For andra betydelser, se Brandvagg (olika betydelser) .

Den har artikeln behover kallhanvisningar for att kunna verifieras . (2020-01) Atgarda genom att lagga till palitliga kallor ( garna som fotnoter ). Uppgifter utan kallhanvisning kan ifragasattas och tas bort utan att det behover diskuteras pa diskussionssidan .

En brandvagg (sverigesvenska) eller brandmur (finlandssvenska) ar inom datateknik en fysisk enhet (en s.k. hardvarubrandvagg ) eller en programvara som kan installeras i en generell dator (en s.k. mjukvarubrandvagg ) i syfte att avvarja dataintrang pa natverksanslutna datorer. ^{[ 1 ]}

En natverksbrandvagg ansluts mellan tva eller flera natverk, vanligen mellan Internet ( WAN ) och ett privat natverk (ett eller flera LAN ), och ar vanligen placerad i anslutning till en router , eller i samma fysiska enhet som routern. En personlig brandvagg installeras som en programvara i den dator som ska skyddas.

En brandvagg analyserar inkommande och utgaende trafik och blockerar obehoriga IP-paket . For att avgora vilken trafik som ar behorig eller ej arbetar den efter regler, bestamda av brandvaggens programvara och av dess systemadministrator . I installningarna for vilken trafik som skall tillatas eller blockeras kan man vanligtvis anvanda parametrar sasom IP-adress , portnummer , fysiskt granssnitt, och ibland visst innehall. Vid en personlig brandvagg kan man dessutom valja vilka program pa den lokala datorn som tillats kommunicera med vissa adresser.

En oskyddad dator ansluten till Internet utsatts dagligen for oerhort manga intrangsforsok fran skadlig programvara pa natet, som forsoker utnyttja olika sakerhetshal, knacka losenord, med mera. Om exempelvis en dator vars operativsystem inte uppdaterats pa lange ansluts till Internet utan aktiverade brandvaggar ar risken stor att den inom kort stund infekteras av virus och internetmaskar . ^{[ kalla behovs ]}

Historia [ redigera | redigera wikitext ]

Ordet brandvagg myntades 1851 och ar bokstavligt vad det later som; en vagg som ska skydda mot att brander sprider sig. Nar ordet nylanserades handlade det istallet om internettrafik. I samband med att den forsta internetmasken Morrismasken spred sig 1988 stod alla oforberedda och oskyddade. 10 procent av alla internetanslutna datorer smittades av och gjordes obrukbara. Amerikanen Jeffrey Mogul pa foretaget Digital skrev 1989 det forsta forslaget pa en losning mot liknande attacker. Han kallade skyddet for ett “paketfilter” och ett fardigt forslag slapptes till forsaljning 1991. Sedan dess har brandvaggen utvecklats i manga generationer. ^{[ 1 ]}

Olika typer av filtrering [ redigera | redigera wikitext ]

IP-adress [ redigera | redigera wikitext ]

I brandvaggens installningar kan man ange vilka IP-adresser som tillhor det privata natverket och saledes betraktas som tillforlitliga. Trafik inom det privata natverket filtreras normalt inte av natverksbrandvaggar. Ett privat natverk kan exempelvis vara organisationens Intranat eller doman , eller fastighetens lokala natverk . Notera att aven externa datorer anslutna via virtuellt privat natverk (VPN) i allmanhet anses tillhora det privata natverket, och saledes kan ta sig forbi natverksbrandvaggens filtrering. Vidare kan organisationens natverk delas upp i zoner eller "oar" som kan skyddas fran varandra i en brandvagg som ar integrerad med en router. Exempelvis kan en sarskild demilitariserad zon skapas, bestaende av ett skilt privat nat dar man placerar webbservrar och andra publika servrar, vilka ar sarskilt utsatta for risker.

En personlig brandvagg kan filtrera kommunikation aven mot andra IP-adresser inom samma privata natverk, med undantag for vissa betrodda serverdatorer. Den erbjuder saledes skydd aven mot dataintrang och spridande av Internetmaskar inom det privata natverket.

Blockering av inkommande anrop till servrar [ redigera | redigera wikitext ]

Serverprocesser (program som vantar pa initiativ fran klientprogram ) ar mer utsatta an klientprocesser (program som tar initiativ till kommunikation), eftersom en server standigt ar oppen for kommunikation fran valfri IP-adress, medan klienten bara ar oppen for kommunikation med en specifik server och under den begransade tid en kommunikationssession pagar. Skadlig programvara utfor ofta portskanning for att ta reda pa vilka serverprocesser som ar oppna pa en dator, och sedan kunna angripa dem som kan ha sakerhetshal. Det ar ocksa mojligt att direkt testa sakerhetshalen utan skanning ? ett misslyckat forsok ar inte sarskilt dyrt.

Det framsta syftet med en brandvagg ar darfor att skydda serverprocesser (natverkstjanster) avsedda for internt bruk fran dataintrang fran klienter utanfor det privata natverket. I synnerhet vill man stoppa externa anvandare fran att komma at traditionella LAN -tjanster sasom delad diskaccess och delad skrivaraccess, eftersom dessa ofta har anvants for att sprida skadlig kod eller gora dataintrang. Det ar darfor vanligt i brandvaggar att grundinstallningen ar att inkommande trafik blockeras till de sa kallade valkanda portarna med nummer under 1024, som anvands for de flesta serverprogram men inte for klienter.

Emellertid kan man i installningarna "oppna hal" i brandvaggen for vissa servertjanster, det vill saga gora undantag for inkommande anrop till vissa IP-adresser och vissa portnummer under 1024, exempelvis for en webbserver som man vill ska vara publikt atkomlig.

Alternativt kan man helt andra policy, exempelvis sa att man oppnar for all trafik som inte betraktas som sarskilt suspekt. ^{[ fortydliga ]}

Filtrering av avvikande utgaende anrop fran klienter [ redigera | redigera wikitext ]

Traditionellt ar grundinstallningen for natverksbrandvaggar att inte stoppa interna klienter fran att kontakta externa servrar. Emellertid finns mojlighet att stoppa trafik till serverportnummer som utgor kanda sakerhetsrisker, i syfte att stoppa trojanska hastar och Internetmaskar . Vidare kan en arbetsgivare vilja stoppa portnummer som brukar anvandas for piratkopiering eller for spel . Dock anvander manga servrar tcp-port 80 for dessa andamal (samma portnummer som for webbservrar), och darfor kan det vara svart att stoppa utgaende illegitima anrop enbart genom att titta pa portnummer utan att ocksa stoppa anvandarnas mojlighet att surfa pa webben.

I webbens barndom var det vanligt att HTTP -trafik styrdes via en proxyserver , som fungerade som mellanlagrande natverks cache , i syfte att minska belastningen pa externa forbindelser.

Misstankt IP-adressforfalskning och icke-korrekta paket [ redigera | redigera wikitext ]

Brandvaggar sparrar ofta sjalvmant datapaket som inte foljer IP -standarden, som utnyttjar ovanliga funktioner som ar latta att missbruka eller annars kan antas illegitima. Dar det kan finnas orsak att godkanna sadan trafik kan detta ofta goras med skilda installningar.

Inkommande trafik filtreras avseende sa kallad IP- adressforfalskning (IP spoofing ), det vill saga ip-adresser tilldelade i inre natet, som inte far forekomma som avsandaradresser i inkommande trafik, nagot som ofta utnyttjas for Denial of Service -attacker. Pa samma satt kontrolleras ofta att avsandaradresser (pa ip-niva ) for utgaende trafik ligger inom de intervall som tilldelats det inre natet, for att forsvara vissa typer av attacker pa natet utanfor.

Innehallsfiltrering [ redigera | redigera wikitext ]

Forsta generationens brandvaggar analyserade enbart enskilda IP-, TCP- och UDP-pakets pakethuvuden. Andra generationens brandvaggar ar aven innehallsfiltrerande , och analyserar UDP- och TCP-paketens innehall genom sa kallad djup inspektion , exempelvis vad galler applikationsprotokollets meddelande, URL:er och filtyper. De kan da filtrera trafiken ocksa gallande till exempel material som misstanks vara olampligt for barn eller som inte anstallda bor ga in pa arbetstid, webbplatser och filtyper som ar kanda sakerhetsrisker. En sadan brandvagg ar emellertid langsammare och betydligt mer komplicerad att konfigurera och darmed okar risken for sakerhetsluckor i sjalva brandvaggen. Inte heller en sadan brandvagg kan skydda mot attacker som den inte kan skilja fran legitim trafik.

Pa vissa foretag har det forekommit forsok att stoppa filtyper som kan innehalla konfidentiell information och pa sa satt forsvara att detta sprids vidare fran det privata natverket. For att en brandvagg sakert skall kunna skydda mot utsmuggling av information maste den emellertid stoppa alla krypterade forbindelser, nagot som ar svart och sallan onskvart. Dessutom maste den analysera trafiken med tanke pa steganografi . Sadana brandmurar kraver aktivt underhall och anvands ytterst sallan idag.

Portbaserad filtrering [ redigera | redigera wikitext ]

Forsta generationens brandvaggar, som utvecklades 1988, kallas paketfilter och analyserade varje paket for sig. Tredje generationens brandvaggar utvecklades redan 1989?1990, och lagrar dessutom information om varje pagaende sessions eller paketflodes tillstand. Dessa tillstandsbaserade brandvaggar (eng. stateful firewall ) kontrollerar som grundinstallning att alla TCP-sessioner initieras fran brandvaggens insida, utom inkommande anrop till servrar till vilka hal har oppnats. De kan kontrollera att paketens ordningsfoljd ar korrekt, och kan minska risken att IP-paket fran en forfalskad IP-adress (s.k. IP spoofing) kan stora en pagaende session. De mojliggor aven kontroll av FTP-kommunikation, nagot tidigare brandvaggar inte klarade eftersom FTP-servern anvander tva portnummer till samma filoverforing; det ena anvands for inkommande anrop (FTP-kommandon) fran FTP-klient till FTP-servern, och det andra ibland anvands for uppkoppling fran servern (vid filnedladdning), ibland for uppkoppling till servern (vid filuppladdning).

Applikationsfiltrering [ redigera | redigera wikitext ]

En portfiltrerande brandvagg, alltsa en natverksbrandvagg som enbart analyserar IP-adresser och portnummer for TCP och UDP och liknande lagnivainformation, kan inte stoppa icke-legitim utgaende trafik fran legitima portar, exempelvis fran klienter som anvander portnummer hogre an 1024. Dessutom kan den inte gora en dator saker for dataintrang mot de tjanster (serverprocesser) till vilka hal har oppnats sa att de skall kunna nas fran yttervarlden. Aven om brandvaggen kan stoppa manga externa attacker mot tjanster som enbart ar avsedda for bruk inom intranat , sa har den begransade mojligheter att skilja mellan legitim och icke-legitim trafik. Mer avancerade brandvaggar klarar att analysera innehallet i trafiken. Med innehallsfiltrering kan man stoppa kanda attacker och trafik som inte foljer standarderna for vad trafiken utger sig vara.

En personlig brandvagg kan fungera som applikationsbrandvagg, de vill saga be anvandaren om bekraftelse innan ett nyinstallerat program far tillatelse att fungera som klient eller server, dels mot det privata natverket, dels mot externa IP-adresser. Pa sa satt kan man forsvara for skadlig programvara sasom trojaner och natmaskar att spridas vidare. Det ar dock i allmanhet mojligt for programvaran att lata ett legitimt program formedla trafiken, till exempel om godtyckliga program har mojlighet att be en webblasare hamta onskade webbsidor.

Olika typer av brandvaggar [ redigera | redigera wikitext ]

Hardvarubrandvaggar [ redigera | redigera wikitext ]

Med en hardvarubrandvagg menar man en sarskild utrustning avsedd att fungera som brandvagg, eller i samma natverksutrustning som fungerar som router. I praktiken ar den en dator med operativsystem och behovlig programvara, men utrustningen ar inte utformad for att fungera som generell dator, och programvaran ar ofta skriven, vald eller konfigurerad for att minimera mangden sakerhetsluckor. Hardvarubrandvaggar ar vanligast hos foretag och organisationer, men ocksa till exempel ADSL -modem kan innehalla en inbyggd brandvagg.

Mjukvarubrandvaggar [ redigera | redigera wikitext ]

Med en mjukvarubrandvagg menar man programvara avsedd att installeras pa en normal dator. Det kan da vara fragan om samma programvara som i hardvarubrandvaggen (till exempel Linux -karnan har en inbyggd brandvagg som anvands ocksa i Linux-baserade hardvarubrandvaggar) eller programvara skriven uttryckligen att anvandas pa en persondator eller icke-specialiserad serverdator .

Natverksbrandvaggar [ redigera | redigera wikitext ]

En natverksbrandvagg kopplas mellan tva eller flera natverk (dar ett ofta ar Internet ), och sitter vanligen i samma enhet som eller i direkt anslutning till den router som sammankopplar natverken. En natverksbrandvagg ar idag oftast en hardvarubrandvagg, men kan aven vara en mjukvarubrandvagg. En natverksbrandvagg analyserar och filtrerar inkommande och utgaende IP-paket baserat pa portnummer , IP-adress och i vissa fall aven innehallet, men kan inte hindra sarskilda datorprogram.

Personliga brandvaggar [ redigera | redigera wikitext ]

En sa kallad personlig brandvagg ar en programvara avsedd att installeras pa en persondator for att skydda denna, inte ett helt natverk och inte en server eller ett fleranvandarsystem . Den skyddar inte bara fran dataintrang fran datorer utanfor intranatet, utan aven fran andra datorer i samma natverk.

Den personliga brandvaggen kan utnyttja kunskap om vilka specifika program pa datorn som forsoker skapa en forbindelse utat eller kommer att behandla en inkommande forbindelse och kan darfor ha olika regler ocksa for olika program. Den personliga brandvaggen kan ocksa dra fordel av att ha en anvandare som i realtid kan ta stallning till vilka forbindelser som skall tillatas och vilka som skall avvisas. Pa sa satt kan den ibland hindra skadlig programvara fran att kommunicera, till exempel angripa andra datorer eller hamta instruktioner. I praktiken ifragasatts dessa fordelar ratt allmant, da anvandaren sallan har tillracklig kunskap for att fatta goda beslut och det finns metoder (ofta triviala) att maskera icke-legitim trafik.

Serverbrandvaggar och applikationsspecifika brandvaggar [ redigera | redigera wikitext ]

En mjukvarubrandvagg kan installeras ocksa pa en server, varvid den liksom den personliga brandvaggen skyddar datorn sjalv mot angrepp ocksa fran det privata natverket. Sadana brandvaggar ingar i manga serveroperativsystem. Liksom en personlig brandvagg kan den ha regler for vilka program, och ocksa vilka anvandarkonton, som far oppna forbindelser utat (allmant eller till enskilda datorer) och vilka som far fungera som servrar.

NAT-routrar [ redigera | redigera wikitext ]

En NAT -router kan i praktiken fungera som brandvagg i den meningen att den filtrerar bort trafik som inte initierats fran insidan, da den inte vet till vilken dator trafiken borde styras. Trafik utifran kan styras till en viss dator eller till olika datorer beroende pa destinationsport, varvid brandvaggsfunktionen uteblir till dessa delar (liksom da motsvarande hal oppnas i en vanlig brandvagg). NAT-routrar ingar ofta i bredbandsmodem.

Internetleverantorers filtrering [ redigera | redigera wikitext ]

Internetleverantorer kan filtrera bort bade inkommande och utgaende trafik till problematiska tjanster avsedda for intranat som utgor kanda sakerhetshal (till exempel SMB ) eller RPC -porten, men maste slappa igenom det mesta, saval inkommande som utgaende anrop, eftersom de inte vet vilka tjanster kunderna kan vilja erbjuda yttervarlden, eller behover komma at. Det ar vanligt att internetleverantorer kraver att e-post skall skickas via deras e-postserver (for att minska mojligheten att skicka ut skrappost ).

Filtrering av specifika protokoll [ redigera | redigera wikitext ]

Det finns ett antal IP-protokoll andra an TCP, UDP, och ICMP, till exempel RIP for kommunikation mellan routrar . Information utifran bor sallan anvandas for att styra de interna routrarnas funktion. Det ar vanligt att filtrera bort sadana paket.

Manga natverksprotokoll pa hogre niva anvander sa kallade ”valkanda” TCP- eller UDP-portar pa serversidan. Om den relaterade servicen skall tillatas racker det ofta att tillata eller sparra trafik till (och svarstrafik fran) ifragavarande port. Detta galler till exempel e-post, domannamnssystemet, SMB och sa kallad aktiv FTP. For andra protokoll kan de anvanda portarna variera, antingen i enskilda fall sasom for HTTP eller SSH, eller sa att nagon etablerad port over huvud taget inte finns, utan varierar fritt.

For passiv FTP framgar portnumret for dataoverforing ur trafiken pa den valkanda porten for kontrollkanalen. Manga brandvaggar klarar av att analysera trafiken i tillracklig grad for att tillata trafik till den port som behovs.

Trafik for e-post (SMTP) och for webbplatser (HTTP) styrs ofta via en central server, som kanner protokollet i detalj och darfor kan analysera och filtrera sjalva innehallet i trafiken. Det ar da mojligt att kora enskilda delar via ett antivirusprogram for att stoppa kanda attacker och kanda hot. Ocksa har galler att enskilda delar kan vara krypterade och darmed omojliga att analysera ? och omojliga att stoppa om kryptering tillats for den ifragavarande typen av data.

Kringgaende av brandvaggar [ redigera | redigera wikitext ]

Firewall bypass (FWB) ar ett icke-etablerat engelskt uttryck for tekniker att kringga brandvaggar. Begreppet har annu inget etablerat namn pa svenska. Tekniken ar oftast implementerad i program vars syfte ar att ansluta ut till Internet . En av teknikerna bygger pa att "injicera" kod i ett program som "gar forbi" brandvaggen som Internet Explorer eller MSN Messenger . Andra tekniker bygger pa att paverka koden i sjalva brandvaggen. Om man inte har mojlighet att kora kod pa brandvaggsenheten behovs andra metoder.

Om man har tillgang till en server utanfor brandvaggen kan man fran insidan anvanda portar for trafik som sallan sparras, sasom port 80/tcp for webbservrar och port 53/udp for namnservrar och styra trafiken via servern till avsedd dator och port. Vid behov kan man omforma trafiken sa att den foljer de formella reglerna for tillampningen ifraga (men massiv trafik till en namnserver bor anda vacka uppmarksamhet).

Manga brandvaggar sparrar endast ingaende trafik. For att fa kontakt med en dator som ligger bakom en sadan brandmur behover datorn ifraga sjalv uppratta en forbindelse till en server utanfor brandmuren. Den som vill ha kontakt med datorn kontaktar da servern, som via den tidigare upprattade forbindelsen formedlar antingen en kontaktbegaran (om den som ber om kontakt kan kontaktas direkt) eller all trafik. Denna metod anvand allmant vid IP-telefoni , da den uppringda datorn ofta ar bakom en brandvagg av denna typ.

Tillverkare av programvarubaserade brandvaggar [ redigera | redigera wikitext ]

• Comodo Group
• Danware, NetOp Desktop Firewall
• Dr Solomon (Ingar i Network Associates )
• ESET , Ingar i ESET Smart Security
• F-Secure
• Halon Security , Virtual Security Router
• Kaspersky Lab , Kaspersky Internet Security
• McAfee (Ingar i Network Associates)
• Microsoft (Defender)
• Microsoft (ISA - Internet Security & Acceleration server)
• Norman, Norman Personal Firewall
• Panda Security
• Smoothwall (Extension i Edge och Google Chrome webblasare)
• Symantec , Norton Personal Firewall
• Zone labs, ZoneAlarm
• Agnitum , Outpost Firewall (Pro)
• Forsvarsmakten anvander en brandvagg som foretaget Tutus Data AB skapat. Brandvaggen kallas Farist och baseras pa operativsystemet FreeBSD .

Brandvaggstest for hemanvandare [ redigera | redigera wikitext ]

Brandvaggstest ar problematiska. De kan inte sakert faststalla att brandvaggen skyddar mot annat an specifika attacker och da endast genom att prova dessa. Ofta kontrollerar testservicen huruvida datorn svarar pa vissa typers paket, men det att datorn inte svarar betyder inte att datorn inte skulle behandla paketet och darmed kunna vara mottaglig mot attacker med denna typ av paket.

Flera sadana test ger fulla poang endast da datorn inte svarar over huvud taget, vilket bryter mot standarderna. Fordelen med att inte svara beskrivs som att datorn da inte kan upptackas och darmed inte framstar som ett attraktivt mal. Detta ar inte sant, da attacker genomfors antingen mot slumpvisa mal, utan att kontrollera deras existens, eller mot fran tidigare kanda mal, vars existens inte behover bekraftas. Total tystnad ar dessutom inte ett tecken pa icke-existens ? som tvartom anges genom att routern narmast destinationen skickar ett ICMP -paket av typen "destination unreachable" eller liknande ? utan pa att en brandvagg sparrar trafiken i nagondera riktningen eller pa mer sallsynta natverksproblem.

Exempel pa brandvaggstest [ redigera | redigera wikitext ]

Post- och telestyrelsen stangde sin tjanst "Testa datorn" den 29 maj 2014 enligt en overenskommelse mellan PTS och Myndigheten for samhallsskydd och beredskap (MSB) i samband med att PTS tjanster och information om internetsakerhet flyttats till MSB. Tjansten var i huvudsak avsedd for hemanvandare och testade vilka portar brandvaggen tillater trafik pa. Liknande och mer utforliga tjanster ar t.ex. ShieldsUP tillhandahalls av Steve Gibson , han har aven gjort programmet leaktest som kan anvandas for att undersoka hur brandvaggen reagerar pa trojaner som forsoker koppla upp sig mot internet.

Tillverkare av hardvarubaserade brandvaggar [ redigera | redigera wikitext ]

• 3Com
• Barracuda Networks
• Borderware
• Checkpoint
• Cisco
• Clavister
• D-link
• Fortinet
• Halon Security
• Ingate
• Juniper Networks
• Netgear
• Palo Alto Networks
• Smoothwall
• SonicWALL
• Symantec
• Watchguard
• Zyxel
• Mikrotik

Se aven [ redigera | redigera wikitext ]

• Paketanalysator
• Antivirusprogram
• Antispionprogram

Kallor [ redigera | redigera wikitext ]

Externa lankar [ redigera | redigera wikitext ]

• omWLAN.se - Brandvaggar (svenska)
• Firewalls FAQ (engelska)