Många företag har i dag gått över till virtuella servrar. Leverantörerna av brandväggar har förstås inte missat den här utvecklingen och många av dem erbjuder virtuella varianter av sina produkter.


Lika bra – men enklare
Eftersom det är samma mjukvara som används i både fysiska och virtuella brandväggar är säkerheten lika hög i båda lösningarna om de konfigureras korrekt. För leverantörerna blir det förstås en mycket enklare logistik och lägre kostnader då inga fysiska prylar behöver transporteras. Hypervisors som VMwares Vsphere innehåller dessutom klusterfunktioner som ger hög tillgänglighet för de vm:ar som kör virtuella brandväggar, och de är lätta att säkerhetskopiera och flytta mellan olika miljöer.

Både leverantörer och kunder uppskattar alltså virtuella brandväggar. Vi ska här ta en titt på några av dem och se hur de fungerar.




En virtuell brandvägg placeras, precis som en fysisk, mellan internet och det interna nätet.
Fördelen med en virtuell brandvägg är att den enklare kan flyttas, klonas och konfigureras.


Scenario

Ett mellanstort företag som redan har en virtuell infrastruktur från VMware på plats behöver en brandvägg som kan köras som en virtuell maskin i miljön. Produkten ska vara lätt att införa, ge goda filtrerings- och publiceringsmöjligheter och vara kostnadseffektiv. Företaget använder främst produkter från Microsoft i sin driftmiljö.


Microsoft Threat Management Gateway
Vi laddar hem en testversion av Threat Management Gateway 2010 och installerar på en Windowsserver som vi skapar i den virtuella miljön. Produkten bygger in sig enkelt och elegant i en befintlig Windowsmiljö och alla befintliga grupper i AD kan återvinnas för att skapa olika regelverk.

Det finns färdiga guider som gör det enkelt att publicera olika lösningar från Microsoft. Det är till exempel enkelt att publicera en Exchange-server på ett säkert sätt.

Det finns filter för olika protokoll, till exempel dns, http och ftp, som ska säkerställa att det inte smyger sig in annan sorts trafik via de portar som är avsedd för just de protokollen, men vi har förvånansvärt liten kontroll över hur filtreringen ska ske.




Här ser vi regelverket i Microsoft Threat Management Gateway. Här har vi valt att stoppa tillgång till sajter med tveksamt innehåll.



Threat Management Gateway integrerar vackert med resten av miljön om du använder Microsofts produkter. Här skapar vi en regel för att publicera extern åtkomst till Exchange 2010.



Threat Management Gateway kan inspektera ssl-trafik och ersätter
då webbplatsens certifikat med ett som den skapar själv.


Funderar över moralen
Vi noterar att det är mycket enkelt att inspektera https-trafik och funderar över moraliska och juridiska aspekter på detta, men ur ett tekniskt perspektiv är det ju trevligt att kunna övervaka även krypterad trafik.

TMG innehåller också virusskydd och kan söka av inkommande http-trafik efter virus i realtid. Man kan också stoppa de vanligaste överbelastningsattackerna och försök till att utnyttja buggar och svagheter i produkter som publiceras, i alla fall så länge det gäller Microsofts produkter.

De inbyggda filtren för smtp är avancerade och vi kan hindra skräppost och virus från att ta sig in. Om vi använder Exchange som e-postserver kan TMG knytas samman med den via Edgesync för att lära sig användarnas egna inställningar i Outlook för svartlistning av avsändare.

Vi har utmärkta möjligheter att filtrera utgående trafik för olika grupper av användare och Microsoft tillhandahåller också en databas med klassificeringar av sajter, vilket gör det enkelt för oss att stoppa tillgång till exempelvis porr- och spelsajter. Vi kan själva lägga till sajter till respektive kategori om vi märker att något saknas. Vi saknar däremot möjlighet att stoppa applikationer som till exempel bittorrent eller Live Messenger.

Loggningsfunktionen är hyfsat enkel att använda och vi kan skapa rapporter på hur och av vem internetförbindelsen har använts under vissa tidsintervall.


Anpassas till AD
TMG har inbyggd möjlighet att hantera vpn och anpassar sig efter inställningarna i AD för åtkomstkontroll. Det finns också en karantänfunktion där användare placeras innan de har kontrollerats och man har kontrollerat till exempel att de innehåller virusskydd och har de senaste säkerhetspatcharna installerade.


Så gjorde vi testet

Vi laddade hem demoversioner av de olika produkterna och körde i en miljö baserad på Vsphere 5.0. Vi hade en domänkontrollant och en klient ansluten till ett ”insidesnät” i den virtuella miljön och skapade sedan ett ”utsidesnät” där vi hade en router ansluten till internet. Brandväggarna anslöts sedan en efter en mellan de båda näten.