Inledning
Du har med all säkerhet någon gång hört ordet brandvägg eller firewall. Kanske framförallt på jobbet där den IT-ansvarige pratar om sin brandvägg med jämna mellanrum. Men brandväggar är idag något som är högst relevant även för hemanvändaren att kunna installera och konfigurera i och med att allt fler av oss skaffar höghastighetsuppkopplingar.
Med bredbandslösningar har vi ändrat våra Internetvanor till längre uppkopplingstider och därmed också ökad sårbarhet. Allt fler rapporter tyder också på att även modemanvändare löper stor risk att råka ut för till exempel intrång. Fem minuters uppkoppling kan vara det som behövs för att din dator skall bli en zombie i ett botnet*.
*Ett nätverk av infekterade datorer som styrs av en person (herde) eller liga för att exempelvis utföra DoS-attacker mot specifika servrar.
Vad är en brandvägg?
Om du har en bra strategi för hur du skall skydda din dator eller ditt nätverk är en brandvägg det första ledet i detta skalskydd. Huvuduppgiften för en brandvägg är att förhindra objudna gäster från att ta sig in i din IT-miljö. Som vi har nämnt tidigare kan en brandvägg vara av modellen hård eller mjuk. En mjukvaruapplikation (t.ex. ZoneAlarm) installeras som ett program (mjukvara) på din dator och en hårdvarumodell (t.ex. Netscreen eller SonicWall) konfigureras som en egen fysisk enhet.
En brandvägg har som uppgift är att fungera som en väktare placerad längst fram i ledet i ett skalskydd. Denna väktare avgör huruvida de paket som "knackar" på dörren till företagets nätverk eller datorn i hemmet skall släppas igenom eller inte. Men omvänt kan en brandvägg också avgöra om trafik som kommer från din lokala dator skall släppas ut eller inte.
För att brandväggen skall klara av att göra detta måste du tala om hur den skall agera när de olika paketen begär att få passera. Detta gör du genom att skapa regler för olika scenarion i din IT-miljö. Om du till exempel vill sätta upp en ftp-server bakom din brandvägg måste du öppna port 21 för inkommande trafik så att man kan ansluta mot ftp-servern. Om du vill publicera en webbsida på någon av dina datorer måste du tillåta inkommande trafik på port 80 så att man kommer åt din webbserver. Skall du sätta upp en VPN lösning finns det olika regler för hur detta skall fungera och så vidare.
En bra grundregel är att använda hårt satta regler som utgångsläge, det vill säga öppna bara portar som är direkt nödvändiga att öppna.
Exempel
Om vi tittar företagsrelaterat kan vi leka med tanken att vi har en organisation med 200 anställda. Med så pass många anställda finns det oftast ett företagsnätverk där nätverkskorten i varje dator är den sammankopplande länken.
Företaget har minst en anslutning mot det publika nätet (Internet). Om det inte skulle finnas en brandvägg mellan företagets datorer och Internet skulle varje dator i nätverket kunna nås av vem som helst utan några större besvär.
Som exempel skulle vi nu kunna göra en anslutning med Telnet eller via Ftp mot en eller flera av datorerna i nätverket.
Men om företaget har en brandvägg installerad är läget annorlunda, vi kopplar brandväggen mellan nätverket och Internet och genast är säkerhetssituationen betydligt bättre. Med en bra brandvägg kan vi nu sätta upp regler för hur trafiken mellan nätverket och Internet skall styras.
Vi kan sätta upp en regel som begränsar hur många datorer i nätverket som kan ta emot publik ftp-trafik. Det kanske bara är en dator som skall kunna göra detta, då släpper vi igenom trafik till den datorn men nekar trafik till de övriga datorerna med hjälp av regler i brandväggen.
Dessa regler kan vara användbara för exempelvis Ftp-servrar, Telnetservrar och webbservrar.
Att tänka på
Ovanstående exempel var högst elementärt och enkelt beskrivet men med en bra brandvägg kan du styra trafiken in och ut från ditt nätverk nästan obegränsat. Dock vill vi passa på att tillägga att en brandvägg i sig inte ger något hundraprocentigt skydd. Oavsett om det gäller hemmet eller företaget bör skyddet av IT-miljön ske i flera skal där brandväggen är ett av de skalen.
Lite tips vid brandväggsimplementering (några enkla steg på vägen)
Gör en behovsanalys
Bestäm vilken typ av brandvägg du skall investera i och om du skall göra implementeringen själv eller låta en specialist utföra arbetet åt dig. Valet av brandvägg bör göras med hänsyn till din IT-miljö (dvs. vad skall skyddas), den kompetens du har att tillgå samt vilka ekonomiska resurser du förfogar över.
Om den miljö du skall skydda inte är för komplex med speciella krav för utrustning och användare kan du mycket väl uppnå ett bra skydd med de enklare NAT routrar (Network Address Translation) som finns att köpa på de flesta stormarknader. Dessa brukar starta med priser från ett par hundra kronor.
Om du däremot har en komplex miljö där du kanske erbjuder tjänster åt andra användare på Internet eller du kanske skall bistå andra medarbetare med remote access då har du en kravbild som ställer större krav på din brandvägg.
Bestäm hur grundregeln för godkänd respektive stoppad trafik skall se ut
Vi rekommenderar att du börjar med en hård grundregel på en gång. En bra brandvägg är konfigurerad från start att inte släppa igenom någon trafik. Du kan tänka dig en tegelmur utan några hål. Det är vi som skall avgöra vart hålen sedan skall "borras" och detta skall ske så strategiskt att vår tegelmur inte rasar ihop.
Bestäm policy för den ingående trafiken
Exempelvis kommer en NAT-router att blockera all inkommande trafik om det inte är trafik som är ett svar på en förfrågan som kan spåras till en tjänst på det lokala nätverket. De IP-adresser som tillhör exempelvis servrar eller datorer bakom brandväggen avslöjas aldrig för världen på den andra sidan (den publika sidan), detta gör att intrång i regel blir svårare att utföra.
IP-adresser till lokala värddatorer är i regel aldrig publika i den här typen av konfigureringar vilket gör det nästan omöjligt att kartlägga trafiken till dessa från Internet.
De paket med data som kommer från Internet med begäran att få passera brandväggen släpps bara igenom om det är ett svar på förfrågningar som från början kom från den lokala sidan av brandväggen.
Dessa paket adresseras till dynamiskt tilldelade portnummer på den publika sidan av NAT-routern. Dessa portnummer ändras hela tiden vilket gör det svårt för att inte säga omöjligt för en eventuell inkräktare att gissa sig till vilket portnummer som används.
Om din policy måste inkludera säker åtkomst till det lokala nätverket (kan vara till en filserver eller annan resurs) från Internet bör du bestämma regler för detta. Du måste alltså tala om för brandväggen när den skall släppa igenom trafik och när den inte skall göra det. Ju hårdare regler du ställer ju bättre skyddat är ditt lokala nätverk (LAN).
Om du har för avsikt att installera en brandvägg med möjlighet för datorer på det publika nätet att komma åt resurser på det lokala nätverket (kan vara anställda som sitter på hemmakontor eller reser mycket) bör du investera i en brandvägg som stödjer VPN-trafik. VPN-tekniken (Virtual Private Network) ger ett utmärkt skydd då den skapar krypterade tunnlar som gör trafiken mellan den betrodda anropparen och det lokala nätverket säkert.
Dock måste en klientmjukvara installeras och konfigureras på den dator som från den publika sidan vill komma åt resurser på den lokala sidan (LAN). Brandväggen måste också konfigureras med en VPN-policy så att förfrågningar från den anropande datorn kan släpas igenom på ett riktigt sätt.
Om vi tittar vidare på brandväggskonfigurationen bör du begränsa inkommande trafik till vissa protokoll som till exempel ftp och http (port 21 och port 80).
Bestäm policy för den utgående trafiken
Filtrering av utgående protokoll kan genomföras med paketfiltrering där vi bibehåller säkerheten på ett bra sätt. Om du till exempel använder en NAT-router där ingen mappning av inkommande trafik har sitt ursprung från Internet kan du tillåta användarna på det lokala nätverket att ansluta mot tjänster på Internet.
Bestäm policy för uppringd access
Om du använder uppringd access bör detta göras mot en säker PPP server (Point-to-Point Protocol) som finns utanför det lokala nätverket och därmed utanför brandväggen.
Härda bakomvarande miljö
Det är ganska lätt att skydda en IT-miljö där inga tjänster används publikt (med publika tjänster menar vi till exempel webbservrar eller ftp-servrar). Det som bör göras i alla avseenden är en kontroll av vilka tjänster i den lokala miljön (t.ex. företagets filserver) som är aktiva i onödan.
Operativsystemet som används på exempelvis en server tillhandahåller i sitt ursprungliga läge (efter installation) en del tjänster som kan stängas ner eller göras mer restriktiva för att inte äventyra säkerheten i onödan. Säkerheten sätts på prov när en bakomvarande tjänst försöker att anropa en publik värd där den avslöjar att den är aktiv vilket kan leda till att onödig uppmärksamhet dras till systemet.
Olika brandväggar
Vi redovisar här tre modeller av brandväggar, vi gör inte detta i någon form av reklamsyfte. Secure-IT.se har inga avtal med några leverantörer utan vi gör detta endast för att visa skillnaden mellan olika brandväggar.
Vad skiljer dem åt?
Det som skiljer de olika brandväggarna åt är de inbyggda funktionerna, supportstödet och de administrativa funktionerna med mera. Detta gäller inte bara de tre brandväggar vi visar som exempel nedan utan i stort.
Bra
Enkelt kan man säga att en bra brandvägg skyddar din dator eller ditt nätverk från de mest elementära hoten från Internet.
Bättre
Kategorin bättre brandväggar erbjuder basskyddet som finns i kategorin för bra brandväggar men här finner du också bättre supportvillkor samt bättre och tätare uppdateringar. Du kan i regel också finna virus och- spywareskydd i den här kategorin. Återrapporteringen brukar också vara vassare och de administrativa funktionerna bättre och mer tilltagna.
Bäst
I kategorin bäst har tillverkarna häktat på allt som finns i form av skydd för din IT-miljö. Du finner stöd för remote access (VPN), virusskydd, spywareskydd, förmånliga supportavtal, täta uppdateringar av brandväggen samt de övriga inbyggda skalskydden, bra återrapportering av de aktiviteter som sker kring ditt nätverk, bra administrativa funktioner med stöd för fjärradministration med mera.
Men, vi repeterar, vad skall du skydda, hur ser budgeten ut och hur ser den interna kompetensen ut. Dyrast behöver inte alltid vara bäst och skjuter du långt över målet kostar det bara onödiga pengar utan extra säkerhet.
D-Link DI-524
En brandvägg för hemmet eller ditt lilla kontoret. Den erbjuder bland annat möjlighet till konfiguration av ett trådlöst nätverk.
| Designad för hem- eller små företags nätverk |
IP filtrering |
| Stödjer konfiguration av Wlan |
URL filtrering |
| Webbaserat administrativt gränssnitt |
Domänblockering |
| Stödjer VPN-trafik (enligt tillverkaren) |
NAT (Network Address Translation) |
| |
| Pris: Ca 600 kr |
SonicWall TZ 170
En brandvägg för det mindre upp till medelstora företaget. Erbjuder bland annat möjlighet till VPN-konfiguration och virusskydd.
| Designad för mindre nätverk |
(1) års säkerhetsuppdateringar |
| Stödjer upp till 25 användare |
(1) års virusskydd |
| ViewPoint Reporting Software |
(1) års spywareskydd |
| (10) site-to-site VPN tunnels |
(1) års innehållsfiltrering |
| (1) VPN klientlicens |
(1) års intrångsskydd |
| (1) års 8 till 5 support |
| |
| Pris: Från 5000 kr beroende på lic.typ |
SonicWall Pro 2040
En brandvägg för det medelstora till större företaget med bland annat möjlighet till VPN-konfiguration, virusskydd.
| Designad för medelstora nätverk |
Objektstyrd administration |
| Stödjer obegränsat antal användare |
RBL spam filtrering |
| (50) site-to-site VPN tunnlar |
(1) års antivirus skydd |
| (10) VPN klientlicenser |
(1) års spywareskydd |
| Inbyggd DMZ-port |
(1) års intrångsskydd |
| (1) års 8 till 5 support |
(1) års innehållsfiltrering |
| WAN/ISP failover |
ViewPoint Reporting Software |
| |
|
| Pris: Från ca 17000 kr beroende på lic.typ |
|
Formbara
Brandväggar är formbara, detta innebär att du kan lägga till och ta bort regler för filtrering beroende på omständigheterna i ditt nätverk.
Exempel:
IP-adresser - Varje dator på Internet tilldelas en unik IP-adress, IP-adresser är 32-bitars nummer. En IP-adress kan se ut så här 192.168.1.10. Exempelvis kan man via brandväggen blockera en IP-adress utanför brandväggen som läser för många filer från en server innanför brandväggen.
Domännamn - På grund av att det är svårt att hålla reda på alla IP-adresser och på grund av att IP-adresser ibland måste ändras har alla servrar på Internet domännamn. Dessa domännamn är vanliga namn som vi enkelt kan läsa. Det kan till exempel vara FÖRETAGET-AB.SE. Det är också lättare att hålla reda på FÖRETAGET-AB.SE än en IP-adress.
Ett företag eller en privatperson kan i brandväggen blockera eller tillåta åtkomst till olika domännamn.
Protokoll - Ett protokoll är ett fördefinierat sätt som exempelvis ett program kan använda för att tala om för en tjänst att den önskar använda just den tjänsten. Ett annat exempel på hur protokoll används är när två routrar skall utbyta information med varann. Exempel på protokoll är smtp som används för att skicka textinformation, vi listar några vanliga protokoll som du kan sätta regler för i din brandvägg.
(Protokoll är i regel textbaserade).
IP - Internet protokoll. IP är huvudsättet att leverera information på Internet.
TCP - Transport Control Protocol. TCP används för att bryta ner och bygga upp information som levereras på Internet.
HTTP - Hyper Text Transfer Protocol. HTTP används till webbsidor.
FTP - File Transfer protocol. FTP använder du för att ladda upp eller ner filer till exempelvis en server. Används ofta i webbsidesamanhang.
UDP - User Datagram Protocol. UDP används till informationsflöde som inte kräver ett gensvar, t.ex. ljud och bild.
ICMP - Internet Control Message Protocol. ICMP är en protokolltyp som använda av routrar för att tala med andra routrar.
SMTP - Simple Mail Transport Protocol. SMTP är ett protokoll som används för att skicka textbaserad information (E-post).
SNMP - Simple Network Management Protocol. SNMP är ett protokoll som används för att samla systeminformation från fjärranslutna datorer.
Telnet - Telnet används för att utföra handlingar på en fjärrdator. Detta är också ett av hackarnas verktyg.
Du kan nu med hjälp av brandväggen konfigurera en dator i nätverket att behandla ett specifikt protokoll men inte de övriga datorerna.
Blockera specifika portar - alla datorer som är anslutna till Internet gör sina tjänster tillgängliga via portar. Det finns alltså en port för varje tillgänglig tjänst. Som vi har nämnt tidigare kan en serverdator fungera exempelvis som en webbserver eller en ftp-server, här skulle webbserverns tjänster vara tillgänglig på port 80 och ftp-serverns tjänster vara tillgängliga på port 21. Du kan alltså via brandväggen blockera port 21 på alla datorer utom på ftp-servern.
Blockera specifika ord och fraser - Du kan i brandväggens filter sniffa rätt på exakta ord eller meningar i ett paket. Detta gör att du kan exempelvis filtrera ordet porr och brandväggen kommer att leta efter det specifika ordet i varje inkommande paket. Det måste dock vara en exakt träff, detta innebär att du kanske måste lägga till porrig, porrstjärna, porrklubb med mera. Bara för att du har filtrerat ordet porr filtreras inte alla ord som har med porr att göra.
Några exempel på regler
Vi redovisar här några väldigt enkla regler som kan sättas upp i en vanligt förekommande NAT-router (för till exempel hemmabruk). Vi har valt att maskera namnet och annat som kan härleda till produkten. Detta för att Secure-IT.se inte rekommenderar denna router eller anser att den på något sätt är bättre än andra enklare routrar med inbyggd brandväggsfunktion. Men handhavandet är dock i stort sätt detsamma i de enklare modellerna.
Nummer 1
Regel för SMTP, av olika anledningar kan man ibland vara tvungen att öppna för trafik på de portar som finns i våra datorer. I det här fallet har vi öppnat port 2525 för SMTP (Simple Network Management Protocol). Det vi talar om för brandväggen är att vi vill att port 2525 skall vara tillgänglig dygnet runt och att det är protokolltypen TCP vi vill använda.
Nummer 2
I det här fallet har vi en applikation som vi vill skall kunna samspråka med en funktion på Internet. Vi talar om hur detta skall gå till genom att aktivera denna regel på port 5584 och i Private IP pekar vi på den dator i det lokala nätverket där vår applikation är installerad. Protokolltypen är TCP och i det här fallet har vi valt att begränsa tidsintervallet från måndag 07:00 - 16:00 till fredag 07:00 - 16:00. Med andra ord kommer den lokala användaren åt tjänsten under dessa tider men inte däremellan.
För att den här applikationen skall fungera på ett riktigt sätt måste vi också göra en regel till som stödjer protokollet UDP. De två reglerna ser likadana ut med skillnaden att vi åberopar olika protokoll.
Nummer 3
I den här regeln vill vi blockera en specifik URL, (Uniform Resource Locator) eller webbsideadress. Det gör vi genom att aktivera vår regel och tala om för brandväggen att det är filtrering/blockering av URL vi vill använda. Vi lägger sedan till den önskade adressen och aktiverar regeln.
Resultatet när en användare i det lokala nätverket (eller en familjemedlem) försöker att besöka den adress vi har lagt till blir följande:
Nummer 4
I denna regel talar vi om för brandväggen att vi vill hindra en dator på det lokala nätverket från att komma åt Internet. Vi aktiverar IP-filtrering och talar om att den lokala IP-adressen 192.xxx.x.xxx inte skall kunna komma åt någon tjänst som använder protokollet TCP med portspannet 1 - 65535 (dvs. alla tillgängliga portar). Denna regel skall vara aktiv från måndag 07:00 - 16:00 till fredag 07:00 - 16:00, däremellan kan den dator som hyser den aktuella IP-adressen komma åt tjänster på Internet.
Nummer 5
I denna regel vill vi stoppa alla användare på det lokala nätverket eller olika familjemedlemmar från att besöka andra domäner än www.secure-it.se. Detta gör vi genom att aktivera en regel där vi lägger till secure-it.se som den enda godkända domänen att besöka. Om vi gör ett försök att ansluta till en annan domän stoppas vi av brandväggen.
Det var några väldigt enkla regler som kan sättas upp för att kontrollera trafiken som passerar brandväggen. Vissa applikationer och tjänster kräver att portar öppnas för att de överhuvudtaget skall fungera, ta då i beaktande hur nödvändig dessa tjänster är för dig. Vår grundregel är att du inte skall öppna mer portar än absolut nödvändigt.
Sammanfattningsvis kan vi säga att om du har en höghastighetsanslutning mot Internet bör du installera en brandvägg. Vilken typ av brandvägg du skall välja beror på hur omständigheterna kring din IT-miljö ser ut. En hårdvarubrandvägg ger i regel bättre och fler möjligheter till att konfigurera ett bra skydd och tittar man på de låga priserna på routrar med inbyggd brandvägg så anser vi att detta är en bra instegsmodell.
Dyrare lösningar ger i regel fler funktioner i form av möjlighet till VPN implementering, virusskydd, adwareskydd och även bättre support samt fler uppdateringar. Det brukar också vara bättre återrapportering på de händelser som inträffar.
En rätt konfigurerad brandvägg kan skydda mot t.ex. följande hotbilder:
1. Fjärranslutningar
2. Intrång
3. DOS-attacker
4. Logiska bomber
5. Virus
6. Spam
7. Den skyddar internt material på servrar och PC mm.
8. Den nekar anslutning mot valda tjänster och domäner mm. |
