Forskellen i sikkerhed på Router og hardwarefirewall

Der er stor forskel, jeg vil her prøve at give lægmandsforklaringen, hvisdu ønsker de nærmere tekniske detaljer skal du bare spørge.

Man kan groft dele firewalls op i tre niveauer:

1. niveau er pakkefiltreringsrouteren. Herunder findes også de personlige firewalls, der dog giver lidt dårligere sikkerhed end routeren, da de er installeret direkte på den maskine de beskytter. Denne type firewall svare til at sætte en kombinationslås på hoveddøren, alle der kender kombinationen kan komme ind

2. niveau er stateful inspection firewallen, Her filtreres ikke kun på porte og protokoller, her kikkes også på modtager og afsender. Denne type svare til at du nu ansætter en dørmand, der faktisk foretager en kontrol med hvem der går gennem døren.

3. niveau er applikations proxyen eller applikations firewallen. Her pakker alle ip pakker helt op og der kikkes på indholdet, der forekommer ingen kommunikation gennem firewallen, det indterne net kommunikere med firewallen, der kommunikere med internettet og samme metode den anden vej. Her har din dørmand fået mulighed for at foretage rektal undersøgelse, DNA test, løgndetectortest på alle de personer der førsøger at komme ind, og ingen kommer længere ind end til forkontoret, alt videre kommunikation foretages af firewallen.

Det er klart at den hardwarebaserede firewall af type 3 (applikations proxyen) giver bedst sikkerhed

Firewallen er sat op i forlængelse af ADSL routeren og fra firewallen til en server der agerer server/bastion for lokalnet.

Er den løsning "overkill". Kunne man have brugt firewallen som ADSL router eller omvendt?

Til sidst... Det er vel meningen at selve firewallen ligger bag ADSL routeren og ikke foran?

Jeg kunne godt tænkte mig at vide hvad den store forskel er i alm cisco ADSL-router der kan filtrere på pakker, ip, og porte er i forhold til en hardware firewall.

Dersom Cisco routeren oppfyller de kriteria som står nevnt over så er det ingen forskjell. Den er en harware firewall. Man kan godt sette opp flere firewalls i nivåer etter hverandre om man ønker det. Det vil da være naturlig at den neste firewall kommer etter ADSL routeren.

Hvilken Cisco dreier det seg om ? Firewall funksjonen er vel ivaretatt på en litt forskjellig måte i de forskjellige Circo ADSL routerene.

Som eksempel så kan jo nevnes den klassiske Cisco 677. Denne har egentlig ingen firewall innebygget overhodet. Den kan ofte ivareta firewalling funksjonen like godt som mange hardware firewalls fordi den ofte settes opp som en "nat-router" ikke som en ren "router".

En ordinær routers funksjon vil være å overføre trafikk mellom nettverkssegmenter uten noen form for hinder. For en nat-router så gjelder det helt spesielle forhold. Her har den ene siden på routeren tildelt en ekstern ip som er routbar gjennom internett. Pa den annen side av routeren så benyttes en lokal ip adresseserie som etter internasjonal overenkomst ikke er routbar eller "framsendbar" via internett. Dersom en PC inne på lan har en lokal adresse, for eksempel 192.168.0.4 så er dette et eksempel på en lokal "ikke routbar" eller "framsendbar" adresse. Dersom noen utenfra øneker å nå fram til denne ip utenfra så vil de kunne nå fram til nat-routerens eksterne ip adresse men det vil i utgangspunktet ikke finnes noen "mekanisme" som sørger for å framsende de ip pakkene som når fram til nat-routerens eksterne adresse inn til den interne ip, med mindre at man selv har konfigurert den til å gjøre akkurat det.

Man kan si det slik at en nat-router virker på den prinsippielt motsatte måte av en firewall. Den filtrerer ikke vekk, men den lar bare være å framsende. Den samlede effekt blir den samme, ip pakken kommer ikke fram og PC på LAN ligger beskyttet. Det finnes ingen enkle metoder for å komme forbi en nat-router som for eksempel cisco 677, til tross for at den faktisk ikke har noen "firewall" (Den filtrerer egentlig ikke, den lar bare være å framsende.)

Svakheten mednat-routeren det er at den "normalt" eller i utgangspunktet er åpen for all trafikk ut. Dersom noen klarer for eksempel å plassere en "trojansk hest" via for eksempel mail, så er det ikke noe som hindrer den i å sende informasjon ut.

Mere avanserte modeller både fra Cisco og andre leverandører kan inneholde en kombinasjon av ppp modem, nat-router (eller aliminnelig router) og dobbeltvirkende firewall. Med dobbeltvirkende så menes en firewall som filtrerer trafikken både ut og inn.

De primære firewall funksjoner er paket filtering der firewall typisk sjekker header i ip pakken for avsender ip, mottaker ip, flagg, protokoll og portnummer.

Man skiller mellom alminnelige "statiske firewall" eller "static packet filtering", eller "stateless inspection" der det hele kjører ut fra faste regler, til dynamiske firewalls der disse firewall filtering rules settes mere dynamisk ved at firewall holder et slags "bokholderi" for utgående og inngående trafikk. Når trafikk settes opp innenfra så "husker" den det og åpner opp for den trafikken som kommer i retur. Dette kaller man "statefull inspection". (Som ellers stadig vekk bare dreier seg om den samme filtrering.)

Mener at man neppe kan si det som en generell regel at statefull inspection alltid vil være mere sikker enn stateless inspection. En firewall med statiske faste firewall filtreringsregler er ikke nødvendig vis mindre sikker enn den som har regler som skifter over tid eller i forhold till inngående / utgående trafikk.

Det finnes i bunn og grunn to hovedprinsipper for å konfigurere filtering firewalls. Enten så setter man default rules til "accept", dvs firewall er i utgangspunktet "åpen" og så formulerer man en serie med regler der man spesifiserer den trafikken man ønsker å stenge ute. All den trafikk som ikke står nevnt vil da slippe inn.

Motsatt så kan default rules eller "firewall policy" vare satt til "drop" eller "deny". Dvs firewall er i utgangspunktet stengt for all trafikk. Ut i fra dette utgangspunktet så må man spesifisere i prinsipp port for port og protololl for protokoll hvilken trafikk man ønsker å slippe inn. Den trafikk man har glemt å ta med i regelsettet den vil ikke slippe inn.

I denne sammenheng så er det i praksis mulig å spesifisere mere restriktive regler med statefull inspection enn med stateless inspection, slik at det praktiske resultatet vil kunne bli at den firewall som settes opp med "statefull inspection regelsett" kan spesifiseres "med mindre og trangere hull" uten at dette forhindrer den komunikasjon man ønsker. (Fordi den har en viss evne til å åpne dynamisk etter behov.)

Når det gjelder "application level firewalling" så er bare dette i utgangspunktet en litt annen måte å filtrere på. Denne bør vel i utgangspunktet ikke brukes alene men i kombinasjon med statisk eller dynamisk packet filtering. Ved application level filtering så smler man større blokker av informasjon og ser på disse som en samlet enhet ikke bare som separate ip pakker. Man kan da fjerne for eksempel alle dokumenter som inneholder ordene "Bin Laden" eller hvilket annet sorteringskriterium man måtte ønske å sette opp på el slikt "logisk blokk" eller "dokument nivå".

Applikation firewalling vil typisk kreve en del prosessorkraft og en del minne / evne til å catche data slik at dette best ivaretas av typiske datamaskiner eller PC, for eksempel av type Unix eller Linux.

Når det gjelder den aktuelle Cisco ADSL router så kan det godt tenkes at den har ganske gode firewalling egenskaper. Hvilken modell dreier det seg om ??

Bruker i dag en Netopia ADSL/PPP-Modem/Router/Firewall i kombinasjon med en Linux statfull inspection fireall som står bak denne inn mot LAN. Denne har også et "application level firewall" oppsett via Squid proxy, som jeg normalt ikke bruker.

Hadde tidligere bare en Cisco 677 nat-router av enkleste type og brukte denne i kombinasjon med ZoneAlarm 2.6 på PC. Fungerte helt fint.

Og den riktige løsning .. :-)

Tak for det