Brandvägg

Från Rilpedia

Hoppa till: navigering, sök
Wikipedia_letter_w.pngTexten från svenska WikipediaWikipedialogo_12pt.gif
rpsv.header.diskuteraikon2.gif
För andra betydelser, se Brandvägg (olika betydelser).

En brandvägg (på finlandssvenska brandmur) en mjuk- eller hårdvarubaserad kontrollmekanism för nätverkstrafik. Brandväggar kopplas mellan två eller flera nätverk (där ett ofta är Internet) men kan även installeras som en mjukvara i den dator som ska skyddas. Brandväggen lyssnar på och inspekterar all trafik och bestämmer om den är behörig eller ej. För att avgöra vilken trafik som är behörig eller ej arbetar den efter vissa regler, bestämda av en systemadministratör eller användare. I regelverket kan man vanligtvis använda parametrar såsom IP-adress, portnummer eller program. Det är även vanligt att man specificerar att alla sessioner måste initieras från brandväggens insida.

Innehåll

Olika typers filtrering

Utgånde trafik som stoppas kan vara sådan från trojanska hästar eller från spel eller trafik som skall styras via en specifik mellanserver. Det är till exempel vanligt att internetleverantörer kräver att e-post skall skickas via deras e-postserver (för att minska möjligheten att skicka ut skräppost) och att HTTP-trafik styrs via en lagrande mellanserver (för att minska volymen på dyr utrikestrafik). Dessutom kontrolleraas ofta att avsändaradresser (på ip-nivå) ligger inom de intervall som tilldelats till det inre nätet, för att försvåra vissa typer av attacker på nätet utanför.

Ingående trafik filtreras ofta för att försvåra dataintrång. Dels gäller filtreringen ip-adresser tilldelade det inre nätet, som inte får förekomma som avsändaradresser i inkommande trafik, och på olika sätt formellt icke-korrekta paket, dels tjänster som inte skall kunna erbjudas av vilken som helst dator på det inre nätet. Ofta filtrerar organisationers brandväggar bort trafik till de så kallade välkända portarna med nummer under 1024, utom då den riktar sig till registrerade serveradresser. Brandväggar för hemmabruk filtrerar ofta bort all trafik som inte initierats innanför brandväggen. Internetleverantörer kan filtrera bort trafik till problematiska tjänster avsedda för intranät (till exempel SMB), men måste släppa ogenom det mesta eftersom de inte vet vilka tjänster kunderna kan vilja erbjuda yttervärlden.

En portfiltrerande brandvägg, alltså en brandvägg som analyserar ip-adresser, portnummer för TCP och UDP och liknande lågnivåinformation, kan inte göra en dator säker för dataintrång, vad gäller de tjänster som skall kunna nås från yttervärlden. Inte heller kan icke-legitim utgående trafik stoppas, annat än om den riktas till specifika portar. På den nivån är det omöjligt att skilja mellan legitim och icke-legitim trafik.

Så kallade innehållsfiltrerande brandväggar analyserar trafiken också på applikationslagret i OSI-modellen. De kan då filtrera trafiken också gällande till exempel specifika attacker. En sådan brandvägg är betydligt mer komplicerad och därmed ökar risken för säkerhetsluckor i själva brandväggen. Inte heller en sådan brandvägg kan skydda mot attacker som den inte kan skilja från legitim trafik.

För att en brandvägg skall kunna skydda mot utsmuggling av information måste den stoppa alla krypterade förbindelser eller förutsätta möjlighet att dekryptera och återkryptera sådana förbindelser. Dessutom måste den analysera trafiken med tanke på steganografi. Sådana brandmurar kräver aktivt underhåll och används ytterst sällan.

Hårdvaru- och mjukvarubrandväggar

Med en hårdvarubrandvägg menar man en apparat särskillt avsedd att fungera som brandvägg. I praktiken är den en dator med operativsystem och behövlig programvara, men programvaran är ofta skriven, vald eller konfigurerad för att minimera mängden säkerhetsluckor. Hårdvarubrandväggar är vanligast hos företag och organisationer, men också till exempel ADSL-modem kan innehålla en inbyggd brandvägg.

Med en mjukvarubrandvägg menar man programvara avsedd att installeras på en normal dator. Det kan då vara frågan om samma programvara som i hårdvarubrandväggen (till exempel Linux-kärnan har en inbyggd brandvägg som används också i Linux-baserade hårdvarubrandväggar) eller programvara skriven uttryckligen att användas på en persondator eller icke-specialiserad serverdator.

Så kallade personliga brandväggar är avsedda att installeras på persondatorer och kan dra fördel av att ha en användare som i realtid kan ta ställning till vilka förbindelser som skall tillåtas och vilka som skall avvisas. De kan också utnyttja kunskap om vilka specifika program som initierat förbindelsen eller kommer att behandla den. I praktiken ifrågasätts dessa fördelar rätt allmänt, då användaren ofta inte har tillräcklig kunskap för att fatta goda beslut och det ofta finns sätt att maskera icke-legitim trafik.

En NAT-router kan i praktiken fungera som brandvägg i den meningen att den filtrerar bort trafik som inte initierats från insidan, då den inte vet till vilken dator trafiken borde styras. Trafik utifrån kan styras till en viss dator eller till olika datorer beroende på destinationsport, varvid brandväggsfunktionen uteblir till dessa delar.

Brandväggstest för hemanvändare

PTS tillhandahåller tjänsten testa datorn för i huvudsak hemanvändare. Tjänsten testar vilka portar brandväggen tillåter trafik på. En liknande mer utförlig tjänst ShieldsUP tillhandahålls av Steve Gibson, han har även gjort programmet leaktest som kan användas för att undersöka hur brandväggen reagerar på trojaner som försöker koppla upp sig mot internet.

Brandväggstest är problematiska. De kan inte säkert fastställa att brandväggen skyddar mot annat än specifika attacker och då endast genom att pröva dessa. Ofta kontrollerar testservicen huruvida datorn svarar på vissa typers paket, men det att datorn inte svarar betyder inte att datorn inte skulle behandla paketet och därmed kunna vara mottaglig mot attacker med denna typ av paket.

Flera sådana test ger fulla poäng endast då datorn inte svarar överhuvudtaget, vilket bryter mot standarderna. Fördelen med att inte svara beskrivs som att datorn då inte kan upptäckas och därmed inte framstår som ett attraktivt mål. Detta är inte sant, då attacker genomförs antingen mot slumpvisa mål, utan att kontrollera deras existens, eller mot från tidigare kända mål, vars existens inte behöver bekräftas. Total tystnad är dessutom inte ett tecken på icke-existens – som tvärtom anges genom att routern närmast destinationen skickar ett ICMP-paket av typen "destination unreachable" eller liknande – utan på att en brandvägg spärrar trafiken i någondera riktningen eller på mer sällsynta nätverksproblem.

Filtrering av specifika protokoll

Många nätverksprotokoll använder så kallade välkända TCP- eller UDP-portar på serversidan. Om den relaterade servicen skall tillåtas räcker det ofta att tillåta eller spärra trafik till (och svarstrafik från) ifrågavarande port. Detta gäller till exempel e-post, domännamnssystemet, SMB och så kallad aktiv FTP. För andra protokoll kan de använda portarna variera, antingen i enskilda fall såsom för HTTP eller SSH, eller så att någon etablerad port överhuvudtaget inte finns, utan varierar fritt.

För passiv FTP framgår portnumret för dataöverföring ur trafiken på den välkända porten för kontrollkanalen. Många brandväggar klarar av att analysera trafiken i tillräcklig grad för att tillåta trafik till den port som behövs.

Trafik för e-post (SMTP) och för webbplatser (HTTP) styrs ofta via en central server, som känner protokollet i detalj och därför kan analysera och filtrera själva innehållet i trafiken. Det är då möjligt att köra enskilda delar via ett antivirusprogram för att stoppa kända attacker och kända hot. Också här gäller att enskilda delar kan vara krypterade och därmed omöjliga att analysera – och omöjliga att stoppa om kryptering tillåts för den ifrågavarande typen av data.

Kringående av brandväggar

Firewall bypass (FWB) är ett icke-etablerat engelskt uttryck för tekniker att kringgå brandväggar. Begreppet har ännu inget etablerat namn på svenska.

Tekniken är oftast implementerad i program, vars syfte är att ansluta ut till internet.

En av teknikerna bygger på att "injicera" kod i ett program som "går förbi" brandväggen som Internet Explorer eller MSN Messenger.

Andra tekniker bygger på att påverka koden i själva brandväggen.

Tillverkare av mjukvarubrandväggar

Tillverkare av hårdvarubrandväggar

Se även

Externa länkar

  • Den ursprungliga texten, eller delar av texten, till denna artikel kommer från Firewall bypass
Personliga verktyg