Brannmurer (IT)

I databehandling er en brannmur (fra det originale engelske uttrykket brannmur ) den delen av et datasystem eller datanettverk som er designet for å blokkere uautorisert tilgang, samtidig som det tillater autorisert kommunikasjon. [ 1 ]

Brannmurer kan implementeres i maskinvare eller programvare , eller en kombinasjon av begge. Brannmurer brukes ofte for å hindre andre uautoriserte Internett-brukere fra å få tilgang til private nettverk koblet til Internett. Disse fungerer vanligvis som et inspeksjonsorgan som verifiserer forbindelsene som etableres mellom et nettverk og en lokal datamaskin. En brannmur regulerer derfor kommunikasjonen mellom de to for å beskytte datamaskinen mot ondsinnede programmer eller andre Internett -farer [ 2 ] . Alle meldinger som kommer inn eller ut av intranettet går gjennom brannmuren, som undersøker hver melding og blokkerer de som ikke oppfyller spesifiserte sikkerhetskriterier. Det er også vanlig å koble brannmuren til et tredje nettverk, kalt en demilitarisert sone eller DMZ , hvor organisasjonens servere er plassert som må forbli tilgjengelige fra det eksterne nettverket .

En riktig konfigurert brannmur gir nødvendig beskyttelse til nettverket, men bør ikke i noe tilfelle anses som tilstrekkelig. Datasikkerhet dekker flere områder og flere nivåer av arbeid og beskyttelse mot virus, skadelig programvare, blant andre trusler.

Historien til brannmuren

Det engelske begrepet brannmur betydde opprinnelig en brannmur , det vil si en vegg for å begrense en brann eller potensiell brannfare i en bygning. Senere ble det brukt til å referere til lignende metallstrukturer som skilte motorrommet til et kjøretøy eller fly fra kupeen eller kabinen. I området datanettverk begynte begrepet å bli brukt på slutten av 1980-tallet, da Internett fortsatt var en ganske ny teknologi når det gjelder bruk og tilkobling på globalt nivå. [ referanse nødvendig ] Forgjengerne til datamaskinens brannmurer var ruterne som ble brukt på slutten av 1980-tallet, da de holdt forskjellige datanettverk atskilt fra hverandre, og forhindret problemer i å spre seg fra den ene til den andre. [ 3 ] ​: 2  Synet på Internett som et relativt lite fellesskap av brukere med kompatible maskiner, som verdsatte en vilje til å dele og samarbeide, endte med en serie store brudd på Internett-sikkerheten som skjedde på slutten av 1990-tallet. 80: [ 3 ] : 4 

• Clifford Stoll , som fant ut hvordan han skulle manipulere det tyske spionasjesystemet. [ 3 ] : 4 
• Bill Cheswick, da han i 1992 installerte et enkelt elektronisk fengsel for å se på en angriper. [ 3 ] : 4 
• I 1988 sendte en ansatt ved NASA Ames Research Center i California en e-postmelding til kolleger [ 4 ] der det sto: "Vi er under angrep fra et Internett-virus! Det har nådd Berkeley, UC San Diego, Lawrence Livermore, Stanford og NASA Ames."
• Morris-ormen, som spredte seg gjennom flere sårbarheter i datidens maskiner. Selv om det ikke var ondsinnet, var Morris-ormen det første storstilte angrepet på Internett-sikkerhet; nettverket var verken ventet eller forberedt på å møte angrepet hans. [ 5 ]

Første generasjon – nettverksbrannmurer: pakkefiltrering

Det første publiserte dokumentet for brannmurteknologi dateres tilbake til 1988, da Digital Equipment Corporation (DEC) ingeniørteam utviklet filtersystemer kjent som pakkefilterbrannmurer. Dette ganske grunnleggende systemet var den første generasjonen av det som skulle bli en mer teknisk og utviklet funksjon for Internett -sikkerhet . Hos AT&T Bell fortsatte Bill Cheswick og Steve Bellovin sin forskning innen pakkefiltrering og utviklet en arbeidsmodell for sitt eget selskap, basert på deres originale førstegenerasjonsarkitektur. [ 3 ] ​: 11-12 

Pakkefiltrering fungerer ved å inspisere pakker (som representerer den grunnleggende enheten for dataoverføring mellom datamaskiner på Internett). Hvis en pakke samsvarer med filterets regelsett, vil pakken enten bli droppet (forkaste stille) eller avvist (slippe den av og sende et feilsvar til avsenderen). Denne typen pakkefiltrering tar ikke hensyn til om pakken er en del av en eksisterende strøm av trafikk. I stedet blir hver pakke filtrert utelukkende basert på informasjonen i selve pakken (vanligvis ved å bruke en kombinasjon av pakkens avsender- og destinasjonsadresse, dens protokoll og, i TCP- og UDP -trafikk , nummeret fra port). [ 6 ] TCP- og UDP-protokollene omfatter mesteparten av kommunikasjonen over Internett, etter konvensjon ved bruk av velkjente porter for visse typer trafikk, slik at et pakkefilter kan skille mellom begge typer trafikk (enten du surfer på nettet, ekstern utskrift, sending og motta e -post , filoverføring...); med mindre maskinene på hver side av pakkefilteret samtidig bruker de samme ikke-standardportene. [ 7 ]

Pakkefiltreringen utført av en brannmur fungerer på de tre første lagene i OSI-referansemodellen , noe som betyr at alt arbeidet gjøres mellom nettverket og de fysiske lagene. [ 8 ]​ Når avsenderen oppretter en pakke og den filtreres av brannmuren, kontrollerer sistnevnte de konfigurerte reglene for pakkefiltrering, og aksepterer eller avviser pakken tilsvarende. Når pakken passerer gjennom brannmurer, filtrerer brannmuren pakken ved å bruke en basisprotokoll og portnummer (GSS). For eksempel, hvis det er en regel i brannmuren for å blokkere telnet -tilgang , vil den blokkere TCP-protokollen for portnummer 23.

Andre generasjon – stateful brannmurer

I løpet av 1989 og 1990 utviklet tre kolleger ved AT&T Bell Labs, Dave Presetto, Janardan Sharma og Nigam Kshitij, den andre generasjonen brannmurer. Denne andre generasjonen brannmurer tar også hensyn til plasseringen av hver enkelt pakke i en serie med pakker. Denne teknologien er generelt kjent som stateful packet inspection, siden den holder oversikt over alle tilkoblinger som går gjennom brannmuren, og kan avgjøre om en pakke indikerer starten på en ny tilkobling , er en del av en eksisterende tilkobling, eller om den er feil. pakke. Disse typene brannmurer kan bidra til å forhindre angrep mot aktive tilkoblinger eller visse tjenestenektangrep .

Tredje generasjon – applikasjonsbrannmurer

De er de som virker på applikasjonslaget til OSI-modellen . Nøkkelen til en applikasjonsbrannmur er at den kan forstå visse applikasjoner og protokoller (for eksempel: filoverføringsprotokoll , DNS eller nettsurfing), og kan oppdage om en uønsket protokoll gled gjennom en ikke-standard port eller om en protokoll blir misbrukt på en skadelig måte.

En applikasjonsbrannmur er mye sikrere og mer pålitelig sammenlignet med en pakkefiltrerende brannmur, ettersom den påvirker alle de syv lagene i OSI-referansemodellen. I hovedsak ligner det på en pakkefiltrerende brannmur, med den forskjellen at vi også kan filtrere innholdet i pakken. Det beste eksemplet på en applikasjonsbrannmur er ISA (Internet Security and Acceleration).

En applikasjonsbrannmur kan filtrere høyere lags protokoller som FTP , TELNET, DNS, DHCP , HTTP , TCP, UDP og TFTP (GSS). For eksempel, hvis en organisasjon ønsker å blokkere all informasjon relatert til et bestemt ord, kan innholdsfiltrering aktiveres for å blokkere det bestemte ordet. Imidlertid er applikasjonsbrannmurer tregere enn stateful brannmurer.

Senere hendelser

I 1992 ga Bob Braden og DeSchon Annette, fra University of Southern California (USC), form til konseptet med brannmurer. Produktet deres, kjent som "Visas", var det første systemet med et grafisk grensesnitt med farger og ikoner, lett implementerbart og kompatibelt med operativsystemer som Microsofts Windows eller Apples MacOS . I 1994 patenterte et israelsk selskap ved navn Check Point Software Technologies det som programvare, og kalte det FireWall - 1 .

Eksisterende dyppakkeinspeksjonsfunksjonalitet i gjeldende brannmurer kan deles av inntrengningsforebyggende systemer (IPS).

For tiden jobber Middlebox Communication Working Group i Internet Engineering Task Force (IETF) med standardisering av protokoller for brannmuradministrasjon. [ referanse nødvendig ]

En annen av utviklingsaksene består i å integrere identiteten til brukerne i settet med brannmurregler. Noen brannmurer har funksjoner som å matche brukeridentiteter med IP- eller MAC-adresser. Andre, som NuFW-brannmuren, gir ekte autentiseringsfunksjoner ved å kreve brukerens signatur for hver tilkobling. [ referanse nødvendig ]

Typer brannmurer

Gateway-applikasjonsnivå

Den bruker sikkerhetsmekanismer for spesifikke applikasjoner, for eksempel FTP- og Telnet- servere . Dette er veldig effektivt, men kan medføre forringelse av ytelsen.

Gateway-nivåkrets

Bruker sikkerhetsmekanismer når en TCP- eller UDP- forbindelse er etablert. Når tilkoblingen er opprettet, kan pakker flyte mellom verter uten ytterligere kontroll. Den tillater etablering av en økt som kommer fra en høyere sikkerhetssone til en lavere sikkerhetssone.

Brannmurer for nettverkslag eller pakkefilter

Den fungerer på nettverksnivå (lag 3 i OSI-modellen , lag 2 i TCP/IP-protokollstabelen) som et IP-pakkefilter. På dette nivået kan filtre lages i henhold til de forskjellige feltene til IP-pakkene: kilde-IP-adresse, destinasjons-IP-adresse. Filtre er ofte tillatt i denne typen brannmur i henhold til transportnivåfelt (TCP/IP-lag 3, OSI -modelllag 4 ), for eksempel kilde- og destinasjonsporten, eller på datalinknivå (finnes ikke i TCP/IP, lag 2 OSI-modell ) som MAC-adressen.

Brannmurer for applikasjonslag

Den fungerer på applikasjonsnivå (lag 7 av OSI-modellen ), slik at filtrene kan tilpasses egenskapene til protokollene på dette nivået. For eksempel, hvis du har å gjøre med HTTP -trafikk , kan du filtrere i henhold til URL -en du prøver å få tilgang til, og du kan til og med bruke regler basert på verdiene til parameterne som vises i et nettskjema.

En lag 7-brannmur for HTTP -trafikk kalles ofte en proxy , og den lar en organisasjons datamaskiner gå inn på Internett på en kontrollert måte. En proxy skjuler effektivt ekte nettverksadresser.

Personlig brannmur

Det er et spesielt tilfelle av brannmurer som er installert som programvare på en datamaskin, som filtrerer kommunikasjon mellom nevnte datamaskin og resten av nettverket. Derfor brukes den personlig.

Network Address Translation (NAT)

Brannmurer har ofte nettverksadresseoversettelsesfunksjonalitet (NAT), og verter som er beskyttet bak en brannmur har mange adresser i " privat adresseområde ", som definert i RFC 1918 . Brannmurer har ofte den funksjonaliteten for å skjule den sanne adressen til datamaskinen som er koblet til nettverket. NAT-funksjonen ble opprinnelig utviklet for å adressere det begrensede antallet IPv4-ruterbare adresser som kan brukes eller tildeles bedrifter eller enkeltpersoner, samt redusere både mengden og kostnadene ved å skaffe nok offentlige adresser for hver datamaskin i en organisasjon. Selv om NAT i seg selv ikke anses som en sikkerhetsfunksjon, har det å skjule adressene til beskyttede enheter blitt et vanlig forsvar mot nettverksrekognosering. [ 9 ]

Funksjoner

• Brannmurpolicyer : suspender tilkoblingsforespørsler som ikke kommer fra samme nettverk eller system, og skjul interne ressurser bak en IP.
• Innholdsfiltrering: identifiserer innholdet som kan forårsake problemer, og tar alltid brukerens ord som den endelige avgjørelsen.
• Anti-malware-tjenester: Noen brannmurer kan også oppdage virus og forhindre spredning av dem. Disse er en hybrid mellom brannmur og antivirus. De er ikke klassiske brannmurer.
• DPI-tjenester: Deep Packet Inspection -prosedyrene legger til en ekstra beskyttelse til systemet, og gjennomgår uttømmende informasjonspakkene som mottas.

Fordeler med en brannmur

Blokkerer tilgang til utstyr og/eller applikasjoner. Den lar deg kontrollere og begrense kommunikasjon mellom partene.

Begrensninger for en brannmur

Begrensningene følger av selve definisjonen av brannmuren: trafikkfilter. Enhver type dataangrep som bruker trafikk akseptert av brannmuren (ved å bruke eksplisitt åpne TCP-porter, for eksempel) eller som rett og slett ikke bruker nettverket, vil fortsette å være en trussel. Følgende liste viser noen av disse risikoene:

• En brannmur kan ikke beskytte mot angrep hvis trafikk ikke går gjennom den.
• Brannmuren kan ikke beskytte deg mot truslene du blir utsatt for fra innsideangrep eller uforsiktige brukere. Brannmuren kan ikke forby bedriftsspioner fra å kopiere sensitive data til fysiske lagringsmedier (disker, minner osv.) og stjele dem fra bygningen.
• Brannmuren kan ikke beskytte mot sosiale ingeniørangrep .
• Brannmuren kan ikke beskytte mot mulige angrep på det interne nettverket av datavirus gjennom filer og programvare. Den virkelige løsningen er at organisasjonen må være pliktoppfyllende med å installere antivirusprogramvare på hver maskin for å beskytte seg mot virus som kommer fra lagringsmedier eller andre kilder.
• Brannmuren beskytter ikke mot sikkerhetsfeil i tjenestene og protokollene hvis trafikk er tillatt. Det er nødvendig å konfigurere riktig og ta vare på sikkerheten til tjenestene som publiseres på Internett.

Brannmurpolicyer

Det er to grunnleggende retningslinjer for å konfigurere en brannmur som radikalt endrer den grunnleggende filosofien om sikkerhet i organisasjonen:

• Begrensende retningslinjer : All trafikk nektes unntatt det som er eksplisitt tillatt. Brannmuren blokkerer all trafikk og du må uttrykkelig aktivere trafikken til tjenestene som trengs. Denne tilnærmingen brukes ofte av selskaper og offentlige etater.
• Permissive policy : All trafikk er tillatt bortsett fra den som er eksplisitt nektet. Hver potensielt farlig tjeneste vil i utgangspunktet måtte isoleres fra sak til sak, mens all annen trafikk ikke vil bli filtrert. Denne tilnærmingen brukes ofte av universiteter, forskningssentre og offentlige internettilgangstjenester.

Den restriktive politikken er den sikreste, siden det er vanskeligere å tillate potensielt farlig trafikk ved en feiltakelse, mens det i den permissive politikken er mulig at noen tilfeller av farlig ferdsel ikke er vurdert og er tillatt.

Se også

• bastion-vert
• tilgangskontrollliste
• Samlet trusselhåndtering
• RFC 2979
• Brannmurer:
  • Brannstarter
  • ZoneAlarm
  • Ukomplisert brannmur
  • Gufw
  • ipfw
  • FAQ (programvare)
  • ForefrontTMG
  • strandvegg

Referanser

1. ↑ "Hva er en brannmur? / Definisjonen og de 5 hovedtypene» . SoftwareLab-side . 
2. ↑ "Brannmuren: vokteren av grensen mellom datamaskinen og nettverket" . IONOS Digitalguide . Hentet 12. april 2022 . 
3. ↑ abcd og Ingham , Kenneth ; Forrest, Stephanie (2002). "En historie og undersøkelse av nettverksbrannmurer" . Teknisk rapport 2002-37 ( University of New Mexico Computer Science Department): 42 . Hentet 2011-11-25 . 
4. ↑ [1] Brannmurer av Dr. Talal Alkharobi.
5. ↑ RFC 1135 The Helminthiasis of the Internet
6. ↑ https://web.archive.org/web/20130413184708/http://www.wanredundancy.org/resources/firewall/network-layer-firewall Network Layer Firewall
7. ↑ http://www.skullbox.net/tcpudp.php TCP vs. UDP av Erik Rodriguez Referansen sier ingenting om oppførselen til brannmurer under ikke-standard portbruk.
8. ^ Cheswick, William R., Steven M. Bellovin, Aviel D. Rubin (2003). " Google Books Link ". Brannmurer og Internett-sikkerhet : frastøter den listige hackeren
9. ^ "Hvor viktig er NAT som et sikkerhetslag?" . security.stackexchange.com . Hentet 24. juni 2018 . 

Eksterne lenker

• Wikimedia Commons er vert for en mediekategori på brannmurer .
• Forespørsel om kommentar 2979 - Atferd og krav til Internett-brannmurer
• Brannmurer: Internett-sikkerhet – sammenligning (PDF)
• [to]