmentering af individuelle systemer
Firewallreglerne for store undernet kan hurtigt blive forvirrende. Hvis de er for generøse, kan de udnyttes af angriberne. Hvis de er for smalle, kan funktionelle begrænsninger forekomme. Hver terminal i et segment er også en potentiel kilde til uønsket adgang. Specielt enheder og systemer med høje krav til beskyttelse – f.eks. Værktøjsmaskiner, medicinsk udstyr, men også ældre kontrolcomputere eller computere med forældet software – har nogle gange udnyttelige sårbarheder, der ikke længere er omfattet af reglerne. Dissektion betyder at identificere disse sårbare systemer i netværket og isolere dem i et separat netværkssegment – på en sikker ø – ved hjælp af små firewalls som Microwall. De nødvendige forbindelser mellem systemer på øen og det omkringliggende netværk fanges på forhånd og beskrives af en positiv liste over regler. Kun eksplicit godkendte datapakker videresendes, alle andre kasseres og logges om nødvendigt. Forsikrede systemer er således effektivt beskyttet mod hackere eller malware angreb såvel som imod menneskelige fejl. Der er kun få systemer på disse sikre øer. At disse er beskyttet af et smalt sæt regler, der er skræddersyet til opgaven ved hånden, sikrer betydelig øget sikkerhed.
Fræsning med Microwall er let at implementere og øger effektivt sikkerhedsniveauet i virksomhedens netværk. Dette gavner især mindre virksomheder, for hvis en udførlig segmentering efter afdeling ikke er umagen værd.
