fra Bibliotek-Systemer As

Menyer

Kontaktopplysninger

Bibliotek-Systemer As

Levering/besøk:
Faret 8, 3271 Larvik

Postadresse:
Boks 2093
3255 LARVIK

Tlf: 33 11 68 00
Fax: 33 11 68 22

Bestillinger:


Statistikk nøkkeltall

Nøkkeltall utlån:
2014: 17,369,071
2013: 20,832,953

Statistikk Norgeslån

Mest utlånte bøker siste halvår:
Totalt Barn Voksne
Skolebibliotek

ipv6 ready

Sikkerhet ved tilkobling til Internet - brannveggløsning

Krav til brannveggløsning:

  • Enkelhet, lett å ha oversikt over funksjonaliteten
  • Lett å administrere
  • Tilnærmet 100% sikkerhet fra utsiden - bare de tjenester som må tilbys, skal være tilgjengelige
  • Fra innsiden bør brannveggen skape minst mulig hindring.
  • Klienter bør kunne benyttes uten spesiell konfigurasjon (proxy, socks osv).
  • Brannveggen bør tilby navnetjener, kunne være WEB-tjener, og benyttes som proxytjener med cache (hurtigbuffer).

Løsningen består av følgende deler:

  • En Intel-basert Unix-maskin (Pentium Pro/Pentium II) installert med Linux operativsystem og to Ethernetkort (et for indre nett og ett for ytre usikret nett). 
  • Det indre nettet nummereres i en serie som er tillatt brukt som uregistrert nettverk, f.eks. 192.168.x.x. Dette vil i praksis innebære at det er så godt som umulig å nå maskinene på innsiden, fordi det ikke finns ruting til dette nettet.
  • På hvert interface defineres filtrering som sperrer for pakker med det andre nettet som mottaker eller avsender. Dette vil hindre en av de vanligste former for angrep.
  • De tjenester ("services") som er aktive på brannvegg-maskinen er:
    • SMTP (mail)
    • HTTP (WEB)
    • DOMAIN (navnetjener)
    • SSH (Secure  Shell)

    Topp

  • På ytre nett installeres også navnetjener, som kun peker på brannveggmaskinen, i tillegg til å annonsere mottak av epost.
  • Øvrige tjenester (såsom telnet og ftp) kjøres kun på det indre nettverket. Dette oppnås ved å bruke en utvidet versjon av inetd (xinetd), som tillater at tjenester startes kun på et av nettverkene.
  • Tilgangen til tjenestene på det indre nettverket kan styres ved tilgang, evt. også i tidsperioder.
  • For at brukerne på innsiden skal ha lettest mulig tilgang til Internett, settes det opp en proxy-tjener, som også håndterer mellomlagring av Web-sider (caching). Tjenestene http og ftp benytter denne. Tilgang til denne kan styres ned på den enkelte bruker. 
  • WEB-tjeneren kan settes opp til å betjene flere domener (navn), slik at det oppfattes som flere frittstående tjenere.Organisasjoner kan altså dele  en WEB-tjener. Dette kalles  Virtual hosts.
  • Andre tjenester (f.eks. telnet) kan evt. kjøres transparent gjennom brannveggen fra innsiden ved å bruke en teknikk som kalles masquerading. Det innebærer at brannveggmaskinen formidler pakker mellom maskiner på det indre nettet og Internet helt transparent. Løsningen er meget sikker, idet tjenesten kun er aktivert på det indre nettverket, og selvfølgelig ikke aktiv på det ytre nettet.
  • Source-routing er slått av.
  • Serveren er motstandsdyktig mot "Ping o'Death"

Topp

Rutinebeskrivelse

Det utarbeides rutiner for hvordan eventuelle endringer i oppsettet skal foretas, slik at uautoriserte endringer ikke tillates. Hele oppsettet dokumenteres. Det defineres hvem som er ansvarlig for de enkelte punktene i oppsettet. 

Logging

All tilgang til brannveggmaskinen logges (syslog). Data herfra sendes automatisk over til en maskin på det indre nettverket, og syslogd konfigureres her slik at unormale begivenheter varsles på skjermen til systemansvarlige umiddelbart. I tillegg vil det bli logget til fil. 

Topp