Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
up to date RUC benytter den danskudviklede Profence-applikationsfirewall som beskyttelse og som trafikregulator, der hjælper med at adskille webservere og databaser fra applikationer
Applikationsfirewalls bliver mest omtalt som en måde at beskytte websites ved at scanne indholdet af datapakkerne, men Roskilde Universitetscenters it-afdeling betragter mere deres nye applikationsfirewall som et middel til at få en mere tidssvarende it-topologi.
- Vi har en række selvbetjeningssystemer på nettet som "find person", "din konto" og "skift kodeord", der trækker på databaserne over medarbejdere og studerende. Og vi har blanket-tjenester, som trækker på andre kritiske systemer. Nu ønsker vi at gå over til en zone-opdelt topologi, hvor webservere og deres applikationer er afsondret i en zone, som udelukkede nogle få administratorer har direkte adgang til, mens brugerne får adgang via applikationsfirewall'en, der er anbragt i sin egen zone, siger sikkerhedskonsulent Tom Helmer Hansen fra RUC's it-afdeling.
- Mange af de nævnte selvbetjeningsapplikationer er egenudviklede og stammer fra internettets ungdom. For flere af dem gælder, at vi står over for at skulle udvikle nye versioner, som vil have zone-inddelingen indbygget, men det vil typisk tage et halvt til et helt år, og ved at tage en applikationsfirewall i brug kan vi sikre vores eksisterende applikationer i mellemtiden, fortsætter han.
Det er en ny løsning, idet RUC tog applikationsfirewall'en Profense fra det danske udviklingsfirma Armorlogic i brug for cirka en måned siden. It-afdelingen har ikke bemærket hastighedsnedsættelser på brugen af applikationerne. Dette er en risiko, man kunne frygte, når firewall'en går ind og scanner de højere protokol-lag, men der er heller ikke tale om højtrafik-sites, som Tom Helmer Hansen siger.
I modsætning til de fleste andre applikationsfirewalls, som er hardware-baserede, distribueres Profence som en samlet softwarepakke, der omfatter et operativsystem, og som installeres på en standardserver. Denne kommer til at fungere som en foranstillet gateway, der kun slipper tilladte henvendelser igennem.
Der benyttes en licensmodel, hvor der betales for det antal webadresser, man ønsker at beskytte. For selv om RUC lægger vægt på løsningens evner som "trafikregulator", er den udviklet til at beskytte web-applikationer, og den kan terminere HTTPS-trafik.
Det betyder, at den kan konstatere, om krypteret trafik overholder det regelsæt, der beskriver, hvilke URL-henvendelser og parametre der må slippes igennem til applikationerne.
Bag Armorlogic står de to danske sikkerhedskonsulenter Jakob Frydendahl Gercke og Srebrenko Sehic, som for halvandet år siden blev hjulpet i gang af Vækstfonden.
Ud over RUC har de indgået aftaler om at levere Profence til Økonomi- og Erhvervsministeriet, og de har indgået distributions- og salgsaftaler med CSC Consulting Group og Rantek.
