- For andra betydelser, se
Brandvagg (olika betydelser)
.
En
brandvagg
(sverigesvenska) eller
brandmur
(finlandssvenska) ar inom
datateknik
en fysisk enhet (en s.k.
hardvarubrandvagg
) eller en
programvara
som kan installeras i en generell dator (en s.k.
mjukvarubrandvagg
) i syfte att avvarja
dataintrang
pa natverksanslutna datorer.
[
1
]
En
natverksbrandvagg
ansluts mellan tva eller flera natverk, vanligen mellan
Internet
(
WAN
) och ett
privat natverk
(ett eller flera
LAN
), och ar vanligen placerad i anslutning till en
router
, eller i samma fysiska enhet som routern. En
personlig brandvagg
installeras som en programvara i den dator som ska skyddas.
En brandvagg analyserar inkommande och utgaende trafik och blockerar obehoriga
IP-paket
. For att avgora vilken trafik som ar behorig eller ej arbetar den efter regler, bestamda av brandvaggens programvara och av dess
systemadministrator
. I installningarna for vilken trafik som skall tillatas eller blockeras kan man vanligtvis anvanda parametrar sasom
IP-adress
,
portnummer
, fysiskt granssnitt, och ibland visst innehall. Vid en personlig brandvagg kan man dessutom valja vilka
program
pa den lokala datorn som tillats kommunicera med vissa adresser.
En oskyddad dator ansluten till Internet utsatts dagligen for oerhort manga intrangsforsok fran skadlig programvara pa natet, som forsoker utnyttja olika sakerhetshal, knacka losenord, med mera. Om exempelvis en dator vars operativsystem inte uppdaterats pa lange ansluts till Internet utan aktiverade brandvaggar ar risken stor att den inom kort stund infekteras av virus och
internetmaskar
.
[
kalla behovs
]
Ordet brandvagg myntades 1851 och ar bokstavligt vad det later som; en vagg som ska skydda mot att brander sprider sig. Nar ordet nylanserades handlade det istallet om internettrafik. I samband med att den forsta internetmasken
Morrismasken
spred sig 1988 stod alla oforberedda och oskyddade. 10 procent av alla internetanslutna datorer smittades av och gjordes obrukbara. Amerikanen Jeffrey Mogul pa foretaget Digital skrev 1989 det forsta forslaget pa en losning mot liknande attacker. Han kallade skyddet for ett “paketfilter” och ett fardigt forslag slapptes till forsaljning 1991. Sedan dess har brandvaggen utvecklats i manga generationer.
[
1
]
I brandvaggens installningar kan man ange vilka IP-adresser som tillhor det privata natverket och saledes betraktas som tillforlitliga. Trafik inom det privata natverket filtreras normalt inte av natverksbrandvaggar. Ett privat natverk kan exempelvis vara organisationens
Intranat
eller
doman
, eller fastighetens
lokala natverk
. Notera att aven externa datorer anslutna via
virtuellt privat natverk
(VPN) i allmanhet anses tillhora det privata natverket, och saledes kan ta sig forbi natverksbrandvaggens filtrering. Vidare kan organisationens natverk delas upp i zoner eller "oar" som kan skyddas fran varandra i en brandvagg som ar integrerad med en router. Exempelvis kan en sarskild
demilitariserad zon
skapas, bestaende av ett skilt privat nat dar man placerar webbservrar och andra publika servrar, vilka ar sarskilt utsatta for risker.
En personlig brandvagg kan filtrera kommunikation aven mot andra IP-adresser inom samma privata natverk, med undantag for vissa betrodda serverdatorer. Den erbjuder saledes skydd aven mot dataintrang och spridande av
Internetmaskar
inom det privata natverket.
Blockering av inkommande anrop till servrar
[
redigera
|
redigera wikitext
]
Serverprocesser
(program som vantar pa initiativ fran
klientprogram
) ar mer utsatta an klientprocesser (program som tar initiativ till kommunikation), eftersom en server standigt ar oppen for kommunikation fran valfri IP-adress, medan klienten bara ar oppen for kommunikation med en specifik server och under den begransade tid en kommunikationssession pagar. Skadlig programvara utfor ofta
portskanning
for att ta reda pa vilka serverprocesser som ar oppna pa en dator, och sedan kunna angripa dem som kan ha sakerhetshal. Det ar ocksa mojligt att direkt testa sakerhetshalen utan skanning ? ett misslyckat forsok ar inte sarskilt dyrt.
Det framsta syftet med en brandvagg ar darfor att skydda serverprocesser (natverkstjanster) avsedda for internt bruk fran
dataintrang
fran klienter utanfor det privata natverket. I synnerhet vill man stoppa externa anvandare fran att komma at traditionella
LAN
-tjanster sasom delad diskaccess och delad skrivaraccess, eftersom dessa ofta har anvants for att sprida skadlig kod eller gora dataintrang. Det ar darfor vanligt i brandvaggar att grundinstallningen ar att inkommande trafik blockeras till de sa kallade valkanda portarna med nummer under 1024, som anvands for de flesta serverprogram men inte for klienter.
Emellertid kan man i installningarna "oppna hal" i brandvaggen for vissa servertjanster, det vill saga gora undantag for inkommande anrop till vissa IP-adresser och vissa portnummer under 1024, exempelvis for en webbserver som man vill ska vara publikt atkomlig.
Alternativt kan man helt andra policy, exempelvis sa att man oppnar for all trafik som inte betraktas som sarskilt suspekt.
[
fortydliga
]
Filtrering av avvikande utgaende anrop fran klienter
[
redigera
|
redigera wikitext
]
Traditionellt ar grundinstallningen for natverksbrandvaggar att inte stoppa interna klienter fran att kontakta externa servrar. Emellertid finns mojlighet att stoppa trafik till serverportnummer som utgor kanda sakerhetsrisker, i syfte att stoppa
trojanska hastar
och
Internetmaskar
. Vidare kan en arbetsgivare vilja stoppa portnummer som brukar anvandas for
piratkopiering
eller for
spel
. Dock anvander manga servrar tcp-port 80 for dessa andamal (samma portnummer som for webbservrar), och darfor kan det vara svart att stoppa utgaende illegitima anrop enbart genom att titta pa portnummer utan att ocksa stoppa anvandarnas mojlighet att surfa pa webben.
I webbens barndom var det vanligt att
HTTP
-trafik styrdes via en
proxyserver
, som fungerade som mellanlagrande natverks
cache
, i syfte att minska belastningen pa externa forbindelser.
Misstankt IP-adressforfalskning och icke-korrekta paket
[
redigera
|
redigera wikitext
]
Brandvaggar sparrar ofta sjalvmant datapaket som inte foljer
IP
-standarden, som utnyttjar ovanliga funktioner som ar latta att missbruka eller annars kan antas illegitima. Dar det kan finnas orsak att godkanna sadan trafik kan detta ofta goras med skilda installningar.
Inkommande trafik filtreras avseende sa kallad IP-
adressforfalskning
(IP
spoofing
), det vill saga ip-adresser tilldelade i inre natet, som inte far forekomma som avsandaradresser i inkommande trafik, nagot som ofta utnyttjas for
Denial of Service
-attacker. Pa samma satt kontrolleras ofta att avsandaradresser (pa
ip-niva
) for utgaende trafik ligger inom de intervall som tilldelats det inre natet, for att forsvara vissa typer av attacker pa natet utanfor.
Forsta generationens brandvaggar analyserade enbart enskilda IP-, TCP- och UDP-pakets pakethuvuden. Andra generationens brandvaggar ar aven
innehallsfiltrerande
, och analyserar UDP- och TCP-paketens innehall genom sa kallad
djup inspektion
, exempelvis vad galler applikationsprotokollets meddelande, URL:er och filtyper. De kan da filtrera trafiken ocksa gallande till exempel material som misstanks vara olampligt for barn eller som inte anstallda bor ga in pa arbetstid, webbplatser och filtyper som ar kanda sakerhetsrisker. En sadan brandvagg ar emellertid langsammare och betydligt mer komplicerad att konfigurera och darmed okar risken for sakerhetsluckor i sjalva brandvaggen. Inte heller en sadan brandvagg kan skydda mot attacker som den inte kan skilja fran legitim trafik.
Pa vissa foretag har det forekommit forsok att stoppa filtyper som kan innehalla konfidentiell information och pa sa satt forsvara att detta sprids vidare fran det privata natverket. For att en brandvagg sakert skall kunna skydda mot utsmuggling av information maste den emellertid stoppa alla krypterade forbindelser, nagot som ar svart och sallan onskvart. Dessutom maste den analysera trafiken med tanke pa
steganografi
. Sadana brandmurar kraver aktivt underhall och anvands ytterst sallan idag.
Forsta generationens brandvaggar, som utvecklades 1988, kallas paketfilter och analyserade varje paket for sig. Tredje generationens brandvaggar utvecklades redan 1989?1990, och lagrar dessutom information om varje pagaende sessions eller paketflodes tillstand. Dessa tillstandsbaserade brandvaggar (eng.
stateful firewall
) kontrollerar som grundinstallning att alla TCP-sessioner initieras fran brandvaggens insida, utom inkommande anrop till servrar till vilka hal har oppnats. De kan kontrollera att paketens ordningsfoljd ar korrekt, och kan minska risken att IP-paket fran en
forfalskad IP-adress
(s.k. IP spoofing) kan stora en pagaende session. De mojliggor aven kontroll av FTP-kommunikation, nagot tidigare brandvaggar inte klarade eftersom FTP-servern anvander tva portnummer till samma filoverforing; det ena anvands for inkommande anrop (FTP-kommandon) fran FTP-klient till FTP-servern, och det andra ibland anvands for uppkoppling fran servern (vid filnedladdning), ibland for uppkoppling till servern (vid filuppladdning).
En portfiltrerande brandvagg, alltsa en natverksbrandvagg som enbart analyserar IP-adresser och portnummer for
TCP
och
UDP
och liknande lagnivainformation, kan inte stoppa icke-legitim utgaende trafik fran legitima portar, exempelvis fran klienter som anvander portnummer hogre an 1024. Dessutom kan den inte gora en dator saker for dataintrang mot de tjanster (serverprocesser) till vilka hal har oppnats sa att de skall kunna nas fran yttervarlden. Aven om brandvaggen kan stoppa manga externa attacker mot tjanster som enbart ar avsedda for bruk inom
intranat
, sa har den begransade mojligheter att skilja mellan legitim och icke-legitim trafik. Mer avancerade brandvaggar klarar att analysera innehallet i trafiken. Med innehallsfiltrering kan man stoppa kanda attacker och trafik som inte foljer standarderna for vad trafiken utger sig vara.
En personlig brandvagg kan fungera som applikationsbrandvagg, de vill saga be anvandaren om bekraftelse innan ett nyinstallerat program far tillatelse att fungera som klient eller server, dels mot det privata natverket, dels mot externa IP-adresser. Pa sa satt kan man forsvara for skadlig programvara sasom trojaner och natmaskar att spridas vidare. Det ar dock i allmanhet mojligt for programvaran att lata ett legitimt program formedla trafiken, till exempel om godtyckliga program har mojlighet att be en webblasare hamta onskade webbsidor.
Med en hardvarubrandvagg menar man en sarskild utrustning avsedd att fungera som brandvagg, eller i samma natverksutrustning som fungerar som router. I praktiken ar den en dator med operativsystem och behovlig programvara, men utrustningen ar inte utformad for att fungera som generell dator, och programvaran ar ofta skriven, vald eller konfigurerad for att minimera mangden sakerhetsluckor. Hardvarubrandvaggar ar vanligast hos foretag och organisationer, men ocksa till exempel
ADSL
-modem kan innehalla en inbyggd brandvagg.
Med en mjukvarubrandvagg menar man programvara avsedd att installeras pa en normal dator. Det kan da vara fragan om samma programvara som i hardvarubrandvaggen (till exempel
Linux
-karnan har en inbyggd brandvagg som anvands ocksa i Linux-baserade hardvarubrandvaggar) eller programvara skriven uttryckligen att anvandas pa en
persondator
eller icke-specialiserad
serverdator
.
En natverksbrandvagg kopplas mellan tva eller flera natverk (dar ett ofta ar
Internet
), och sitter vanligen i samma enhet som eller i direkt anslutning till den router som sammankopplar natverken. En natverksbrandvagg ar idag oftast en hardvarubrandvagg, men kan aven vara en mjukvarubrandvagg. En natverksbrandvagg analyserar och filtrerar inkommande och utgaende IP-paket baserat pa
portnummer
,
IP-adress
och i vissa fall aven innehallet, men kan inte hindra sarskilda datorprogram.
En sa kallad personlig brandvagg ar en programvara avsedd att installeras pa en persondator for att skydda denna, inte ett helt natverk och inte en
server
eller ett
fleranvandarsystem
. Den skyddar inte bara fran dataintrang fran datorer utanfor intranatet, utan aven fran andra datorer i samma natverk.
Den personliga brandvaggen kan utnyttja kunskap om vilka specifika program pa datorn som forsoker skapa en forbindelse utat eller kommer att behandla en inkommande forbindelse och kan darfor ha olika regler ocksa for olika program. Den personliga brandvaggen kan ocksa dra fordel av att ha en anvandare som i
realtid
kan ta stallning till vilka forbindelser som skall tillatas och vilka som skall avvisas. Pa sa satt kan den ibland hindra
skadlig programvara
fran att kommunicera, till exempel angripa andra datorer eller hamta instruktioner. I praktiken ifragasatts dessa fordelar ratt allmant, da anvandaren sallan har tillracklig kunskap for att fatta goda beslut och det finns metoder (ofta triviala) att maskera icke-legitim trafik.
Serverbrandvaggar och applikationsspecifika brandvaggar
[
redigera
|
redigera wikitext
]
En mjukvarubrandvagg kan installeras ocksa pa en server, varvid den liksom den personliga brandvaggen skyddar datorn sjalv mot angrepp ocksa fran det privata natverket. Sadana brandvaggar ingar i manga serveroperativsystem. Liksom en personlig brandvagg kan den ha regler for vilka program, och ocksa vilka anvandarkonton, som far oppna forbindelser utat (allmant eller till enskilda datorer) och vilka som far fungera som servrar.
En
NAT
-router kan i praktiken fungera som brandvagg i den meningen att den filtrerar bort trafik som inte initierats fran insidan, da den inte vet till vilken dator trafiken borde styras. Trafik utifran kan styras till en viss dator eller till olika datorer beroende pa destinationsport, varvid brandvaggsfunktionen uteblir till dessa delar (liksom da motsvarande hal oppnas i en vanlig brandvagg). NAT-routrar ingar ofta i bredbandsmodem.
Internetleverantorer kan filtrera bort bade inkommande och utgaende trafik till problematiska tjanster avsedda for intranat som utgor kanda sakerhetshal (till exempel
SMB
) eller
RPC
-porten, men maste slappa igenom det mesta, saval inkommande som utgaende anrop, eftersom de inte vet vilka tjanster kunderna kan vilja erbjuda yttervarlden, eller behover komma at. Det ar vanligt att
internetleverantorer
kraver att e-post skall skickas via deras e-postserver (for att minska mojligheten att skicka ut
skrappost
).
Det finns ett antal IP-protokoll andra an TCP, UDP, och ICMP, till exempel
RIP
for kommunikation mellan
routrar
. Information utifran bor sallan anvandas for att styra de interna routrarnas funktion. Det ar vanligt att filtrera bort sadana paket.
Manga natverksprotokoll pa hogre niva anvander sa kallade ”valkanda” TCP- eller UDP-portar pa serversidan. Om den relaterade servicen skall tillatas racker det ofta att tillata eller sparra trafik till (och svarstrafik fran) ifragavarande port. Detta galler till exempel e-post, domannamnssystemet, SMB och sa kallad aktiv FTP. For andra protokoll kan de anvanda portarna variera, antingen i enskilda fall sasom for HTTP eller SSH, eller sa att nagon etablerad port over huvud taget inte finns, utan varierar fritt.
For passiv FTP framgar portnumret for dataoverforing ur trafiken pa den valkanda porten for kontrollkanalen. Manga brandvaggar klarar av att analysera trafiken i tillracklig grad for att tillata trafik till den port som behovs.
Trafik for e-post (SMTP) och for webbplatser (HTTP) styrs ofta via en central server, som kanner protokollet i detalj och darfor kan analysera och filtrera sjalva innehallet i trafiken. Det ar da mojligt att kora enskilda delar via ett
antivirusprogram
for att stoppa kanda attacker och kanda hot. Ocksa har galler att enskilda delar kan vara
krypterade
och darmed omojliga att analysera ? och omojliga att stoppa om kryptering tillats for den ifragavarande typen av data.
Firewall bypass (FWB) ar ett icke-etablerat engelskt uttryck for tekniker att kringga brandvaggar. Begreppet har annu inget etablerat namn pa svenska. Tekniken ar oftast implementerad i program vars syfte ar att ansluta ut till
Internet
. En av teknikerna bygger pa att "injicera" kod i ett program som "gar forbi" brandvaggen som
Internet Explorer
eller
MSN Messenger
. Andra tekniker bygger pa att paverka koden i sjalva brandvaggen. Om man inte har mojlighet att kora kod pa brandvaggsenheten behovs andra metoder.
Om man har tillgang till en server utanfor brandvaggen kan man fran insidan anvanda portar for trafik som sallan sparras, sasom port 80/tcp for webbservrar och port 53/udp for namnservrar och styra trafiken via servern till avsedd dator och port. Vid behov kan man omforma trafiken sa att den foljer de formella reglerna for tillampningen ifraga (men massiv trafik till en namnserver bor anda vacka uppmarksamhet).
Manga brandvaggar sparrar endast ingaende trafik. For att fa kontakt med en dator som ligger bakom en sadan brandmur behover datorn ifraga sjalv uppratta en forbindelse till en server utanfor brandmuren. Den som vill ha kontakt med datorn kontaktar da servern, som via den tidigare upprattade forbindelsen formedlar antingen en kontaktbegaran (om den som ber om kontakt kan kontaktas direkt) eller all trafik. Denna metod anvand allmant vid
IP-telefoni
, da den uppringda datorn ofta ar bakom en brandvagg av denna typ.
Tillverkare av programvarubaserade brandvaggar
[
redigera
|
redigera wikitext
]
Brandvaggstest ar problematiska. De kan inte sakert faststalla att brandvaggen skyddar mot annat an specifika attacker och da endast genom att prova dessa. Ofta kontrollerar testservicen huruvida datorn
svarar
pa vissa typers paket, men det att datorn inte svarar betyder inte att datorn inte skulle
behandla
paketet och darmed kunna vara mottaglig mot attacker med denna typ av paket.
Flera sadana test ger fulla poang endast da datorn inte svarar over huvud taget, vilket bryter mot standarderna. Fordelen med att inte svara beskrivs som att datorn da inte kan upptackas och darmed inte framstar som ett attraktivt mal. Detta ar inte sant, da attacker genomfors antingen mot slumpvisa mal, utan att kontrollera deras existens, eller mot fran tidigare kanda mal, vars existens inte behover bekraftas. Total tystnad ar dessutom inte ett tecken pa icke-existens ? som tvartom anges genom att routern narmast destinationen skickar ett
ICMP
-paket av typen "destination unreachable" eller liknande ? utan pa att en brandvagg sparrar trafiken i nagondera riktningen eller pa mer sallsynta natverksproblem.
Post- och telestyrelsen
stangde sin tjanst "Testa datorn" den 29 maj 2014 enligt en overenskommelse mellan PTS och
Myndigheten for samhallsskydd och beredskap
(MSB) i samband med att PTS tjanster och information om internetsakerhet flyttats till MSB. Tjansten var i huvudsak avsedd for hemanvandare och testade vilka portar brandvaggen tillater trafik pa. Liknande och mer utforliga tjanster ar t.ex.
ShieldsUP
tillhandahalls av
Steve Gibson
, han har aven gjort programmet
leaktest
som kan anvandas for att undersoka hur brandvaggen reagerar pa trojaner som forsoker koppla upp sig mot internet.
Tillverkare av hardvarubaserade brandvaggar
[
redigera
|
redigera wikitext
]