För att ett nätverk ska vara säkert räcker det inte att bara skydda det mot yttre hot – det måste också finnas kontroll över vem som får åtkomst, vad de får göra, och hur deras aktiviteter övervakas. Två centrala delar i detta arbete är AAA (Authentication, Authorization, Accounting) och brandväggar (firewalls).
AAA används för att identifiera och hantera användare i nätverket. Det säkerställer att endast behöriga personer kan logga in på nätverksenheter och att deras handlingar registreras. På så sätt skapas spårbarhet och ansvar.
Brandväggar, å andra sidan, skyddar själva nätverkets gräns. De kontrollerar trafiken mellan det interna nätverket och omvärlden och förhindrar att obehörig eller skadlig trafik tar sig in. Genom att kombinera AAA och brandväggar kan man skapa ett starkt, lagerbaserade försvar där både åtkomstkontroll och trafikfiltrering samverkar för att skydda användare, system och data.
Authentication, Authorization, Accounting
För att skydda nätverket måste alla nätverksenheter vara konfigurerade så att endast behöriga användare kan få åtkomst. Detta uppnås med hjälp av AAA-modellen – Authentication, Authorization, and Accounting – ofta kallad ”Triple A”.
Vad är AAA?
AAA är en säkerhetsram (ett koncept och en modell) som används i nätverk för att kontrollera och spåra användaråtkomst. Den består av tre huvudfunktioner:
- Authentication – verifierar användarens identitet innan åtkomst ges.
- Authorization – styr vilka resurser eller kommandon användaren får använda.
- Accounting – loggar användarens aktiviteter för övervakning och spårbarhet.
AAA används ofta tillsammans med centrala autentiserings tjänster som RADIUS eller TACACS+, vilket gör det möjligt att hantera inloggningar och rättigheter för många nätverksenheter från en enda plats.
AAA kan liknas vid att använda ett kreditkort:
- Autentisering: Kortet visar vem som får använda det.
- Auktorisering: Kortet avgör hur mycket som får spenderas.
- Redovisning: Kortet loggar vad som har köpts och när.
På samma sätt hjälper AAA till att identifiera, kontrollera och övervaka användare i nätverket – ett kraftfullt verktyg för att upprätthålla både säkerhet och spårbarhet.
Brandväggar
En brandvägg (firewall) är ett av de mest effektiva verktygen för att skydda nätverk och användare mot externa hot. Den fungerar som en barriär mellan två nätverk, vanligtvis mellan det interna nätverket och internet, och kontrollerar all trafik som passerar.
Brandväggen avgör vilken trafik som får komma in eller gå ut baserat på organisationens säkerhetspolicy, och den förhindrar obehörig åtkomst till interna resurser.
I bilden visas två topologier:
- Övre topologi: Interna användare kan initiera trafik ut mot internet och ta emot svar på den initierade trafiken.
- Nedre topologi: Trafik som försöker initieras utifrån blockeras från att nå det interna nätverket.
DMZ – Demilitarized Zone
Brandväggar kan också användas för att skapa en DMZ (Demilitarized Zone) – ett särskilt nätverkssegment där servrar som behöver vara tillgängliga från internet placeras.
DMZ gör det möjligt att tillämpa specifika säkerhetspolicys för dessa servrar, till exempel webb- eller e-postservrar, utan att de har direkt åtkomst till det interna nätverket.
Detta minskar risken för att en komprometterad server ska kunna påverka interna system.
Typer av brandväggar
Det finns flera typer av brandväggar som arbetar på olika nivåer i OSI-modellen. De kan kombineras för att uppnå ett starkare, lagerbaserade skydd.
| Typ | Funktion |
|---|---|
| Paketfiltrering | Analyserar nätverkspaket och tillåter eller blockerar trafik baserat på IP-adresser, MAC-adresser, portnummer eller protokolltyp. |
| Applikations filtrering | Filtrerar trafik utifrån vilken applikation eller tjänst som används, t.ex. HTTP, FTP eller SMTP. |
| URL-filtrering | Blockerar åtkomst till webbplatser baserat på URL:er, domäner eller nyckelord. Vanligt i företagsnätverk för att begränsa olämpligt surfande. |
| Stateful Packet Inspection (SPI) | Övervakar hela sessions flöden och tillåter endast svar på förfrågningar som initierats inifrån nätverket. Trafik utifrån som inte begärts blockeras. Kan även känna igen och stoppa attacker som t.ex. DoS. |
Säkerhet på slutpunkter (Endpoint Security)
En slutpunkt (endpoint) är en enhet som fungerar som nätverksklient, till exempel en bärbar dator, stationär dator, server, smartphone eller surfplatta. Eftersom dessa enheter används direkt av människor, utgör de ofta den svagaste länken i nätverkssäkerheten. Många attacker utnyttjar just mänskliga misstag, som att klicka på osäkra länkar, använda svaga lösenord eller installera otillåtna program.
Policys och skyddsåtgärder
För att minska riskerna måste organisationen ha tydliga säkerhetspolicys och se till att alla användare utbildas i säker nätverksanvändning. Policyn ska ange vilka säkerhetskrav som gäller för alla enheter som ansluts till nätverket.
Exempel på vanliga krav:
- Antivirusprogram: Skyddar mot skadlig kod som virus, trojaner och maskar.
- Host-baserat intrångsskydd (Host Intrusion Provention System): Övervakar och blockerar misstänkta aktiviteter på själva enheten.
- Nätverks åtkomstkontroll (NAC): Ser till att endast enheter som uppfyller säkerhetskraven – till exempel med aktuella uppdateringar och antivirus – får ansluta till nätverket.
Genom att kombinera tekniska skydd med tydliga rutiner och användarutbildning kan slutpunkterna hållas säkra och därmed minska risken för att angripare får fotfäste i nätverket.