Router vs. firewall

det tager mig 2 min at bypasse en router uden firewall bag! så hvad tror du!

ph_wiz bes legge ut oppskriften.

I den prakstiske og reelle virkelighet i og i fohold til et hjemmenettverk så er det vel i liten grad forskjell på en NAT router med og uten enfirewall funksjon i forhold til invendige server funksjoner. Her vil NAT router prinsippet i seg selv vanligvis gi en tilstrekkelig grad av sikkerhet.

Rent teoretisk sett så er det typer av hacker angrep som vil være lettere å gjennomføre dersom nat routeren bare er en router uten en "formell" firewall funksjon(filtreringsfunksjon).

Når man er tilknyttet Internett så vil man på daglig og regelmessig basis være utsatt for automatiserte angrep og hackerangrep ute fra Internett, ofte fra PC'er og personer som holder til i en annen verdensdel.

I forhold til hvordan disse angrepene vanligvis ser ut og slik som de rent teknisk kan se ut på basis av Internett sin teknsike oppbygning, så vil min mening være at en nat router gir en god nok sikkerhet i forhold til de angrep man "normalt" vil være utsatt for i forhold til en løpende drift av internettforbindelsen.

Her vil det være aktuelt, mener jeg å vurdere den totale sikkerheten i nettverket opp mot den sikkerhet som ligger i selve firewall/router funksjone. Således vil den grunn at man pådrar seg virus eller trojanere skjelden ligge i nat routeren eller hardware firewall "lekker", grunnen vil der i mot være den måte man bruker programmer som MS Explorer og Outlook eller Outlook Express. Likedan så vil installesjon av spill og programmer som man laster ned fra Internett være en høyrissikofaktor.

Om man erstatter en nat router uten en dedikert firewalling funksjon med en som har dette i stårre omfang så vil man vinne en marginal grad av økt sikkerhet.

Hvis man ser på hvordan man bruker MS Eplorer og Outlook samt lar være å laste ned programmer som man skal installere så vil man kunne ha vunnet en høy grad av forbedring i forhold til den praktiske sikkerhet. En god ide er å la være å bruke Outlook og i stedet bruke en Web basert mail som for eksempel Gmail. Likeledes så kan man med fordel benytte Opera som web browser på tvilsomme nettsteder. Sikkerheten på denne bør også være satt opp.

Hvis man kombinerer en standard NAT router med en personal firewall ute på klientene, for eksempel Comodo, som jeg selv bruker og vil anbefale (den er gratis) så vil jeg mene at man har en grei nok sikkerhet med hensyn til firewalling.

Det ville helt sikkert være mulig å legge inn en del teoretiske argumenter for det motsatte syn, men i forhold til det som følger av den faktiske daglige drift så vil jeg mene at dette prinsippet holder.

Enhver internettforbindelse vil i prinsipp kunne hackes. Poenget er bare at filteringsfunksjonen til nat routeren ut i fra mitt syn vanligvis ikke vil være det mest kritiske punkt i forhold til denne totale muligheten til å hacke internettforbindelsen for eksempel fra Kina.

Alt over refererer til en nat router som bare kontrollerer adgangen for den inngående trafikk, hvilket også er det mest alminnelige.

En annen sak er om man er en power bruker av virus som intallerer nye virus og trojanere hver dag eller hvis man stiller meget store krav til sikkerhet.

I et slikt tilfelle så vil man kunne ha bruk for en nat router med en firewalling funksjon som kan filtrere trafikken i begge trafikkretninger. En annen grunn til at man kan ha bruk for dette er hvis man har en del brukere som man behøver å kunne begrense en del. Da vil man kunne ha bruk for en natrouter med en dobbelt firewalling funksjon, i trafikkretning inn og ut.

Filtrering av utgående trafikk via en hardware firewall (nat router) medfører imidlertid mange ulemper. Man vil tupisk oppdage at det er mangt og mye som ikke fungerer slik at man vil måtte vedlikeholde den utgående firewall titt og ofte.

Hvis man på den annen side ønsker å tilby eller å vedlikeholde et fåtall tjenester, for eksempel "på vårt nettverk så er det tillatt å surfe på internett, punktum" så kan man godt ha bruk for utn utgående hardware firewall.

Dersom man selv er brukeren så vil det gå bra med en simpel nat router pluss Comodo. (Comodo ute på klienten vil håndrere prinsippene rundt filtrering av utgående trafikk på en mer hensikstmessig måte, hvis det er en bruker som kan/skal bestemme selv.)

Forresten jeg glemte en ting - Det er forholdsvis alminnelig at en del natroutere og firewalls har en mulighet for ekstern fjernadministrasjon.

Her er det en nokså alminnelig feil som kan forekomme at brukerne er inne i nat routeren og eksperimenterer litt. Resultatene av dette er i mange tilfeller at brukeren uten å vite om det legger adminsitrasjonskontoen åpen for hele internett. Ofte så er det eneste som behøves routerens default administrasjonspassord.

En hacker kan kjøre gjennom flere tusen ADSL oppkoplinger og identifisere disse natrouterne med feilkonfigurert adgangskontroll for fjernpålogging i løpet av sekunder eller minutter. Det kan dreie seg om forbausende mange nat routere og/eller brannmurer som er feilkonfigurert på denne måten.

Dette kan utvilsomt lett scannes, identifiseres og utnyttes fra for eksempel Kina.

DEt er vel sånn sett ikke nat routerens konstruksjon men heller brukeren som er den største risikofaktor. På denne måten så vil vel også en høy grad av brukervennlighet og få muligheter til å gjøre feil bidra positivt.

Tak til langbein, som får et "accepteret svar". Det er lidt grundigere end ph_wiz :-)