En firewall har til formål at isolere en PC fra Internet. Mere præcist kunne man sige, at en firewall er et skjold eller en mur, som andre ikke kan kigge over. Ved hjælp af software undersøges hver eneste såkaldte pakke af data som tilgår eller afgår fra PC’en. En firewall er derfor et stykke programmel som skal hjælpe den enkelte bruger til at afgøre om en dataoverførsel skal tillades eller ej.
Al Internet kommunikation foregår ved udveksling af såkaldte datapakker, som bliver sendt mellem en afsender og modtager. Når vi i dagligdagen besøger en hjemmeside udveksles der datapakker. Vi ser det bare ikke, fordi det foregår i ”baggrunden”. En standardinstallation af en Windows-baseret PC med Internet Explorer er netop designet sådan, at den enkelte bruger ikke behøver at tage stilling til det som foregår.
Når et operativsystem som Microsoft Windows og dets browser Internet Explorer bliver automatiseret, for på den måde at være så brugervenlige som overhovedet muligt, kan dette udnyttes af hackere.
Det er ikke tilfældigt, at der i et brugervenligt system som Windows også konstateres mange fejl. Når et system anvendes af mange brugere er der også mange om at finde eventuelle fejl og sårbarheder.
Disse fejl er igennem tiden blevet udnyttet af hackere og ondsindede programmører som bl.a. har skabt begreber som virus, orme og trojanske heste. Denne type programmer kan samles under den fælles betegnelse: ”malware”. Denne form for programmer bliver stadigt mere avancerede og er en stigende trussel for den almindelige Internet-bruger.
En firewall er derfor en frontlinje for din PC. Hvis ondsindede angribere forsøger at tiltvinge sig adgang til din personlige computer kan din firewall gøre dig opmærksom på dette forsøg og tilmed registrere forsøget i en logfil.
Man kan herefter afgøre om man vil anmelde ”forsøget” til politiet eller prise sig lykkelig for at en firewall kan fange forbryderen inden denne kunne komme ind i ”huset”.
En sårbar Windows
Såkaldte TCP/IP porte er kun åbne eller tilgængelige såfremt den først ankomne pakke besvares af din PC. En standard installation af Microsoft Windows er ikke tilstrækkeligt beskyttet mod angreb som målrettet udnytter svagheder i operativsystemet. Når der konstateres en sårbarhed i Microsoft Windows eller Internet Explorer (IE), arbejder Microsoft på fuld damp på at udbedre fejlen og hurtigst frigive et såkaldt ”patch” som er en lap der lukker hullet.
Det sker ofte at der kan gå flere uger fra et hul opdages til der foreligger et sådant patch og i mellemtiden er din PC modtagelig overfor et exploit (et målrettet angreb som udnytter en sårbarhed i et stykke software).
Dette er uden en firewall endda det bedste scenario. Desværre vil langt de fleste brugere ikke manuelt undersøge om der er frigivet en patch og dermed i længere tid være sårbare overfor angreb.
Et godt eksempel er KAK-ormen, som stadig er at finde blot de mest hyppige forekomster for angreb og det til trods for at ormen automatisk udnytter en sårbarhed i IE som er patchet for et år siden.
Firewall – bestem selv hvad du tillader !
Når du spiller spil med din nabo via Internettet tillader du i begrænset omfang at han har adgang til dele af din PC. Ligesom andre services, som er underholdende, men også farlige og nemme for en hacker at udnytte. Det gælder f.eks. fil- og printerdeling og FTP service m.m. Hvis det alligevel, efter denne advarsel, er nødvendigt med disse funktioner, er det nødvendigt med en firewall som kan skærme af for uvedkommende.
Størstedelen af de testede firewalls har funktioner som gør det muligt at bibeholde det sjove samtidig med at privatlivets fred kan forblive intakt. Det anbefales, at man nøje overvejer disse funktioner selvom der er en firewall installeret. I særdeleshed hvis PC´en også bruges til netbank, som hjemmearbejdsplads med adgang til firmaets netværk eller indeholder følsomme oplysninger.
Som tidligere nævnt er det med en firewall muligt selektivt at vurdere hvilke datapakker man vil slippe igennem og hvilke som skal blokkes. Enhver pakke som modtages af din PC vil indeholde en IP-adresse som data skal sendes tilbage til.
Det er derfor muligt, at beslutte om en bestemt IP adresse skal tillades adgang. En hvilken som helst anden IP vil blive afvist adgang. Firewallen kan filtrere indkomne pakker på en kombination mellem afsender IP og service (TCP/IP) som der ønskes adgang til.
Trojanske heste og bagdøre
Hvis man skulle være uforsigtig og afvikle et program med en skjult funktion kan der åbnes en bagdør på PC´en. En kendt trojansk hest er f.eks. Back Orifice fra Cult of Dead Cow. Det var en af de første som målrettet angreb Microsoft Windows.
Uden en firewall eller et opdateret antivirus produkt vil din PC stå åben for enhver som finder denne ”bagdør”. De fleste bagdøre kan ikke blot slette din harddisk, men også stjæle pinkode oplysninger og bruges til at indlede angreb på andre.
Når en hacker forsøger at finde en åbne service/bagdør kan dette ske ved hjælpe af en såkaldt ”trojan portscanner”. Dette program kan scanne (IP-sweepe) en lang række IP-adresser efter sådanne åbne porte. Ved at anvende en firewall vil sådanne forsøg ikke blot være forgæves, men vil også blive registreret i logfilen.
Virus og firewalls
Enkelte af de testede firewalls har indbygget antivirus funktion. Andre har valgt at inkludere et antivirus produkt sammen med firewallen. Når man taler om virus henvises der til et lille program som har til formål at sprede sig til andre programmer og maskiner.
Herunder findes også de udbredte orme som f.eks. Loveletter, CoolNot.worm (QAZ) og VBS.Stages. En række af de testede firewalls har forud defineret beskyttelse mod sådanne angrebsformer. Det kigger vi nærmere på i testen som følger.
Hvorfor en test af firewalls?
En dag, om ikke så længe, vil enhver PC være udstyret med en personlig firewall. Denne udvikling er lige så naturlig som da Microsoft inkluderede IE i Windows 9x. Vi har valgt at teste 8 af de mest udbredte og populære personlige firewalls.
Hvordan er denne test gennemført?
Virus112 har gennemført testen på en Pentium II, 333mhz, 98 MB RAM, 4GB harddisk med default installation af Windows 98SE og alle de relevante patches. Testen er foretaget i tidsrummet 6. til 12. november 2000. Alle firewall produkter er installeret ved at vælge standard installation til C:.
Vi har dernæst sikret os, at produkterne er opdateret med de seneste patches. Dette er foregået enten ved hjælp af den indbyggede opdateringsfunktion eller ved manuelt at hente patches fra de respektive websites.
Ved hjælp af decentrale PC´ere har vi testet den installerede firewall ved at anvende trojan portscannere, Denial of Service værktøjer og Security Audit programmer, som ligger til rådighed på Internettet. Vi har også anvendt servicen ShieldUp fra Gibsion Research. Derudover har Virus112 vurderet brugervenlighed, konfigurationsmuligheder, support og pris.
Følgende produkter er testet:
Du kan også læse den samlede vurdering og konklusion:
