En pc uden en firewall eller en router med firewall faciliteter er en pc, hvor alle adgangsveje til pc’en i princippet er åbne. Det svarer til at lade sin bil stå ulåst med vinduerne rullet ned.
Den vigtigste opgave for en firewall er at holde uvedkommende trafik ude. En af måderne, det kan gøres på, er ved kun at tillade trafik til de programmer, der rent faktisk har brug for det.
Hver gang et program skal kommunikere med en anden pc på internettet, får programmet tilknyttet en såkaldt port. En port er egentlig ikke andet end et tal op til 65.535, som påhæftes de datapakker, der sendes ud i verden.
Eksempelvis kan en browser få tildelt port 15.000 af pc’en. Når browseren sender besked til et websted om, at den gerne vil læse siden, bliver dette portnummer sendt med. Port 15.000 påhæftes derefter alle de datapakker, som sendes tilbage til browseren.
På den måde ved pc’en, at de pakker med portnummer 15.000, den modtager, skal sendes videre til browser programmet. Det er også derfor, man kan have flere browsere åbne samtidig. Hver browser får blot sit eget portnummer, så der kan surfes på forskellige websteder, uden at browserne blander sig i hinandens trafik.
Når det gælder den internettrafik, som pc’en selv skal svare på, ser billedet lidt anderledes ud. For at gøre det nemmere og mindske problemet med, at flere programmer vil bruge samme port, så har mange programmer faste porte. Eksempelvis er det normalt, at almindelig websurfing (http trafik) foregår via port 80, mens filoverførsler ved brug af ftp sker på port 20 og 21.
Når serveren modtager http trafik, ved den, at det er webserver programmet, som lytter på denne port, og den sender derfor datapakken videre til webserver programmet, der så tager sig af den videre fortolkning. På samme måde bliver ftp trafikken sendt til ftp programmet.
Luk for porten
At lukke for portene er en af metoderne til at holde hackerne ude. Det at lukke en port betyder i al sin enkelhed, at man spærrer for datapakker, som har det specifikke portnummer påhæftet.
Man beder i princippet sin firewall om at smide al trafik væk, som er rettet mod den lukkede port. På den måde undgås skader.
Hackere benytter sig nemlig af sårbarheder i programmer ved at sende specifikke datapakker til dem. Disse datapakker udnytter sårbarheden til at få programmet til at gå ned eller til at foretage en ulovlig handling, så hackeren kan opnå kontrol med maskinen.
Hvis datapakken derimod aldrig når helt ind til programmet, men smides væk af firewall’en, så kan hackeren ikke udnytte sårbarheden i programmet.Nu er det unægtelig lidt af en opgave at finde ud af, hvilke af de godt 65.000 porte man kan lukke for, så i stedet gør man det omvendt.
Man lukker simpelthen for alle portene til at starte med, og derefter åbner man for de porte, man har brug for. Har man denne mulighed i sin firewall eller router, er det klart den bedste løsning, og i dag er de fleste sat op på denne måde fra starten.
Det gælder også for de to, vi bruger som eksempler i denne artikel, nemlig Prestige 650R 31 routeren fra Zyxel, der benyttes af mange af Cybercitys internet kunder, og Windows XP’s firewall i Service Pack 2. Selv om man benytter sig af en anden router, vil fremgangsmåden være nogenlunde den samme.
Ordbog
DHCP server
En DHCP server (Dynamic Host Configuration Protocol) i en router sørger for automatisk at dele IP adresser ud til pc’er på det interne netværk. På den måde slipper man for selv at skulle konfigurere hver enkelt pc, og pc’erne vil automatisk være på samme netværk og kunne se hinanden.
NAT
NAT er en teknologi, som gør det muligt, at flere pc’er på et internt netværk kan deles om én ekstern ip adresse. Den mest udbredte form for NAT hedder NAPT, Network Address Port Translation. Når en datapakke sendes af sted igennem routeren, ændres port nummeret og bruges som reference, når routeren modtager datapakker fra internettet. På den måde er routeren i teorien kun begrænset af, hvor mange porte, der er tilgængelige – over 65.000. I realiteten er det dog hukommelsen i routeren, der sætter begrænsningen.
IP adresser
Private ip adresser:
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255
Det er adresser inden for disse områder, som IANA, Internet Assigned Numbers Authority, har reserveret til private netværk. De kan således ikke bruges i direkte forbindelse med internettet, men til gengæld må alle bruge adresserne, som de vil, i deres interne netværk.
Det er disse adresser, som en DHCP server uddeler til pc’er på det interne netværk.
Adresserne er delt op i tre klasser. 10.x.x.x adresserne kaldes A klasse netværket og har 16.777.216 ip adresser, hvilket skulle være nok i de fleste firmaers tilfælde. B klasse netværket kan bruge adresser fra 172.16.x.x 172.31x.x, og det giver mulighed for 1.048.576 forskellige ip adresser. Endelig er der C klasse netværket, der kan bruge adresser fra 192.168.0.0 til 192.168.255.255, hvilket giver 65.536 mulige kombinationer.
Firewall eller router
Hvorvidt der er tale om en firewall eller en router, er ikke altid lige let at finde ud af. En firewall er som udgangspunkt skabt til at holde uvedkommende trafik ude af det interne netværk, mens en router “blot” skal sørge for at sende trafikken videre i det interne netværk.
I de senere år er grænserne mellem de to dog blevet udvisket kraftigt. En router med firewall funktionalitet kan i dag stort set det samme som en fem år gammel firewall.
Med ADSL teknologiens udbredelse har der været et stort behov for, at de routere, internet udbyderen tilbyder sine kunder, har kunne tilbyde de mest gænge firewall faciliteter. Derfor indeholder de fleste routere i dag firewall faciliteter.
Typisk er der en periode på tre fire år, inden faciliteterne fra firewalls finder vej til routerne.
Udviklingen af de rigtige firewalls står dog ikke stille, og i de fleste tilfælde vil en dedikeret firewall være mere avanceret end en router og kunne beskytte bedre.
Til private er en router med firewall faciliteter dog stadig god nok.
Åbn for porten i en router 1
De fleste routere kan i dag konfigureres via en webbrowser. Man skal bruge den interne IP adresse på routeren samt et brugernavn og et kodeord. Disse oplysninger bør være tilgængelige i manualen til produktet.
Har man fået routeren igennem sin internet udbyder, kan det dog være, at oplysningerne bare følger med på et stykke papir.
Indtast adressen i en webbrowser, ganske som man ville gøre det med en almindelig webadresse. Bemærk, at der kan kræves en bestemt port udover ip adressen. I dette tilfælde er porten 2033, hvilket påhæftes ip adressen med et kolon, så der i vores eksempel skal stå http://10.0.0.1:2033/ i adresselinien.
Åbn for porten i en router 2
I menuen trykkes først på Advanced Setup, og dernæst vælges punktet NAT. I dette tilfælde skal man lade indstillingen stå på SUA Only og trykke på Edit Details ud for denne indstilling.
I routeren er hovedparten af porte lukket fra starten, og i den viste menu får man adgang til at fortælle routeren hvilke porte, der skal åbnes. Start Port No. og End Port No. angiver de porte, man har valgt at åbne. IP Address angiver den IP adresse, som denne regel skal gælde for.
Det betyder, at man kan åbne for forskellige porte på forskellige pc’er på netværket. Har man mere end én pc på netværket, kræver det naturligvis, at netværkets pc’er har faste IP adresser.
I menuens punkt 1 kan man åbne for alle porte. Det er generelt en rigtig dårlig idé, men skal man fejlsøge, kan der dog være behov for det. I de andre kan man enten vælge at indtaste en adresse i både Start Port No. og End Port No. Vælger man denne løsning, vil alle IP adresser, der ligger mellem de to, blive åbnet. Indtaster man kun en enkelt port i Start Port No., vil kun denne port blive åbnet. Tryk på Save for at gemme de nye indstillinger.
Åbn for porten i en router 3
I menuen findes punktet Security. Herunder findes nogle standardregler, som de fleste routere har fra starten. Reglerne skal gøre livet for flertallet af brugere nemmere. Her kan man se, hvilke typer trafik routeren normalt tillader – i dette tilfælde var det SNMP og TFTP.
Udover de to punkter vil de fleste også kunne klare sig uden Telnet og Ping. Begge er potentielle sikkerhedsrisikoer, men fjerner man Ping, kan internetudbyderen få svært ved at fejlsøge, hvis man en dag får problemer med internetforbindelsen. Ftp bruges til at sende og modtage filer med, og mange vil også kunne leve uden denne (man kan stadig hente filer ned fra almindelige websider), og Web bør også lukkes af, med mindre man kører sin egen webserver.
Under punktet Remote Management kan man finde endnu et par indstillinger, man bør kende. Disse indstillinger bestemmer, hvem der kan få adgang til routeren og dermed ændre i opsætningen og reglerne.
Det er naturligvis en stor sikkerhedsrisiko, og derfor bør man sikre sig, at det enten kun er pc’er på det lokale netværk eller én bestemt pc, der kan få lov til at ændre i routerens opsætning.
Det sikrer, at en hacker ikke kan få adgang til routeren udefra og slå alle firewall faciliteter fra. Sæt de tre punkter til LAN, eller skriv IP adressen på den pc, som skal have adgang.
Åbn for porten i Windows XP service pack 2’s firewall
For at finde firewall’en i Windows XP Service Pack 2 går man til Start , Kontrolpanel, Windows Firewall. Sørg for, at firewall’en er slået til.
Vil man selv åbne for flere porte, skal man sikre sig, at der ikke er flueben i Tillad ikke undtagelser. Som standard holder firewall’en alle porte lukkede.
Hvis et program på pc’en har brug for en åben port, sørger Windows XP’s firewall i de fleste tilfælde selv for at åbne porten. Svagheden er, at ondsindede programmer i princippet selv kan åbne porte i firewall’en, uden at brugeren opdager det.
Under fanebladet Undtagelser kan man finde de programmer, som har tilladelse til at modtage trafik fra internettet. Det er også her, man kan oprette sine egne regler og selv åbne for porte.
Vælger man Tilføj Program, får man mulighed for at vælge ét bestemt program samt de porte, programmet benytter sig af. Det vil så kun være for dette program, at disse porte er åbne.
Vælger man punktet Tilføj Port, kan man åbne en port for alle programmer.
Under fanebladet Avanceret kan man finde et punkt, som hedder Indstillinger for netværksforbindelse. Markér LAN forbindelse og tryk på Indstillinger. Det vil frembringe et vindue, hvor man får mulighed for at tillade de mest almindelige typer trafik. Her kan man sætte flueben ud for de programmer/services, som skal være tilgængelige fra andre pc’er.
