Så kan arbetet med säkra brandväggar effektiviseras
2020-05-26Korrekt installation av brandväggar är ett utmanande arbete som blir svårare och svårare allt eftersom ett nätverk växer. Artem Voronkov, nybliven doktor i datavetenskap, har fokuserat på hur man kan hjälpa systemadministratörer att förbättra hanteringen av brandväggar.
De flesta företag har tillgång till internet och internetanslutna nätverk. Det finns många hot online som kan skada datasystem som till exempel trojaner och DoS-attacker (Denial-of-Service), och leda till stöld av konfidentiell data, driftstörningar och ekonomiska förluster. Alla organisationer oavsett storlek, typ av verksamhet och infrastruktur, kräver säkerhetslösningar som skyddar deras nätverk mot det ständigt växande antalet säkerhetshot. Brandväggar är en viktig komponent i datasäkerheten som skyddar nätverk genom att kontrollera inkommande och utgående trafik.
– Brandväggar i sig ger inte ett garanterat skydd mot hot online om de inte är korrekt konfigurerade, säger Artem Voronkov. Brandväggens konfigurationsfil innehåller regler som kan vara svåra att förstå även för de som jobbar med dem regelbundet. Den huvudsakliga anledningen är att de flesta regler för brandväggar har en särskild struktur: desto högre upp en regel placerar sig, desto högre prioritet har den. Utmanande problem uppstår när en ny regel ska läggas till och få rätt placering, eller när existerande regler ska tas bort på grund av förändringar i säkerhetspolicyn.
Tre olika aspekter av brandväggskonfiguration
I sitt arbete har Artem Voronkov utforskat tre olika aspekter av brandväggskonfiguration: 1) reglernas syntax, 2) organiseringen av regler i en uppsättning regler, och 3) hur uppsättningar av regler presenteras för användaren. Genom att tillämpa kunskapen utifrån dessa tre aspekter ger han systemadministratörer mer användbara brandväggslösningar och metoder för konfigurationsprocessen som kan hjälpa till att underlätta det dagliga arbetet.
– Avhandlingen bidrar på flera olika sätt, både praktiskt och teoretiskt, säger Artem Voronkov. För den praktiska delen föreslog vi några mätvärden som kan hjälpa till att optimera konfigurationsfilerna. En stor del av arbetet är teoretiskt. Vi identifierade några beroendefaktorer, till exempel människors preferenser för hur de vill strukturera sina konfigurationsfiler. I studien kunde vi visa att brandväggar måste ha flera alternativ för regelrepresentationer av konfigurationer.
Så genomfördes studien
I ett första steg genomfördes ett antal semistrukturerade intervjuer med systemadministratörer där Artem frågade dem om vilka problem som de stöter på i arbetet med brandväggar. Efter att ha konstaterat att det fanns användbarhetsproblem började han titta närmare på dem.
– Vi jämförde två olika representationer av regeluppsättningar för brandväggar och identifierade att en preferens för den ena eller den andra berodde på individens erfarenhet av brandväggar. Vi introducerade och formaliserade matematiskt en uppsättning med fyra mätvärden för användbarhet som var utformade för att utvärdera kvaliteten på regeluppsättningar. Vi undersökte inte bara vilka brandväggsgränssnitt som används och föredras av systemadministratörer, vi identifierade och klassificerade dessutom gränssnittens styrkor och begränsningar. Slutligen genomförde vi en systematisk litteraturöversikt för att få en förståelse för den senaste forskningen kring användbarhet inom brandväggsområdet. Översikten klassificerar tillgängliga lösningar och identifierar de öppna utmaningarna som finns inom området.
Artem Voronkov disputerade den 3 april. Arbetet har skett inom ramen för projektet HITS, High Quality Networked Services in a Mobile World, vars syfte är att bidra till utvecklingen av högkvalitativa nätverkstjänster för en mobil värld. Forskningen i projektet sker i nära samarbete med industriella partners.
Läs mer
Avhandlingen, Usability of Firewall Configuration: Making the Life of System Administrators Easier, finns att läsa i
.