Router og firewall?

Du kan opstille langt flere filtreringsregler, og på flere
niveauer, i en firewall end i en router. Som firewall bestragtet
er en router bestemt ikke uden betydning, men ganske primitiv.

Det er fuldstændigt rigtigt at der i enhver router er indeholdt en vis firewall-funktionalitet. Denne er faktisk nærmest en side-gevinst ved routerens egentlige opgave, nemlig at route datapakker mellem de tilsluttede netværksinterfaces. Men der hører ligheden også op.

En firewall tilbyder oftest flere interfaces - således at du eksempelvis kan sætte en webserver op på et andet segment end det interne netværk. Dette interface kaldes en DMZ (fra De-Militarized Zone) og som det antyder, vil denne zone generelt have en lavere sikkerhed - dette skyldes at der hvergang en ny port tillades adgang fra det eksterne netværk, åbnes mulighed for at udnytte sårbarheder i den givne service - her port 80 din WWW-service.

Pakkefiltrering er en måde hvorpå du kan filtrere datapakker ud fra eksempelvis:
- sender og modtager IP
- protokol og protokol porte
- definerede bitmasker
som du kan se kan en router de første to - den nederste kun er firewallen beskåret. I firewalls er disse kun forfiltre og udgør på den måde first-line-of-defence. I routere findes typisk ikke andre.

Mange firewalls kan desuden sættes op til application-relaying, hvilket vil sige at selve klienten bygger en forbindelse op med firewallen i stedet for at pakkerne passeres igennem til serveren på det interne netværk direkte gennem det 3. lag i OSI-modellen. På den måde kan firewallen kontrollere forbindelsen fuldt ud, og terminere denne hvis der foretages angreb som er protokol-orienterede.

Desuden kan firewalls være udstyret med IDS (Intrusion Detection Systemer) i varierende grad. Disse har til hensigt at afsløre uregelmæssigheder i datatrafikken som karakteriserer forskellige indbruds-signaturer.

Sidst tillader de fleste firewalls at man kan etablere et VPN - Virtual Private Network. En måde hvorpå autentikerede brugere kan åbne en krypteret tunnel gennem det offentlige netværk (eksempel via Internettet) og få adgang til det interne netværk, som havde de været koblet direkte op hertil.

Håber at dette kunne bruges

Venligst,
Claus

der er lige en lille krølle mere: med en firewall kan du bestemme, hvilke af dine egne programmer har lov at gå på nettet og ulevere måske følsomme oplysninger til andre.

Ebe> Det er kun software-firewalls som gør det på den måde. Teoretisk set er der bare tale om et pakkefilter med udvidet brugervenlighed.

trille>> du har selvfølgelig ret, men nogle gange fremmer det forståelsen, når man pensler tingene ud så alm. mennesker også kan forstå dem :)

Det er naturligvis rigtigt - ville bare lige konkretisere at det kun fandtes i en software-firewall, for at minimere risikoen for misforståelser.

Venligst,
Claus

En enkelt tilføjelse: Med en firewall har du typisk en logfil, som
du kan kigge igennem for at se angreb eller blot brugsmønster.

ih du milde :-) jeg kan se jeg har en hel del at læse op på hvis jeg skal ha sat en firewall op... Nu bliver der snakket om software-firewalls, og jeg går ud fra at alternativet er at købe en hardware-firewall? Men hvad hvis jeg sætter en software proxy+firewall op på en anden computer som så står mellem min router og serveren? Vil det give bedre sikkerhed end at ligge den på serveren? (btw jeg taler om en linux-server jeg har stående til at køre).

PS. kan nogen give mig links til gode artikler/tekster, for absolut newbies? :o)

Mvh
Walker

En firewall, der kører på en maskine sammen med et OS og sammen med
evt. applikationer er (teoretisk) udsat for angreb via OS-en.

En decideret firewall, der kører på en dedikeret maskine, uden OS, er
(principielt) lige så sikker som en hardware firewall.

jeg har altid troet at min norton var rimelig sikker, men har lige opdaget, at den slap alt TCP/UDP traffik fra ALLE applikaitoner igennem. Jeg har ellers stat den til at spørge mig hver gang. Da jeg kiggede efter hvorfor, havde nogle frække steder på nettet bare tilføjet nogle firewall rules, som åbnede TCP/UDP for ind/undående, alle computere, alle applikationer. Så en software-firewall, uanset hvor renomeret, har sine begrænsninger!

Okay... Hvis jeg så installerer linux på en maskine, som kører som proxy, hvilke firewall-applikationer skal jeg så installere? og hvordan? (url's til guides etc.)

"der er lige en lille krølle mere: med en firewall kan du bestemme, hvilke af dine egne programmer har lov at gå på nettet og ulevere måske følsomme oplysninger til andre."

"Ebe> Det er kun software-firewalls som gør det på den måde."

Den første påstand er rett og den siste kommentar er feil. For å kunne hindre fri trafikk ut for for eksempel trojanere og spyware så er det nødvendig også for hardwarefirewalls å filtrere trafikk ut. Ved dette så vil man også kunne bestemme hvilke programmer som har lov til å gå ut på nettet.

En annen problemstilling er at det kan være litt komplisert å konfigurere for riktig filtrering av trafikk ut slik at forbindelsen i all enkelhet ikke stanser opp for visse funksjoner. Av denne grunn så leveres mange hardware firewalls med åpen trafikk ut som default konfigurering. Det finne sansynligvis også hardware firewalls i den aller billigste ende som ikke kan filtrere trafikk ut. De fleste kan vel det.

Hvis du skal ha firewall på en Linux maskin som kjører som proxy så skal du normalt ikke installere flere firewallkomponenter, eller du behøver i hvert fall ikke. "Netfilter" er en del av kernel funsjonene for kernel 2.4.x og den konfigureres ved hjelp av iptables konfigurasjonsgrensesnitt.

Standard linux basert på kenrnel 2.4.x, for eksempel Red Hat 8.0 kan alle typer firewalling allerede i standardutgave, filtrering av inngående trafikk, utgående trafikk, statefull inspection (dynamisk firewall) osv. Den kan desuten også stadig i standardutgave aplication firewalling via Squid proxy og Socs.

"Men hvad hvis jeg sætter en software proxy+firewall op på en anden computer som så står mellem min router og serveren? Vil det give bedre sikkerhed end at ligge den på serveren?"

Jo, og det beste er vel sikkerhet i flere nivåer slik at du både bruker først firewall i en router, for eksempel Linux og der etter en ny software firewall inne på selve serveren. Win 2000 server og Win XP har innebygde firewalls som kan fungere bra som en ekstra sikkerhet. De er elers mye enklere enn den/de firewalls som finnes innebygget i Linux.

Litt videre forklaringer med linker og slikt:
http://www.eksperten.dk/spm/329632

Trille wrote:
"Det er fuldstændigt rigtigt at der i enhver router er indeholdt en vis firewall-funktionalitet."


Dette er helt og aldeles forkert! Der er absolut ingen lighed mellem NAT/PAT i en router og så den "inspection" der er i en firewall. NAT's opgave er at give flere private ip adresser mulighed for at benytte én og samme offentlige IP adresse, som kræves når man skal bruge internettet. Intet andet. PAT er i princippet det samme, blot sorteres der på port numre fremfor IP adresser.
"Inspection" i en firewall giver sikkerhed i form af regelsæt og scanningen af IP pakken.

Det er ikke for at rette Trille/Claus, men for at man ikke misforstår hvad en firewall dækker over.