Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer..
Internet-ormen Sasser har skabt ravage på mange computere i løbet af den seneste måned.
Ormens hærgen kunne være blevet begrænset, hvis flere systemer i tide var blevet opdateret med de seneste sikkerhedsrettelser fra Microsoft, eller hvis de systemansvarlige i højere grad brugte firewallen til at begrænse og kontrollere ikke bare den indgående men også den udgående trafik på netværket.
Antallet af angreb via internettet er stigende, og en velkonfigureret firewall kan spare systemadministratoren for en masse ærgrelser og virksomheden for unødvendige udgifter til reetablering af systemerne.
Det er selvfølgelig vigtigt at konfigurere sin firewall til at beskytte systemerne mod at blive angrebet udefra. Men det er bestemt også en god idé at forsøge at sørge for, at computere på netværket ikke er kilden til angreb på andre netværk.
Egress-filtrering afslører mistænkelig trafik
Selv med de seneste sikkerhedsrettelser og en effektiv firewall på netværkets perimeter er det svært at gardere sig mod for eksempel ormeinficerede bærbare, som medarbejdere eller eksterne konsulenter kobler på netværket.
En firewalls hovedformål er at beskytte det lokale netværk mod trusler udefra, men ved hjælp af såkaldt egress-filtrering kan man også være med til at bremse blandt andet orme og spam.
Egress-filtrering går kort fortalt ud på kun at tillade udgående datapakker fra bestemte porte. Grundreglen er at lukke for al trafik, der ikke er strengt nødvendig. En mail-server har jo for eksempel ikke brug for FTP.
Ved hjælp af filtreringen kan man opdage datapakker, der sendes fra mistænkelige porte på netværket til andre systemer. I Sasser-ormens tilfælde vil man for eksempel kunne opdage den FTP-server, der oprettes til at sprede ormen med. FTP-serveren vil generere usædvanlig meget trafik på TCP-port 5554.
For at forhindre den uønskede udgående trafik blokerer man simpelthen al trafik, der ikke benytter sig af nogle få godkendte porte. Godkendte porte kan for eksempel være port 80 (HTTP) eller port 110, 25 og 143 til henholdsvis POP-, SMTP- og IMAP-protokollen.
Hvis en orm nu forsøger at videresende sig via en anden port end de tilladte, vil trafikken blive blokeret. En analyse af firewallens logfil for blokeret udgående trafik vil efterfølgende kunne afsløre den kompromitterede computer på netværket.
Bloker Kazaa
Egress-filtrering kan også blokere for brug af for eksempel Microsoft Messenger eller fildelingstjenester som Kazaa på netværket.
Desuden kan man forhindre, at computere på netværket benyttes som ufrivillige medvirkende i udsendelsen af spam eller som deltagere i et denial of service-angreb mod et web-sted.
Mange af internettets truende sikkerhedsproblemer kan bremses inden de rammer dit lokale netværk. Men truslen fra nettet vil kunne begrænses yderligere ved en fælles indsats for at give hackerne færre åbne netværk, som kan bruges som villige værktøjer til nye angreb.
Oprindelig bragt på Computerworld Online den 28. maj 2004