Brandväggar utrustade med utm, unified threat management, har funnits på marknaden i flera år. De utmärker sig inte bara genom att kunna blocka trafik, utan även genom stöd för krypterad vpn, virusskydd, webbfilter, skräpfilter, molnbaserade tjänster och möjlighet att söka igenom datapaket i realtid.
Marcus Sverin, produktspecialist på Inuit, ser nyttan med identitets-baserad säkerhet.Trots dessa flerfunktionsskydd efterlyser vissa verksamheter en ytterligare säkerhetsfunktion – bättre insyn i vad användarna gör, även kallat identitetsbaserad säkerhet. Marcus Sverin, produktspecialist hos den svenska distributören Inuit, förklarar nyttan.
– Funktionen har tagits fram i första hand för att säkra datorer som utnyttjas av mer än en användare. Att koppla rättigheter till användaren i stället för enbart till en ip-adress eller mac-adress öppnar för en mer granulär rätt-ighetsindelning, men ger framförallt också möjlighet att spåra vem som gör vad i nätverket.
ID-baserad-brandvagg. Med id-baserat skydd kan rättigheter anpassas efter varje användare i stället för enbart efter ip-adress eller mac-adress. Oegentligheter är också enklare att spåra till individer snarare än enbart till ansluten ip-adress.
Traditionell brandvägg. Utan id kopplat till inloggningar är det svårare att lista ut vilken användare som gjort vad i ett nätverk när samma datorer delas av flera användare. Det öppnar också för gruppindelade policys med överdrivet generösa eller restriktiva rättigheter som inte är anpassade efter varje användares behov.Nac, nac – who's there?
En typ av lösningar som gränsar till brandväggsäkerhet kallas
för network access control (nac). De går ut på att kontrollera
skyddet hos anslutande klienter innan rättigheter delas ut. När en klient ansluter kan till exempel en klientmjukvara kommunicera med en frågande server och redovisa statusen för klientens
virusskyddsprogram och versionsnummer på patchar.
Om klienten uppfyller nätverkets säkerhetskriterier tillåts åtkomst och rättigheter delas ut, annars inte. Skillnaden mellan nac-lösningar och brandväggar med identitetshantering är att den förstnämnda ställer krav på klientens säkerhet medan den senare ställer krav på användaren.
Vanligast på skolor
Efterfrågan på den här typen av kompletterande säkerhet har ökat de senaste åren, även om kundkretsen ännu är relativt smal. Den utgörs mestadels av skolor, myndigheter och liknande verksamheter med många användare i sitt nätverk.
En stor del av kunderna anser sig inte ha någon konfidentiell information i sina nätverk och är därför inte bekymrade, men bland dem som känner behovet efterfrågas just möjligheten att koppla användaren till korrekta rättigheter oavsett vilken dator de ansluter med. Det kan till exempel vara för att upptäcka om någon laddar ner mycket data, skickar ut dokument via im-protokoll som inte bör lämna nätverket, eller om beteendet i övrigt avviker på ett misstänkt sätt, säger Sverin.
Inuit är distributör av flera säkerhetslösningar inriktade på it-säkerhet och erbjuder bland annat utm-brandväggar från Cyberoam, en av förhållandevis få tillverkare som har stöd för identitetsbaserad säkerhet. Från användarperspektiv fungerar lösningen så att användaren loggar in via en webbportal innan åtkomst till nätverket medges. Därefter loggas allt som händer med koppling till både ip-adress och inloggad användare, förklarar Sverin. Även tillverkare som till exempel Edenwall Technologies och Aruba Networks säljer liknande produkter.
Lathund till OSI-modellen
Open systems interconnetion (osi)-modellen representerar en standardisering (ISO 7498) av tjänstekategorier inom
datakommunikation.
De sju stegen i modellen är
7. Applikationsskikt – hanterar kommunicerande applikationer
6. Presentationsskikt – hanterar dataframställning
5. Sessionsskikt – samordnar kommunikationer
4. Transportskikt – kontrollerar in- och utgående trafik
3. Nätverksskikt – hanterar logisk adressering
2. Datalänkskikt – hanterar fysisk adressering
1. Fysiskt skikt – arbetar på signalnivå (elström, radio-vågor etc.)
Dagens brandväggar kan i huvudsak sägas skydda trafik i skikt 7 till 2. Brandväggstillverkare, till exempel Cyberoam, menar att identitetsbaserad säkerhet skulle utgöra det åttonde skiktet om det skulle appliceras på osi-modellen.
Brandväggens historia
1988 Den första internetmasken, Morris, skapas för att räkna ut hur många datorer som är anslutna till internet, men en designbugg gjorde att dess spridning i stället slog ut tusentals datorer. Fadäsen leder till att tekniker för att säkra nätverk mot skadlig kod börjar utvecklas på allvar. Den första generationen brandvägg-ar filtrerar datapaket på nätverksnivå enligt osi-modellen. Varje paket bedöms utifrån enkla kriterier och skickas antingen vidare i nätverket eller stoppas. Regler kan sättas för till exempel portdestination eller avsändarens ip-adress.
1991 Andra generationen brandväggar skyddar på osi-modellens applikationsnivå. De kontrollerar om datapaketen anropar rätt tjänster och att det görs på ett korrekt sätt. De ger ett bättre skydd eftersom de kan stoppa trafik till och från enskilda applikationer och öppnar för en mer detaljerad rättighetshantering.
1992 Forskare vid University of Southern California utvecklar det första grafiska gränssnittet för brandväggar i Windows- och Mac-baserade miljöer.
1995 Tredje generationen brandväggar gör sitt intåg. De tillför bättre kontroll av aktiva sessioner via en sessionstabell och släpper bara igenom datapaket som matchar statusen för aktuella sessioner. Matchningen skyddar mot falska datapaket, till skillnad mot tidigare generationer som granskar varje paket i isolering utan något minne av föregående paket.
2000 och framåt: Fortsatt utveckling kompletterat med avancerade funktioner som rättighetshantering för användargrupper och deep packet inspection, där brandväggen granskar datapaketens faktiska innehåll (payload).
Under 2000-talets senare hälft kopplas även identitetshantering till enterprise-brandväggar.
