Firewall og VPN

21-11-2002

En kort introduktion til disse begreber og deres betydning for IT-sikkerheden

I mange virksomheder er det blevet almindeligt at medarbejderne har adgang til Internettet fra deres arbejdsplads. Adgangen bruges typisk til at surfe på Internettet og til at hente elektronisk post.

Hjemmearbejdspladser med opkobling via Internettet til virksomhedens netværk bliver også mere og mere almindelige. Virksomheden ønsker at give medarbejderen adgang til relevante systemer og data samtidig med, at der skal være sikkerhed for, at kun "godkendte" brugere har denne adgang.

Nedenfor belyses to væsentlige redskaber til at skabe sikkerhed for autoriseret tilgang til virksomhedens systemer og data fra omverdenen.

I Danmark anvendes i vid udstrækning de oprindelige internationale betegnelser for forskellige IT-begreber. Således også med firewall og VPN.

Firewall

En Firewall kan bedst oversættes med "brandmur". Hvis virksomhedens netværk - intranettet - har forbindelse med omverdenen, skal der skabes sikkerhed for, at uautoriserede personer ikke får adgang hertil.

En firewall har til formål at sikre det, som er indenfor "brandmuren". Firewall´en er ofte sidste element hos en virksomhed, før forbindelsen med Internettet reelt starter. Nedenfor er illustreret, hvorledes en sådan opsætning typisk kan være lavet:

En Firewall kan bestå af noget software, der lægges på en computer, eller den kan være et stykke hardware, som alene tjener det formål at være firewall.

En firewall skal som udgangspunkt kun tillade åbning indefra. Det kan eksempelvis være til en bruger, der ønsker at surfe på Internettet. Da åbningen bliver initieret indefra - og således er godkendt - er det også muligt at hente elektronisk post samt at hente filer fra hjemmesider.

Hvor meget den enkelte bruger må hente tilbage gennem firewall'en, er et opsætningsspørgsmål, der skal tages hensyn til ved installation. Derfor skal en firewall installeres på en måde, som sikrer et niveau for tovejstrafik, som virksomheden finder forsvarligt og i orden.

VPN

Her - som i andre sammenhænge - gælder, at desto flere åbninger man efterlader, desto flere muligheder giver man principielt for indbrud, og det er jo hele ideen med en firewall at beskytte de data og de maskiner, som man har i virksomheden. Uønskede personer skal have så svært som muligt at komme ind på virksomhedens netværk via åbne linier f.eks. til Internettet.

Derfor er der også grund til at minimere antallet af åbne linier, hvilket bringer os over i begrebet VPN. VPN forkortelsen står på dansk for Virtuelt Privat Netværk. Intentionen er at lave en forbindelse mellem to computere, der udnytter Internettets store udbredelse og tilgængelighed, men som på samme tid sender signaler, som kun er forståelige for de to computere. I praksis vil denne forbindelse typisk være fra en hjemmearbejdsplads eller en bærbar maskine til en server i virksomheden, men der kan også være tale om andre forbindelser.

I det tidligere eksempel er den bærbare computer nu flyttet ud fra virksomheden. Hvis brugeren af den bærbare computer kobler sig op på virksomhedens server, ser illustrationen således ud:


VPN forbindelsen sker altså med brug af den eksisterende infrastruktur - Internettet - men med signaler som er krypterede. Derfor er signalerne ikke umiddelbart tilgængelige for andre, som måtte kunne opsnappe de data, som bliver transporteret via Internettet.

Begrebet VPN dækker over løsninger, der sikkerhedsmæssigt er ret forskellige, men som alle har samme grundlæggende formål. I nogle styresystemer er der indbygget faciliteter til understøttelse af en VPN forbindelse.

I illustrationen ovenfor er ved siden af den bærbare computer vist et såkaldt smartcard, som kan være en måde at kommunikere med firewall'en på. Kortet udsender en kode hver gang der kobles op mod virksomheden. Denne kode medvirker til, at kun de rette personer får adgang til virksomhedens netværk. Dette blot for at vise, at der normalt er en udveksling af nye koder før enhver forbindelse mellem firewall'en i virksomheden og den maskine, som står på den udvendige side af firewall'en. Dette sker, for at opnå den størst mulige sikkerhed for at det er "tilladt" for firewall'en at åbne sin "tunnel" ind til server og netværk i virksomheden.

Sikkerhed

Sikkerheden bør være i fokus for den virksomhed, som ønsker at give medarbejderne adgang til Internettet fra virksomhedens netværk. På tilsvarende måde skal sikkerheden være i højsædet ved adgang til virksomhedens netværk og data fra andre lokationer end firmaets domicil.

Ovenfor er omtalt to væsentlige parametre i denne sammenhæng. Det anbefales, at der løbende foretages analyse af virksomhedens sikkerhedsniveau på dette område. Denne analyse bør indgå i den samlede vurdering af virksomhedens IT-sikkerhed.