Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 6. maj 2005.
Hacking
Virksomheder som FDC er begyndt at indføre særlige sikkerhedsløsninger for websteder og portaler.
Hvor alle virksomheder i dag beskytter adgangen til deres netværk med firewall og lignende, er det noget forholdsvis nyt at beskytte websteder og portaler mod angreb fra hackere. FDC - Forsikringens DataCenter - er en af de virksomheder, der har etableret denne form for sikkerhed på en række af de net-baserede tjenester, som FDC driver for forskellige forsikringsselskaber.
- Vi ser flere angreb mod websteder, også i Danmark - især hvis disse giver mulighed for at koble sig videre til tjenester, der bygger på informationer fra forretningssystemerne. Samtidig bliver webstederne vigtigere i og med, at de bliver den vigtigste tilgang til virksomhedens ydelser både for kunder og for de sagsbehandlende medarbejdere, siger produktionschef Carsten Spanggaard fra FDC.
I den situation føler virksomheder som FDC, at de traditionelle forholdsregler ikke er tilstrækkelige.
- Problemet er, at almindelige skanninger af trafikken til webstedet ikke altid vil opfange de uhensigtsmæssige henvendelser. Det kræver sikkerhedsløsninger, der er i stand til at pakke krypteret trafik ud og se på indholdet, siger Carsten Spanggaard.
En anden årsag til at der indføres sikkerhed på websteder og portaler nu, er, at revisionsselskaberne er begyndt at inkludere sårbarheder på dette område i deres generelle vurderinger af virksomhedernes sikkerhedsniveau. Dermed kan det føre til en bemærkning i revisionsrapporten, hvis disse forhold ikke er i orden.
De, der angriber webstederne, sender ofte data, som skal tvinge fejlmeddelelser frem, som de håber kan give nye oplysninger om systemet. FDC har valgt en løsning, der bygger på en såkaldt rWeb-boks fra det franske selskab Deny All. Al indkommende trafik går til denne Linux-baserede boks, og ikke direkte på webserveren. RWeb-boksen pakker krypteret HTTP-trafik ud og skanner den, hvorefter fjendtlige henvendelser sorteres fra ud fra en sortliste.
Dermed er det udelukkende applikationsboksen, der er på det offentlige net. Webserveren er flyttet ind det interne net. I praksis betyder dette, at trafikken passerer en firewall inden den når applikationsboksen, og igen når den efter at være skannet går videre til webserveren. FDC tog løsningen i brug i marts/april i år. Og ifølge selskabets erfaringer har det ikke gjort webstederne langsommere, at trafikken bliver pakket ud og skannet - tværtimod.
- Boksen cacher de sider, der oftest bliver spurgt efter. Dermed gør løsningen efter vores målinger sitet hurtigere, siger Carsten Spanggaard.
Når rWeb-boksen aflaster webserveren, betyder det ifølge Carsten Spanggaard også, at man får den ekstragevinst, at man kan udskyde opgraderingen af en webserver, der er ved at nå grænsen for sin kapacitet.
Det er også muligt at få løsningen til at lade den skannede trafik passere ud fra en hvidliste over godkendte former for trafik. Denne version af webapplikationssikkerhedsløsningen planlægger FDC at etablere for en af deres kunder. Selskabet er i øjeblikket ved at overveje hvordan de krav, som dette stiller til overvågning og opdatering, skal honoreres, for at hindre at man kommer til at afvise legitime brugere.
FDC skanner løbende for sårbarheder både med og uden rWeb-boksen, dels for at have rapporter over applikationernes sikkerhed og dels for at have et billede af situationen, hvis man i fremtiden af en eller anden grund skulle beslutte ikke at benytte løsningen.
- Generelt er vi godt tilfredse med løsningen, men den har på enkelte punkter skabt nye udfordringer: For eksempel skal vi nu opsamle sårbarhedsrapporter fra flere kilder - såvel fra rWeb-boksen som fra webserverne. Det har også været nødvendigt at tilrette fejlsøgningsprocedurerne - blandt andet skal de tage højde for, at når en del af siderne er cachede, kan det give et bedre billede af svartiderne, end der er dækning for i virkeligheden, siger Carsten Spanggard.
I alt skønner produktionschefen, at disse opgaver sammen med opdateringen af sortlisterne og den ekstra rapportering, der skal synliggøre sikkerhedsydelsen kræver en fjerdedel af en it-medarbejders tid.
Ud over at FDC har fået sikret webstederne, har de nye løsninger ifølge Carsten Spanggaard medvirket til, at øge opmærksomheden på sikkerhed.
- Traditionelt har webudviklere ikke haft fokus på sikkerhed som førsteprioritet, men disse løsninger har bidraget til, at vores udviklere tænker sikkerhed med fra begyndelsen, siger han.
Billedtekst:
paraderne op - Hvis man har applikationer, der står i forbindelse med forretningssystemerne eller hvis man udveksler følsomme oplysninger med brugerne, vil det være en god ide at beskytte webapplikationerne, siger Carsten Spanggaard fra FDC.
Foto: Torben Klint
