En brannmur er et sikkerhetssystem i et datanettverk som begrenser internett-trafikk til, fra eller innenfor et privat nettverk.
Denne programvaren eller dedikerte maskin- og programvareenheten fungerer ved å selektivt sperre eller tillate datapakker. Den brukes vanligvis som hjelp til å forhindre skadelige aktiviteter og at en person – enten det er innen- eller utenfor et privat nettverk – foretar uautoriserte nettaktiviteter.
Brannmurer kan anses som stengte grenser eller gateways som håndterer tillatte og forbudte nettaktiviteter som forflytter seg i et privat nettverk. Ordet er hentet fra begrepet fysiske murer som virker som sperre for å redusere spredning av brann inntil brannmannskapene kan slokke den. Sett i sammenligning brukes brannmurer innen nettverkssikkerhet for å styre nett-trafikk, der målet vanligvis er å redusere spredningen av nettrusler.
Brannmurer skaper "flaskehalser" for å kanalisere nett-trafikk og blir deretter bedømt etter et sett programmerte parametere med utløsning av de tilsvarende tiltakene. Enkelte brannmurer sporer også trafikken og påloggingene i revisjonslogger som referanse til hva som er blitt tillatt eller sperret.
Brannmurer brukes vanligvis til å stenge grensene for et privat nettverk eller nettverkets vertsenheter. Som sådan utgjør brannmurer ett av sikkerhetsverktøyene i den brede kategorien av brukertilgangskontroll. Disse sperrene finnes vanligvis på to steder: på dedikerte datamaskiner i nettverket eller brukernes datamaskiner og andre endepunkter (verter).
En brannmur bestemmer hvilken nettverkstrafikk som skal slippes gjennom og hvilken som bedømmes som farlig. Den er i bunn og grunn et filter som skiller det gode fra det dårlige, det pålitelige fra det upålitelige. Men før vi går i detaljer er det nyttig å se på strukturen til internettbaserte nettverk.
Formålet med brannmurer er å sikre private nettverk og endepunktsenheter i nettverkene, også kalt nettverksverter. Nettverksverter er enheter som "snakker" med andre verter på nettverket. De sender ut og tar imot kommunikasjon mellom interne nettverk men også inn- og utgående kommunikasjon mellom eksterne nettverk.
Datamaskiner og andre endepunktenheter bruker nettverk for å få adgang til internett og til hverandre. Internett er delt inn i undernettverk eller "subnet" av hensyn til sikkerhet og personvern. De grunnleggende undernettverkssegmentene er som følger:
Screening-rutere er spesialiserte gateway-datamaskiner som plasseres på et nettverk for å segmentere det. De er kjent som husbrannmurer på nettverksnivå. De to vanligste segmentmodellene er den avskjermede vertsbrannmuren og den avskjermede undernettverksbrannmuren:
Både nettverksperimeteret og selve vertsmaskinene kan inneholde en brannmur. I dette øyemed plasseres den mellom en enkelt datamaskin og datamaskinens kobling til et privat nettverk.
En nettverksbrannmur krever konfigurasjon med et bredt spekter av koblinger, mens en vertsbrannmur kan skreddersys ut fra de forskjellige maskinenes behov. Derimot er vertsbrannmurene mer krevende å tilpasse. De nettverksbaserte er ideelle for en rask kontrolløsning. Men bruken av begge brannmurer på begge steder samtidig er ideell for et sikkerhetssystem i flere lag.
Filtrering av trafikk via en brannmur anvender forhåndsinnstilte eller dynamisk innlærte regler for å tillate eller nekte oppkoblingsforsøk. Disse reglene bestemmer hvordan en brannmur regulerer flyten av nettrafikk gjennom ditt private nettverk og dine private datamaskinenheter. Uansett type kan alle brannmurer filtrere gjennom en kombinasjon av følgende:
Kilde og destinasjon kommuniseres av internett protokoll-adresser (IP) og porter. IP-adresser er unike enhetsnavn på hver vert. Porter er et undernivå av en vertsenhet for hver kilde- og destinasjonsenhet. De kan sammenlignes med kontorlokaler i en større bygning. Porter tildeles vanligvis til spesielle formål, så bestemte protokoller og IP-adresser som bruker uvanlige eller deaktiverte porter, kan utgjøre et problem.
Ved å bruke disse identifikatorene kan en brannmur bestemme om en datapakke som prøver å oppkobles, skal avvises – i stillhet eller med et feilsvar til senderen – eller videresendes.
Forskjellige typer brannmurer integrerer forskjellige filtreringsmetoder. Samtidig som alle typer brannmurer er blitt utviklet for å overtreffe tidligere generasjoner, har mye av kjerneteknologien gått videre fra generasjon til generasjon.
De forskjellige brannmurtypene kjennetegnes gjennom sin metode for å:
Hver type fungerer på ulike nivåer av den standardiserte kommunikasjonsmodellen, Open Systems Interconnection-modellen (OSI - modellen for datautveksling mellom åone systemer). Den gir en bedre visuell fremstilling av hvordan hver brannmur samvirker med oppkoblinger.
Brannmurer for statisk pakkefiltrering, også kalt tilstandsløse (stateless) inspeksjonsbrannmurer, opererer på OSI-nettverkslaget (lag 3). De tilbyr grunnleggende filtrering ved å kontrollere alle individuelle datapakker som sendes gjennom et nettverk, basert på hvor de kommer fra og hvor de forsøker å gå. Fremfor alt spores ingen tidligere aksepterte oppkoblinger. Dette betyr at hver oppkobling må godkjennes på nytt med hver datapakke som sendes.
Filtrering er basert på IP-adresser, porter og pakkeprotokoller. Disse brannmurene forhindrer, som et absolutt minimum, at to nettverk kobles sammen direkte uten tillatelse.
Regler for filtrering defineres etter en manuelt opprettet liste for adgangskontroll. De er veldig strenge, og det er vanskelig å dekke uønsket trafikk riktig uten å sette nettverkets anvendelighet på spill. Statisk filtrering krever fortløpende manuell gransking for å kunne brukes effektivt. Dette kan fungere på små nettverk men kan raskt bli vanskelig på større.
Manglende evne til å lese applikasjonsprotokollene medfører at innholdet i en melding som leveres i en pakke, ikke kan leses. Men når innholdet ikke leses, gir brannmurer for pakkefiltrering begrenset beskyttelse.
Gateways på kretsnivå opererer på sesjonsnivå (lag 5). Disse brannmurene søker etter funksjonelle pakker i et forsøk på oppkobling, og vil – dersom de fungerer riktig – tillate en konstant åpen samkobling mellom de to nettverkene. Brannmuren slutter å overvåke oppkoblingen etter dette.
Bortsett fra sin strategi for oppkoblinger har gatewayen på kretsnivå mye til felles med proxy-brannmurer.
Den kontinuerlige ikke-overvåkede oppkoblingen er farlig, da legitime metoder kan åpne den og senere tillate at ondsinnede aktører tar seg inn uten avbrudd.
Tilstandsgitte inspeksjonsbrannmurer, også kalt dynamiske pakkefiltrerende brannmurer, er unike fra statisk filtrering gjennom sin evne til å overvåke aktuelle oppkoblinger og "huske" de tidligere. Disse brannmurene opererte først på transportlaget (lag 4), men nå kan de overvåke flere lag, inkludert applikasjonslaget (lag 7).
I likhet med brannmuren for statisk filtrering tillater eller sperre tilstandsgitte inspeksjonsbrannmurer trafikken ut fra tekniske egenskaper, som for eksempel spesifikke pakkeprotokoller, IP-adresser eller porter. Disse brannmurene spores imidlertid også unikt, og filtrerer ut fra oppkoblingenes tilstand ved hjelp av en statustabell.
Denne brannmuren oppdaterer filtreringsreglene ut fra tidligere oppkoblingshendelser som er logget i tilstandstabellen av screening-ruteren.
Vanligvis baseres filtreringsbeslutninger på administratorens regler ved innstilling av datamaskinen og brannmuren. Men tilstandstabellen tillater at disse dynamiske brannmurene treffer sine egne beslutninger basert på tidligere interaksjoner som de har "lært" av. For eksempel vil trafikktyper som tidligere har forårsaket forstyrrelser, bli filtrert bort i fremtiden. Takket være fleksibiliteten til den tilstandsgitte inspeksjonen har den blitt en av de vanligste typene av tilgjengelige avskjerminger.
Proxy-brannmurer, også kjent som brannmurer på applikasjonsnivå (lag 7), er unike når det gjelder å lese og filtrere applikasjonsprotokoller. Her kombineres inspeksjon på applikasjonsnivå eller "dyp pakkeinspeksjon" (DPI), og tilstandsgitt inspeksjon.
En proxy-brannmur er så nær en konkret fysisk sperre som det er mulig å komme. Til forskjell fra andre typer brannmurer fungerer den som ytterligere to verter mellom eksterne nettverk og interne vertsdatamaskiner, der én er stedfortreder (på engelsk, "proxy") for hvert nettverk.
Filtrering er mer basert på data på applikasjonsnivå enn bare på IP-adresser, porter og grunnleggende pakkeprotokoller (UDP, ICMP), som i pakkebaserte brannmurer. Ved å lese og forstå FTP, HTTP, DNS og andre protokoller blir det mulig å foreta en mer dyptgående undersøkelse og kryssfiltrering for mange forskjellige dataegenskaper.
I likhet med en dørvakt gransker og vurderer filtreringsfunksjonen for det meste innkommende data. Hvis ingen problemer oppdages, får dataene lov å gå gjennom filteret og frem til brukeren.
Ulempen med denne formen for omfattende sikkerhet er at den iblant interfererer med innkommende data som ikke utgjør noen trussel, noe som fører til funksjonsforsinkelser.
Vekslende trusler krever stadig kraftigere løsninger. Neste generasjons brannmurer foregriper dette ved å kombinere funksjonene til en tradisjonell brannmur med systemer som hindrer nettverksinntrenging.
Neste generasjons trusselspesifikke brannmurer er utformet for å undersøke og identifisere spesifikke farer, for eksempel avansert skadelig programvare (malware), på et mer detaljert nivå. De brukes stadig mer av bedrifter og sofistikerte nettverk, og gir en helhetsløsning for å filtrere bort trusler.
Som navnet tilsier bruker hybridbrannmurer to eller flere brannmurtyper i ett enkelt privat nettverk.
Oppfinnelsen av brannmuren bør anses som en konstant affære. Det er fordi er i stadig endring, og flere utviklere har deltatt i utvikling og videreføring.
Fra slutten av 1980-årene til midten av 1990-tallet bidro de hver for seg med forskjellige brannmurrelaterte komponenter og versjoner, til produktet kom til å bli anvendt som basis for alle moderne brannmurer.
Brian Reid, Paul Vixie og Jeff Mogul
På slutten av 1980-tallet hadde Mogul, Reid og Vixie oppgaver i Digital Equipment Corp (DEC) som gikk ut på å utvikle en pakkefiltreringsteknologi som skulle bli verdifull for fremtidige brannmurer. Dette førte til konseptet med å forhåndsgranske eksterne oppkoblinger før de kontakter datamaskiner på et internt nettverk. Selv om enkelte kanskje anser dette pakkefilteret som den første brannmuren, var det snarere en komponentteknologi som støttet de virkelige brannmursystemene som kom senere.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick og Steven Bellovin
På slutten av 1980-tallet til begynnelsen av 1990-årene forsket og utviklet flere medarbeidere hos AT&T Bell Labs det første konseptet med brannmur for gateway på kretsnivå. Det ble den første brannmuren som kunne forhåndsgranske og tillate permanente oppkoblinger i stedet for å gi gjentatte tillatelser etter hver datapakke. Presotto, Sharma og Nigam utviklet gateway på kretsnivå fra 1989 til 1990, og ble etterfulgt av Cheswick og Bellovins arbeid med brannmurteknologi i 1991.
Marcus Ranum
Fra 1991 til 1992 oppfant Ranum sikkerhets-proxyene hos DEC som kom til å bli en vital komponent i det første brannmurproduktet i applikasjonslaget — det proxy-baserte produktet fra 1991 for sikker ekstern adgangslenke, Secure External Access Link (SEAL). Dette var en forlengelse av arbeidet som Reid, Vixie og Mogul hadde utført på DEC og den første brannmuren som kom i handelen.
Gil Shwed og Nir Zuk
I firmaet Check Point spilte stifteren Gil Shwed og den produktive utvikleren Nir Zuk en viktig rolle da de i årene 1993-1994 utviklet det første brukervennlige brannmurproduktet som fikk stor utbredelse – Firewall-1. Gil Shwed oppfant og søkte om patent på tilstandsgitt inspeksjon i 1993. Dette fulgtes av Nir Zuks arbeid med et brukervennlig grafisk grensesnitt for Firewall-1 fra 1994, som fikk stor betydning for fortsatt innføring av brannmurer i foretak og privatboliger i overskuelig fremtid.
Disse realiseringene var avgjørende for å forme brannmurproduktene vi er kjent med i dag, der alle i en viss grad brukes i mange nettsikkerhetsløsninger.
Men hva er målet med brannmurer og hvorfor er de viktige? Nettverk uten beskyttelse er sårbare for all trafikk som prøver å få tilgang til systemene dine. All nettverkstrafikk bør alltid forhåndsgranskes enten den er skadelig eller ei.
Når du kobler PC-er til andre IT-systemer eller internett, åpnes en mengde fordeler, blant annet godt samarbeid med andre, mulighet til å kombinere ressurser og økt kreativitet. Men prisen kan bli at beskyttelsen av hele nettverket og enheten svekkes. Hacking, identitetstyveri, skadelig programvare og nettbedrageri er vanlige trusler som brukerne kan møte når de kobler opp sine datamaskiner mot et nettverk eller internett.
Så snart de er oppdaget av en aktør med onde hensikter, kan ditt nettverk og dine enheter lett finnes og åpnes og bli utsatt for gjentatte trusler. En permanent internettkobling øker denne risikoen (fordi nettverket ditt kan åpnes når som helst).
Proaktiv beskyttelse er avgjørende ved bruk av alle typer nettverk. Brukerne kan beskytte nettverket sitt fra de verste farene ved hjelp av en brannmur.
Hva gjør en brannmur, og hva kan den beskytte mot? Konseptet med en brannmur for nettverkssikkerhet er tenkt å begrense angrepsflaten i et nettverk til ett eneste kontaktpunkt. I stedet for at alle verter i et nettverk er direkte eksponert mot det større internett, må all trafikk først kontakte brannmuren. Da dette også gjelder i motsatt retning, kan brannmuren filtrere og sperre ikke-tillatt trafikk inn og ut. Brannmurer brukes også til å opprette et revisjonsspor, en logg over forsøkene på nettverkstilkoblinger for høyere sikkerhetsbevissthet.
Siden trafikkfiltrering kan være et sett regler som fastsettes av eierne av et privat nettverk, skaper dette spesialtilpassede brukstilfeller for brannmurer. Populære brukstilfeller omfatter styring av følgende:
Derimot er brannmurene mindre effektive i følgende sammenhenger:
I praksis har de faktiske anvendelsene av brannmurer både blitt rost og skapt strid. Selv om brannmurene har en lang historie av realiseringer, må denne sikkerhetstypen implementeres riktig for å unngå uønsket utnyttelse. Brannmurer er også kjent for å brukes på etisk tvilsomme måter.
Fra ca. år 2000 bruker Kina rammeverk med interne brannmurer for å opprette sitt omhyggelig kontrollerte intranett. Gjennom sin utforming gjør brannmurene det mulig å skreddersy versjoner av det globale internett innen et land. Dette oppnås ved å forhindre at bestemte tjenester og informasjoner åpnes eller brukes i dette nasjonale intranett.
Ved nasjonal overvåking og sensur kan undertrykkelsen av ytringsfriheten fortsette samtidig som regjeringens image opprettholdes. Dessuten tillater Kinas brannmur at myndighetene begrenser internett-tjenester til lokale bedrifter. Dermed blir det mye enklere å kontrollere funksjoner som søkemotorer og e-posttjenester, til fordel for regjeringens mål.
Kina har opplevd en permanent intern protest mot denne sensuren. Bruken av virtuelle private nettverk og proxy-er for å komme gjennom den nasjonale brannmuren har latt mange få uttrykke sin misnøye.
I 2020 utgjorde en feil konfigurert brannmur bare én av flere sikkerhetssvakheter som førte til et anonymt innbrudd i en amerikansk føderal administrasjon.
Det anses at en nasjonal aktør i USA utnyttet en rekke hull i administrasjonens nettsikkerhet. Blant de mange rapporterte sikkerhetsproblemene hadde brannmuren flere utgående porter som stod åpne for trafikk på uønsket måte. I tillegg til dårlig vedlikehold hadde administrasjonens nettverk sannsynligvis blitt rammet av nye utfordringer knyttet til eksternt arbeid. Vel inne i nettverket anvendte angriperen metoder som viste en tydelig hensikt om å bryte seg videre inn i andre administrasjoner ved hjelp av andre åpne veier. Denne typen handlinger utsetter ikke bare det infiltrerte organet for risikoen for et sikkerhetsbrudd . De rammer også mange andre.
I 2019 ble en amerikansk kraftnettoperatør forstyrret av en sårbarhert i form av tjenestenekt (DoS) som hackere benyttet anledningen til å utnytte. Brannmurene på perimeternettverket ble sperret i en omstartsløyfe i ca. 10 timer.
Det ble senere ansett at dette skyldtes et kjent men ikke-korrigert sikkerhetshull i brannmurene. En standardprosedyre for å kontrollere oppdateringer før implementering hadde ennå ikke blitt implementert. Dette førte til forsinkelser i oppdateringene og et uunngåelig sikkerhetsproblem. Heldigvis medførte ikke sikkerhetsproblemet noe større nettverksinnbrudd.
Disse hendelsene viser hvor viktig det er å oppdatere programvare regelmessig. Uten oppdateringer er brannmurene et nettverkssikkerhetssystem som kan utnyttes.
Riktig installasjon og vedlikehold av din brannmur er avgjørende for å holde nettverket og enhetene dine beskyttet. Her er noen tips til å veilede dine sikkerhetsrutiner for brannmurnettverk:
Kaspersky Endpoint Security mottok i 2021 tre AV-TEST-priser som det produktet innen endepunktsikkerhet for bedrifter som gir best effektivitet, beskyttelse og brukervennlighet. I alle tester oppviste Kaspersky Endpoint Security enestående effektivitet, beskyttelse og brukervennlighet for bedrifter.
Beslektede koblinger: