Firewall – betydning og definition
En firewall er et sikkerhedssystem til computernetværk, der begrænser internettrafik ind i, ud af eller inden for et privat netværk.
Denne software eller dedikerede hardware-softwareenhed virker ved selektivt at blokere eller tillade datapakker. Intentionen er typisk at forhindre skadelig aktivitet, og at forhindre alle, indenfor eller udenfor et privat netværk, i at deltage i uautoriserede webaktiviteter.
Hvad er en firewall?
Firewalls kan ses som porte, der administrerer gennemrejse af tilladt og forbudt webaktivitet i et privat netværk. Begrebet kommer fra konceptet, at fysiske vægge kan være barrierer, der forsinker ilden i at sprede sig, indtil brandvæsenet kan slukke den. Til sammenligning er firewalls til netværkssikkerhed det samme til administration af webtrafik, typisk her for at forsinke spredningen af webtrusler.
Firewalls laver flaskehalse, der leder webtrafikken, hvorefter de gennemgås på baggrund af et sæt programmerede parametre, hvorefter der handles på dem. Nogle firewalls sporer også trafikken og forbindelser i logfiler for at referere til, hvad der er blevet tilladt og blokeret.
Firewalls bruges ofte til at afgrænse et privat netværk eller dets værtsenheder. Derfor er firewalls et sikkerhedsværktøj i kategorien kontrol af brugeradgang. Disse barrierer sættes oftest op to steder, på dedikerede computere på netværker, eller på brugercomputere og andre endpoints (værter).
Hvordan fungerer firewalls?
En firewall bestemmer, hvilken netværkstrafik der må trænge igennem, og hvilken der er farlig. Grundlæggende fungerer den ved at filtrere det gode fra det dårlige, det velkendte fra det upålidelige. Men før vi går i detaljer, hjælper det at forstå strukturen på webbaserede netværk.
Firewalls skal sikre private netværk og endpointenhederne indenfor dem, kendt som netværksværter. Netværksværter er enheder, der "taler" med andre værter på netværket. De sender og modtager mellem interne netværk, og også ud og ind af eksterne netværk.
Computere og andre endpointenheder bruger netværk til at tilgå internettet og hinanden. Men internettet er inddelt i undernetværk for sikkerhed og privatliv. De basale undernetværk er som følger:
- Eksterne offentlige netværk refererer typisk til det offentlige/globale internet eller andre ekstranet.
- Interne private netværk er hjemmenetværk, virksomheders intranet og andre lukkede netværk.
- Grænsenetværk er netværk, der består af bastionværter, computerværter med ekstra sikkerhed, der er klar til at modstå et eksternt angreb. Som en sikker buffer mellem interne og eksterne netværk kan disse også bruges til at huse eksternt vendte tjenester, som det interne netværk udbyder (f.eks. webservere, mailservere, FTP, VoIP osv.). De er sikrere end eksterne netværk, men ikke lige så sikre som interne netværk. De er ikke altid til stede i simple netværk som hjemmenetværk, men bruges ofte i organisationers intranet eller nationale intranet.
Screeningroutere er særlige gatewaycomputere, der placeres på et netværk for at segmentere det. De kendes som husfirewalls på netværksniveau. De to mest almindelige segmentmodeller er en screenet værtsfirewall og en screenet undernetværksfirewall:
- Screenede værtsfirewalls bruger en enkelt screeningrouter mellem de eksterne og interne netværk. Disse netværk er denne models undernetværk.
- Screenede undernetværksfirewalls bruger to screeningroutere, den ene er en ekstern router mellem det eksterne netværk og grænsenetværket, og en anden er en intern router mellem grænsenetværket og det interne netværk. Det skaber altså tre undernetværk.
Både netværksgrænsen og værtsmaskinerne kan have en firewall. For at kunne gøre dette, placeres den mellem en enkelt computer og dens forbindelse til et privat netværk.
- Netværksfirewalls involverer anvendelsen af en eller flere firewalls mellem eksterne netværk og interne private netværk. De regulerer netværkstrafik, der går ind og ud, og adskiller eksterne offentlige netværk, som det globale internet, fra interne netværk som Wi-Fi netværk i hjemmet, virksomhedsintranet eller nationale intranet. Netværksfirewalls kan komme i disse forskellige former: dedikeret hardware, software og virtuelle.
- Værtsfirewalls, også kendt som softwarefirewalls, involverer brugen af firewalls på individuelle brugerenheder, og andre private netværksendpoints som en barriere mellem enheder på netværket. Disse enheder, eller værter, modtager tilpasset regulering af trafik til og fra specifikke computerprogrammer. Værtsfirewalls kan køre på lokale enheder som en tjeneste i styresystemet, eller et sikkerhedsprogram i et endpoint. Værtsfirewalls kan også dykke dybere ned i webtrafik og filtrere baseret på HTTP og andre netværksprotokoller, hvilket giver mulighed for at administrere, hvilket indhold der kommer til din maskine, og ikke kun hvor det kommer fra.
En netværksfirewall skal opsættes mod en bred vifte af forbindelser, hvorimod en værtsfirewall kan skræddersys til at passe hver maskines behov. Men værtsfirewalls kræver mere arbejde at tilpasse, og derfor er netværksbaserede firewalls ideelle til en gennemgående kontrolløsning. Men brugen af begge firewalls, begge steder, samtidig er ideelt til et sikkerhedssystem i flere lag.
Filtrering af trafik gennem en firewall bruger forudindstillede eller dynamisk lærte regler for hvilke forbindelser, der skal accepteres eller afvises. Disse regler er måden, en firewall regulerer webtrafikken gennem dit private netværk og private computerenheder. Uanset type kan firewalls filtrere med en kombination af de følgende:
- Kilde: Hvor en forbindelse forsøges oprettet fra.
- Destination: Hvor en forbindelse forsøger at nå hen.
- Indhold: Hvad en forbindelse forsøger at sende.
- Pakkeprotokoller: Hvilket "sprog" en forbindelse taler for at bære dens besked. Blandt de netværksprotokoller værter bruger til at tale sammen, bliver TCP/IP protokoller primært brugt til at kommunikere på tværs af internettet, og indenfor intranet/undernetværk.
- Programprotokoller: Almindelige protokoller inkluderer HTTP, Telnet, FTP, DNS og SSH.
Kilden og destinationen kommunikeres via IP-adresser og porte. IP-adresser er unikke enhedsnavne for hver vært. Porte er et underniveau af kildeværtsenheder og destinationsværtsenheder, og kan sammenlignes med kontorer i en større bygning. Porte har oftest særlige formål, så visse protokoller og IP-adresser, der bruger usædvanlige porte eller porte, der er slået fra, kan være en bekymring.
Ved at bruge disse identifikatorer kan en firewall beslutte om en datapakke, der forsøger at oprette en forbindelse, skal afvises, enten stille eller med en fejlbesked til afsenderen, eller sendes videre.
Typer af firewalls
Forskellige typer firewalls anvender forskellige filtermetoder. Selvom hver type blev udviklet til at overgå tidligere firewallgenerationer, er meget af kerneteknologien nedarvet fra generation til generation.
Firewalltyper adskilles ved deres tilgang til:
- Forbindelsessporing
- Filterregler
- Logning
Hver type opererer på et forskelligt niveau af standardkommunikationsmodellen, Open Systems Interconnection-modellen (OSI). Denne model giver et bedre billede af, hvordan hver firewall interagerer med forbindelser.
Statisk pakkefilter-firewall
Statiske pakkefilter-firewalls, også kendt som tilstandsløse inspektions-firewalls opererer på OSI-netværkslaget (lag 3). De tilbyder basal filtrering ved at tjekke alle datapakker, der sendes igennem et netværk, baseret på hvor de kommer fra, og hvor de prøver at komme hen. Vigtigt er det, at de ikke sporer tidligere accepterede forbindelser. Derfor skal hver forbindelse godkendes igen for hver datapakke.
Filtrering baseres på IP-adresser, porte og pakkeprotokoller. Disse firewalls forhindrer som minimum to netværk fra at forbinde direkte uden tilladelse.
Filterregler sættes op baseret på en manuelt lavet adgangskontrolliste. De er ikke særlig fleksible, og det er svært at dække uønsket trafik på passende vis uden at kompromittere netværkets brugbarhed. Statisk filtrering kræver konstant manuel revision for at kunne bruges effektivt. Det kan være overkommeligt på små netværk, men bliver hurtigt svært på store netværk.
Mangel på evne til at læse applikationsprotokoller betyder, at indholdet i en besked, der leveres med en pakke, ikke kan læses. Uden at læse indholdet, har pakkefilter-firewalls en begrænset evne til beskyttelse.
Gateway-firewall på kredsløbsniveau
Gateways på kredsløbsniveau opererer på sessions-niveauet (lag 5). Disse firewalls holder øje med funktionelle pakker i en forsøgt forbindelse, og hvis de opererer godt, tillader de en længerevarende åben forbindelse mellem de to netværk. Firewallen holder op med at holde opsyn med forbindelsen, når dette er sket.
Udover dens tilgang til forbindelser, kan gateways på kredsløbsniveau meget ligne proxyfirewalls.
Den fortsatte forbindelse uden opsyn er farlig, da forbindelsen kunne åbnes med legitime midler, og derefter tillade en ondsindet aktør at komme ind uden forstyrrelser.
Tilstandsbaserede inspektions-firewalls
Tilstandsbaserede inspektionsfirewalls, også kendt som dynamiske pakkefilterfirewalls, er forskellige fra statiske filtre, da de kan holde opsyn med fortsatte forbindelser og huske fortidens forbindelser. Oprindeligt opererede de på transportlaget (lag 4), men nu til dags kan disse firewalls holde opsyn med mange lag, inklusive applikationslaget (lag 7).
Som den statiske filterfirewall kan tilstandsbaserede inspektionsfirewalls tillade eller blokere trafik, baseret på tekniske egenskaber som specifikke pakkeprotokoller, IP-adresser eller porte. Men disse firewalls sporer også og filtrerer baseret på forbindelsernes tilstand ved brug af en tilstandstabel.
Denne firewall opdaterer filterregler baseret på fortidige forbindelseshændelser, der er nedskrevet i tilstandstabellen af screeningrouteren.
Normalt er filterbeslutninger baseret på administratorens regler, når computeren og firewallen bliver sat op. Men tilstandstabellen tillader disse dynamiske firewalls at træffe deres egne beslutninger, baseret på fortidige interaktioner, de har lært fra. F.eks. kan trafiktyper, der forårsagede forstyrrelser tidligere, blive filtreret fra i fremtiden. Den fleksibilitet, tilstandsbaseret inspektion har, har gjort det til en af de mest fremtrædende skjoldtyper.
Proxy-firewall
Proxy-firewalls, også kendt som firewalls på applikationsniveau (lag 7) er unikke, da de læser og filtrerer applikationsprotokoller. De kombinerer inspektion på applikationsniveau, eller "dyb pakkeinspektion (DPI)" og tilstandsbaseret inspektion.
En proxy-firewall er så tæt på en egentlig fysisk barriere, som det er muligt at opnå. I modsætning til andre typer firewalls opfører de sig som to ekstra værter mellem eksterne netværk og interne værtscomputere, hvor en er repræsentant (eller proxy) for hvert netværk.
Filtrering baseres på data på applikationsniveau, og ikke bare IP-adresser, porte og basale pakkeprotokoller (UDP, ICMP) som i de pakkebaserede firewalls. At læse og forstå FTP, HTTP, DNS og andre protokoller tillader mere dybdegående undersøgelse og krydsfiltrering for mange forskellige dataegenskaber.
Som en vagt ved en dør ser og evaluerer den i bund og grund de indgående data. Hvis der ikke registreres et problem, kan dataene passere videre til brugeren.
Ulempen ved denne form for tung sikkerhed er, at det nogle gange forstyrrer indgående data, som ikke er en trussel, hvilket medfører forsinkelser i funktionaliteten.
Firewalls af næste generation (NGFW)
Udviklingen af trusler kræver fortsat mere intense løsninger, og den næste generation af firewalls holder styr på dette problem ved at kombinere funktionerne fra en traditionel firewall med systemer til forebyggelse af netværksindtrængning.
Faktisk er trusselsspecifikke firewalls af næste generation designet til at undersøge og identificere specifikke farer, såsom avanceret malware, på et mere detaljeret niveau. De anvendes hyppigere af virksomheder og sofistikerede netværk, og de giver en holistisk løsning til bortfiltrering af farer.
Hybrid-firewall
Som navnet antyder bruger hybrid-firewalls to eller flere typer firewall i et enkelt privat netværk.
Hvem opfandt firewalls?
Firewallens opfindelse skal ses som en kontinuert proces. Det er fordi, den konstant udvikler sig, og der har været flere skabere involveret i dens udvikling.
Fra slut-firserne til midt-halvfemserne udvidede hver skaber forskellige firewallrelaterede komponenter, og versioner før blev det produkt, der blev brugt som basis til alle moderne firewalls.
Brian Reid, Paul Vixie og Jeff Mogul
I slutfirserne havde Mogul, Reid og Vixie alle roller i Digital Equipment Corp, hvor de udviklede pakkefiltreringsteknologi, der blev værdifuldt i de fremtidige firewalls. Dette førte til det koncept, at man kan undersøge eksterne forbindelser, før de kontakter computere på et internt netværk. Selvom nogen måske ser dette pakkefilter som den første firewall, var det mere en komponent, der understøttede de rigtige firewalls, der kom.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick, og Steven Bellovin
I slutfirserne og de tidlige halvfemsere forskede ansatte på AT&T Bell Labs i og udviklede et tidligt koncept af en gateway-firewall på kredsløbsniveau. Det var den første firewall, der tjekkede og tillod fortsatte forbindelser, i stedet for bare at genautorisere efter hver datapakke. Presotte, Sharma og Nigam udviklede gatewayen på kredsløbsniveau fra 1989 til 1990, og blev efterfulgt at Cheswick og Bellovins arbejde med firewall-teknologi i 1991.
Marcus Ranum
Fra 1991 til 1992 udviklede Ranum de sikkerhedsproxier ved DEC, der blev en vital komponent i det første firewallprodukt på applikationsniveau, det proxybaserede Secure External Access Link (SEAL) produkt fra 1991. Det var en videreudvikling af Reid, Vixie og Moguls arbejde for DEC, og var den første kommercielle firewall.
Gil Shwed og Nir Zuk
Fra 1993 til 1994 i Check Point spillede virksomhedens grundlægger, Gil Shwed, og en produktiv udvikler, Nir Zuk, store roller i at udvikle det første udbredte, brugervenlige firewallprodukt, Firewall-1 Gil Shwed opfandt og tog patent på tilstandsbaseret inspektion i 1993. Dette efterfulgtes af Nir Zuks arbejde på et let-anvendeligt grafisk interface til Firewall-1 fra 1994, hvilket var vitalt for udbredelsen af firewalls til virksomheder og hjem i fremtiden.
Disse udviklinger var essentielle i at forme det firewallprodukt, vi kender i dag, hvor hver bliver brugt på et eller andet plan i mange cybersikkerhedsløsninger.
Vigtigheden af firewalls
Så hvad er formålet med en firewall, og hvorfor er de vigtige? Netværk uden beskyttelse er sårbare overfor al trafik, der forsøger at tilgå din systemer. Skadelig eller ej skal netværkstrafik altid godkendes.
At forbinde personlige computere til andre IT-systemer eller internettet åbner for en bred vifte af fordele, inklusive let samarbejde, kombinering af ressourcer og forøget kreativitet. Men det kan komme med netværk- og enhedsbeskyttelse som pris. Hacking, identitetstyveri, malware og onlinesvindel er almindelige trusler, som brugere står over for, når de udsætter sig for fare ved at linke deres computere til et netværk eller internettet.
Når en ondsindet aktør har opdaget dig, kan dit netværk og dine enheder let blive fundet, hurtigt tilgået, og udsat for gentagne trusler. Internetforbindelser, der hele tiden er slået til, forøger denne risiko (siden dit netværk kan tilgås når som helst).
Proaktiv beskyttelse er essentielt, når man bruger et netværk. Brugere kan beskytte deres netværk fra de værste farer ved at bruge en firewall.
Hvad gør firewallsikkerhed?
Hvad gør en firewall, og hvad kan den beskytte imod? Konceptet bag en netværkssikkerhedsfirewall er, at den begrænser den angribelige grænseflade af et netværk til et enkelt kontaktpunkt. I stedet for at hver vært på et netværk er direkte eksponeret for hele internettet, skal al trafik først kontakte firewallen. Siden det også virker den anden vej, kan firewallen filtrere og blokere trafik, der ikke er tilladt, om det er ind eller ud. Derudover bruges firewalls til at lave logfiler over forsøgte netværksforbindelser, så du er mere bevidst om sikkerhed.
Siden trafikfiltrering kan være et regelsæt, ejerne af et privat netværk har etableret, er der derfor tilpassede brugssituationer for firewalls. Populære brugssituationer er at administrere følgende:
- Infiltering fra ondsindede aktører: Uønskede forbindelser fra en kilde, der opfører sig sært, kan blokeres. Det kan forhindre smuglytning og avancerede vedholdende trusler.
- Forældrekontrol: Forældre kan blokere deres børn fra at se voksenindhold på internettet.
- Restriktioner for webbrowsing på arbejdspladsen: Arbejdsgivere kan forhindre ansatte i at bruge virksomhedsnetværk til at tilgå visse tjenester og indhold, såsom sociale medier.
- Nationalt kontrolleret intranet: Regeringer kan blokere interne beboeres adgang til webindhold og tjenester, der potentielt er oprørsk mod en nations lederskab eller værdier.
Firewalls er derimod mindre effektive til følgende:
- At identificere udnyttelse af legitime netværksprocesser: Firewalls kan ikke læse menneskelige intentioner, så de kan ikke se om en legitim forbindelse har et ondsindet formål. For eksempel sker svindel med IP-adresser (Falske IP-adresser), fordi firewalls ikke validerer kilde-IP-adressen og destinations-IP-adressen.
- Forhindre forbindelser, der ikke går gennem firewallen: Firewalls på netværksmiljø alene kan ikke stoppe ondsindet intern aktivitet. Interne firewalls såsom værtsbaserede firewalls skal være til stede ud over firewallen i grænsen, så dit netværk er opdelt og interne "ildebrande" ikke spredes så hurtigt.
- Give god beskyttelse mod malware: Selvom forbindelser med skadelig kode kan stoppes, hvis de bliver afvist, kan en forbindelse, der er set som acceptabel, stadig levere disse trusler til dit netværk. Hvis en firewall overser en forbindelse, fordi den er sat forkert op, eller en fejl bliver udnyttet, kræves et antivirusprogram stadig for at fjerne malware, der er kommet ind.
Eksempler på firewalls
I praksis har virkelighedens anvendelse af firewalls tiltrukket både ros og kontroverser. Selvom der er en lang historie med firewallbedrifter, skal denne sikkerhedstype implementeres korrekt for at undgå fejl, der kan udnyttes. Derudover er firewalls kendt for at blive udnyttet på etisk problematiske måder.
Den Kinesiske Firewall, internetcensur
Siden ca. år 2000 har kina haft interne firewalls på plads for at oprette dets omhyggeligt overvågede intranet. Af natur tillader firewalls, at man opretter en tilpasset udgave af det globale internet i en nation. Det gøres ved at man forhindrer visse tjenester eller information fra at blive brugt eller tilgået på dette nationale intranet.
National overvågning og censur tillader undertrykkelsen af ytringsfrihed, mens regeringens image opretholdes. Derudover tillader Kina's firewall, at regeringen begrænser internettjenester til lokale virksomheder. Det gør kontrol over ting som søgemaskiner og e-mailtjenester meget lettere at regulere i henhold til regeringens mål.
Kina har fortløbende interne protester mod denne censur. Brugen af virtuelle private netværk og proxier, der lader dem komme forbi den nationale firewall har tilladt mange at ytre deres mishag.
Amerikansk føderalt Covid-19-agentur kompromitteret på grund af svagheder ved fjernarbejde
I 2020, var en forkert opsat firewall en af mange svagheder i sikkerheden, der ledte til en indtrængen i et anonymt amerikansk føderalt agentur.
Det menes, at en nationalstatsaktør udnyttede en række sårbarheder i agenturets cybersikkerhed. Blandt de mange problemer med deres sikkerhed, havde den firewall, der var i brug, mange udgående porte, der var åbne for trafik, men ikke burde være det. Ud over, at det var dårligt vedligeholdt, havde agenturets netværk sikkert nye problemer med fjernarbejde. Når angriberen først var kommet ind, opførte den sig på måder, der viste en klar intention om at bevæge sig gennem andre åbne stier til andre agenturer. Denne slags angreb risikerer ikke kun at der opstår et brud på sikkerheden i det infiltrerede agentur, men i mange andre.
Det amerikanske energinets operatørs uopdaterede firewall udnyttet
I 2019 blev en amerikansk udbyder af energinettet ramt af en sårbarhed overfor Denial-of-Service, som hackere udnyttede. Firewalls i grænsenetværket sad fast i en genstartsløkke i cirka ti timer.
Man fandt senere ud af, at det var resultatet af en kendt, men ikke opdateret, firmware-sårbarhed i deres firewalls. En almindelig driftsprocedure, at opdateringer skal tjekkes før implementering, var endnu ikke blevet implementeret, og derfor var opdatering forsinkede og et problem for sikkerheden. Heldigvis ledte problemet med sikkerhed ikke til nogen significant netværkspenetration.
Disse hændelser viser, hvor vigtigt det er at regelmæssigt opdatere sin software. Uden dem er firewalls bare endnu et netværkssikkerhedssystem, der kan udnyttes.
Sådan bruger man firewallbeskyttelse
Korrekt opsætning og vedligehold af din firewall er essentielt, for at holde dit netværk og enheder beskyttet. Her er nogle tips, der kan guide din praksis for firewallnetværkssikkerhed:
- Opdater altid dine firewalls så hurtigt som muligt: Firmware- og softwareopdateringer holder din firewall opdateret mod nyopdagede sårbarheder. Personlige firewalls og hjemmefirewalls kan for det meste opdateres med det samme. Større organisationer skal tjekke opsætning og kompatibilitet på tværs af deres netværk først. Men alle skal have processer på plads, så de kan opdatere hurtigt.
- Brug antivirusbeskyttelse: Firewalls alene er ikke designet til at stoppe malware og andre infektioner. De kan komme forbi firewallbeskyttelse, og du får brug for en sikkerhedsløsning, der stopper dem og fjerner dem. Kaspersky Total Security kan beskytte dig på dine personlige enheder, og vores mange sikkerhedsløsninger til virksomheder kan sikre alle de netværksværter, du vil holde rene.
- Begræns tilgængelige porte og værter med en tillad-liste: Som standard skal forbindelser afvises for indgående trafik. Begræns indgående og udgående forbindelser til en streng whitelist af pålidelige IP-adresser. Reducer brugernes adgangsprivilegier til det, der er nødvendigt. Det er lettere at være sikker ved at give adgang, når det er nødvendigt, end ved at fjerne adgang for at begrænse skaden, efter en hændelse.
- Segmenteret netværk: Sidelæns bevægelse af ondsindede aktører er en klar fare, der kan forsinkes ved at begrænse krydskommunikation internt.
- Hav redundans i det aktive netværk for at undgå nedetid: Databackup for netværksværter og andre essentielle systemer kan forhindre tab af data og produktivitet under en hændelse.
Kaspersky Endpoint Security modtog tre AV-testpriser for den bedste ydeevne, beskyttelse og brugbarhed for et endpointsikkerhedsprodukt til virksomheder i 2021. I alle tests viste Kaspersky Endpoint Security fremragende ydeevne, beskyttelse og brugbarhed for virksomheder.
Relaterede links: