Hva er en brannmur?
En brannmur, på engelsk “Firewall”, er en overvåket og kontrollert grense mellom nettverket ditt og resten av Internett. Formålet er å holde cybertrusler og ondsinnet eller uønsket nettverkstrafikk ute av nettverket.
Brannmuren er din første forsvarslinje. Du kan se på en firewall som en stor mur rundt virksomheten, som beskytter de digitale verdiene dine mot cybertrusler .
Techopedia forklarer
Brannmurregler styrer hvilken trafikk som kan passere inn og ut. I stedet for fort så har brannmuren porter.
All nettverkstrafikk forsøker å nå frem til en destinasjon som identifiseres ved hjelp av en IP-adresse (Internet Protocol ) og en port. Det finnes hundrevis av porter, hver og en av dem er nummerert, og hver og en av dem har et anerkjent formål, enten formelt eller etter konvensjon.
Ulike typer nettverkstrafikk bruker porter som er dedikert til denne typen trafikk. Hyper-Text Transport Protocol (HTTP) -nettrafikk bruker som standard port 80. Sikker HTTP (HTTPS) bruker port 443 .
E-post levert via SMTP (“Simple Mail Transfer Protocol”) bruker port 25, og e-post levert via IMAP (“Internet Message Access Protocol”) bruker port 143 .
Fjernarbeidere som ønsker å koble seg til kontoret ditt, kan bruke “Remote Desktop Protocol” (RDP), som håndteres av port 3389.
Alle disse portene krever regler slik at din firewall kan håndheve sikkerhetspolicyen for trafikk som forsøker å komme inn og ut av nettverket. Sikkerheten fokuserer vanligvis på trafikk som kommer inn i nettverket, men en brannmur kan like gjerne kontrollere trafikk som forlater nettverket.
Ulike typer Firewall
Det finnes mange forskjellige typer brannmurer. Vi skal peke på forskjellene mellom hovedgruppene av brannmurer. Her tar vi bare for oss brannmurer i nettverksutstyr og ikke programvarebrannmurer, som for eksempel den “personlige” firewall som er innebygd i Microsoft sitt operativsystem, som Windows 10 brannmur.
Tradisjonell nettverksbrannmur
Brannmur i nettverk med pakkefiltrering er av den typen vi har beskrevet ovenfor. De gir beskyttelse ved å hindre at uønsket trafikk – som består av mange små informasjonspakker – og mistenkelige tilkoblinger får tilgang til bedriftsnettverket. De bruker et sett med regler for trafikk og porter og tillater eller nekter tilgang i henhold til disse reglene.
Den eneste trafikken som tillates gjennom brannmuren, er trafikk som oppfyller vilkårene i reglene basert på kriterier som opprinnelig IP-adresse, mål-IP-adresse, portnummer og protokoll. Alt annet blokkeres.
Disse brannmurene er svært effektive – dersom de er riktig konfigurert. De fleste vellykkede innbrudd i brannmurer skyldes feilkonfigurering av brannmurreglene eller utdatert fastvare. Og husk at jo mer effektiv brannmuren er, desto mer komplisert er den å konfigurere.
Neste generasjons brannmur (Next-Generation Firewall)
Disse brannmurene utvider kapasiteten til en standard nettverksbrannmur. Standard nettverksbrannmurer fungerer ved å filtrere pakker og slippe gjennom pakker som oppfyller regelkriteriene. Alt annet filtreres bort. En neste generasjons brannmur bruker pakkeinspeksjon for å se nærmere på trafikktypen.
Mens en tradisjonell brannmur er en grensevakt som sjekker bakgrunnen din, kontrollerer papirene dine og spør deg om formålet med reisen, gjør neste generasjons brannmur alt dette, før den kroppsvisiterer deg og ransaker bagasjen din.
De ser på innholdet i hver enkelt nettverkspakke og kombinerer denne informasjonen med brannmurreglene for å ta en mer informert og detaljert beslutning om å tillate eller nekte trafikken å passere.
Det kan for eksempel være at du vil tillate de ansatte å surfe på Internett i lunsjpausen, men du vil ikke at de skal laste ned torrents eller bruke video-chat. Med neste generasjons brannmurer kan du være svært spesifikk med hensyn til hvordan applikasjoner skal brukes. Du kan for eksempel tillate at Skype brukes til taleanrop, men ikke til filoverføring.
Disse enhetene gir et svært høyt beskyttelsesnivå, og derfor er de noen ganger et krav for å oppnå sertifisering eller samsvar med standarder som f.eks. “Payment Card Industry Data Security Standard” (PCI-DSS).
Den detaljerte kontrollen du har over dataflyten inn i og ut av nettverket, gjør at du kan beskytte deg mot et større antall trussel typer, inkludert ansatte på avveie og misfornøyde medarbeidere.
Neste generasjons brannmur har som regel også andre sikkerhetsfunksjoner. Disse kan være tilgjengelige direkte i pakken eller som ekstrautstyr, noen ganger i form av en abonnementsmodell. Inntrengningsdeteksjon, skanning etter skadelig programvare og inspeksjon av kryptert trafikk er typiske eksempler på slike ekstrafunksjoner, ofte under en samlebetegnelse som “gateway protection”.
Det tar svært kort tid å inspisere en nettverkspakke. Men i et nettverk med høy trafikk kan disse små mengdene summere seg opp og føre til forsinkelser i gjennomstrømningen. For å unngå forringelse av nettverket kan det være nødvendig med flere brannmurer og lastdeling, eller raskere, kraftigere og dyrere enheter som er bygget for å håndtere store datamengder.
Brannmurer for webapplikasjoner (“Web Application Firewalls”)
En brannmur for webapplikasjoner består vanligvis av en proxy-server som plasseres mellom en applikasjon som kjører på en server, og de eksterne brukerne av applikasjonen som får tilgang til applikasjonen via Internett .
Proxy-serveren fungerer som en mellommann som tar imot tilkoblinger fra brukerne og samhandler med applikasjonen på serveren på deres vegne. Denne formidlingen av tilkoblingene beskytter mot portskanning og andre ondsinnede trusler, for eksempel angrep med feilformede pakker. Feilaktige tilkoblinger mislykkes på proxyen, ikke på applikasjonsserveren.
Brannmurer for webapplikasjoner utgjør en sikker buffer mellom webapplikasjonsserveren, godartede brukere og ondsinnede trusselaktører.
Web Application Firewalls er konstruert for å være slanke og enkle, med vekt på enkelhet og hurtighet. Mot sin hensikt gjør denne enkelheten dem mindre sårbare for angrep og sikkerhetshull enn selve webapplikasjonsserverne, og de er enklere å vedlikeholde og holde oppdatert.
Webapplikasjoner er per definisjon designet for å nås fra Internett, og en populær applikasjon kan motta et enormt trafikkvolum.
For noen organisasjoner er det grunn nok til å skille ut bedriftens brannmurbehov og ha en brannmur dedikert til nettverket og en brannmur for webapplikasjonstrafikken. En brannmur for store mengder nettrafikk er billigere enn en nettverksbrannmur for store volumer.
Brannmurer for databaser (Database Firewalls)
Dette er et spesialtilfelle av webapplikasjons brannmurer som er skreddersydd for behovene til en internettvendt databaseapplikasjon. De har funksjoner som oppdager og nøytraliserer databasespesifikke angrep, for eksempel SQL-injeksjon og skripting på tvers av nettsteder.
Datainnbrudd er dårlig nytt for alle parter, og kan føre til svekket omdømme, manglende tillit hos brukerne og mulige bøter fra tilsynsmyndighetene. Det er forståelig at det er nødvendig å iverksette alle rimelige tiltak for å beskytte databasene og dataene de inneholder.
Databasebrannmurer har vanligvis et dashbord som gjør det mulig å se, gjennomgå og rapportere om trafikk og databasetilgang. Avhengig av hva slags data som finnes i databasen, kan dette bidra til å dokumentere at standarder og andre myndighetskrav overholdes.
Enheter for enhetlig trusselhåndtering (“Unified Threat Management Appliances”)
En enhet for enhetlig trusselhåndtering kombinerer funksjoner fra en rekke brannmurer og sikkerhetsenheter i én enhet .
Et typisk utvalg av funksjoner vil omfatte:
- En tradisjonell brannmur;
- Et system for innbruddsdeteksjon;
- Skanning av pakker for skadelig nyttelast, virus og skadevare;
- Svartelisting av nettadresser, slik at ansatte ikke kan koble seg til begrensede nettsteder, for eksempel kjente phishing-nettsteder.
Disse apparatene er dyrere enn en tradisjonell brannmur, og det vil vanligvis påløpe løpende abonnementskostnader for å motta antivirusoppdateringer for pakkeskanningsfunksjonene .
De er imidlertid billigere enn å bruke en rekke dedikerte toppløsninger for å oppnå samme dekningsgrad. Dedikerte enheter vil selvsagt være bedre, men for noen organisasjoner er det rett og slett for dyrt. En enhet for enhetlig trusselhåndtering er et godt alternativ.
Skybaserte brannmurer (“Cloud-Based Firewalls”)
Den enkleste måten å beskrive disse på er brannmurer som en tjeneste (“Firewall as Service”). Dette er skybaserte brannmurer som leveres av spesialiserte brannmurleverandører. De er svært tilgjengelige, skalerbare, i stand til å håndtere store trafikkøkninger og kan gi en viss beskyttelse mot overbelastningsangrep (“DDoS attack”). De vedlikeholdes og konfigureres av brannmur-spesialister, slik at du ikke trenger nisjekompetanse internt.
De lokale endringene er minimale og består ofte bare i å videresende trafikk fra bedriftens rutere til den skybaserte brannmuren. Eksterne eller mobile brukere kan koble seg til den via et virtuelt privat nettverk (VPN) eller ved å bruke den som en nettverksproxy.
Skybaserte brannmurer er spesielt godt egnet for organisasjoner med flere lokasjoner. Alle lokasjoner kan beskyttes av den samme brannmurteknologien uten at all trafikk må rutes gjennom en sentral brannmur på stedet, eller uten at det er nødvendig å kjøpe, konfigurere og distribuere flere brannmurer på tvers av IT-avdelingen.
Container-brannmurer (Container Firewalls)
Containerbrannmurer er utviklet spesielt for å håndtere utfordringene ved virtualisert databehandling i containere. De fungerer på samme måte som en tradisjonell nettverksbrannmur, men de må kunne håndtere den ekstra kompleksiteten ved å håndtere trafikk i containermiljøet i tillegg til innkommende trafikk fra den ikke-containeriserte omverdenen og nettverkstrafikk som sendes til den ikke-containeriserte omverdenen.
Siden de fleste container-hypervisorer kjører på Linux, er det mulig å installere en programvarebasert brannmur på mange containere. Men med mer enn en håndfull containere å administrere blir det uholdbart å vedlikeholde en brannmur for hver av dem.
Nettverkssegmentering-brannmurer (“Network Segmentation Firewalls”)
En brannmur for nettverks-segmentering brukes til å beskytte underavdelinger i bedriftsnettverket som er delt opp for å betjene funksjonsområder, team, avdelinger eller andre segregeringskrav.
Disse brukes ofte til intern avgrensning av områder som håndterer sensitive data, for eksempel betalingskortdata. Sammen med andre tiltak, som fysisk adgangskontroll, kan de utgjøre en del av beskyttelsen som kreves for å oppfylle en standard som PCI-DSS.
De plasseres også ut ved subnettgrenser for å fungere som skottene i en ubåt. Hvis du blir angrepet i ett område, kan de bidra til å begrense eller bremse spredningen av innbruddet eller infeksjonen.
Nettverks-segmenteringsbrannmurer er mest nyttige for store organisasjoner eller selskaper med store og komplekse nettverksperimetre som er vanskelige å sikre.
Grunnleggende brannmurfeil
Effekten av en brannmur kan undergraves av dumme feil. Hvis du eller dine ansatte går i disse fellene, er det ikke sikkert at den skinnende – og muligens svært dyre – brannmuren gjør det du tror den gjør.
Det finnes fortsatt bedrifter som har standard administratorpassord på brannmurene sine. Dette gjør det mulig for trusselaktører å koble seg til denne firewall eksternt og konfigurere regler som gir dem tilgang til nettverket når de måtte ønske.
De endrer som regel passordet – noe du burde ha gjort fra dag én – slik at du ikke kan komme inn igjen for å låse dem ute. I stedet blir du låst ute.
Jeg skulle ønske at produsentene ikke gjorde dette, men noen brannmurer leveres med et “standard” sett med åpne porter. Du må sørge for å stenge alle porter du ikke bruker, og opprette og håndheve en operativ prosedyre for kun å åpne en port ved et gjennomgått og avtalt forretningsbehov.
En del av prosedyren må være å verifisere at autentisering har blitt brukt på tilkoblinger på denne porten og at riktig styring via brannmurreglene er på plass.
Det kan være komplisert å sette opp brannmurregler. Det er lett å gå i en felle hvis man utilsiktet oppretter to regler som strider mot hverandre. Disse vil komme i konflikt med hverandre og kjempe mot hverandre. En eller begge reglene vil mislykkes og ikke bli håndhevet. Dermed blir du utsatt for en sårbarhet som kan kompromitteres.
Trusselaktører bruker portskannere til å lete etter åpne porter. Hver åpen port blir deretter automatisk undersøkt. Det er derfor viktig at du bare åpner de portene du trenger, og at de åpne portene er sikret.
Portvideresending er en teknikk der et uvanlig, ikke-standardisert portnummer brukes til noe som har en veldefinert port, for eksempel RDP på port 3389.
Dette kan betjenes i brannmuren på port 32664 og videresendes internt til port 3389 på RDP-serveren. Port 3389 på brannmuren kan deretter lukkes, slik at omverdenen får inntrykk av at du ikke bruker RDP i det hele tatt.
På en eller annen måte kjører brannmurer på programvare, og programvare har feil. Det er viktig at du vedlikeholder brannmurene dine og bruker eventuelle sikkerhetsoppdateringer som produsenten har publisert for å lukke sårbarheter som er oppdaget i enhetens fastvare.
Bunnlinjen
I bunn og grunn handler det om mennesker. Du trenger budsjettmessig støtte fra ledelsen og folk i førstelinjen til å konfigurere, distribuere og vedlikeholde brannmurene.
Vedlikehold trenger styring i form av tidsplaner og prosedyrer. Du trenger folk til å skrive dem, implementere dem og følge dem.
Hadrians mur ville vært ubrukelig uten ordrer, disiplin og veltrente legionærer. Og det nytter ikke å søke opp og å installere best firewall for Windows 10, uten å drifte denne rett etterpå på dine datamaskiner og nettverk.