En brannmur beskytter nettverk mot uautorisert tilgang. Denne artikkelen forklarer hva en brannmur er, fordelene ved å bruke den, ulike typer, og risikoene ved å droppe den.
Hva er en brannmur?
En brannmur er en overvåket og kontrollert grense mellom nettverket ditt og resten av Internett. Formålet er å holde cybertrusler og ondsinnet eller uønsket nettverkstrafikk ute av nettverket ditt. Brannmuren er din første forsvarslinje. Du kan se på brannmuren som en stor mur rundt virksomheten din, som beskytter de digitale verdiene dine mot cybertrusler.
Brannmurregler styrer hvilken trafikk som kan passere inn og ut. All nettverkstrafikk prøver å nå frem til en destinasjon som er identifisert med en IP-adresse (Internet Protocol) og en port. Det finnes hundrevis av porter, hver og en er nummerert, og hver og en har et anerkjent formål, enten formelt eller ved konvensjon.
Nøkkelpunkter
- En brannmur er avgjørende for å beskytte et nettverk mot cybertrusler ved å kontrollere trafikken som kommer inn og ut basert på spesifikke regler.
- Tradisjonelle nettverksbrannmurer bruker pakkefiltrering for å slippe gjennom kun godkjent trafikk, mens alt annet blokkeres, noe som understreker behovet for korrekt oppsett for å sikre effektivitet.
- Neste generasjons brannmurer gir bedre sikkerhet ved å undersøke innholdet i nettverkspakkene. Dette muliggjør mer presis kontroll over applikasjonsbruken og bidrar til å redusere risikoen for ulike trusler.
- Ulike typer brannmurer, som brannmurer for webapplikasjoner, brannmurer for databaser og skybaserte brannmurer, dekker spesifikke sikkerhetsbehov og gir skreddersydd beskyttelse for ulike deler av et nettverk.
- For å opprettholde en effektiv brannmur kreves det regelmessige oppdateringer, nøye konfigurasjoner og streng overholdelse av sikkerhetsprosedyrer for å unngå vanlige feil som kan skape sårbarheter.
- Se hele listen
Typer brannmurer
Ulike typer nettverkstrafikk bruker porter som er dedikert til den aktuelle trafikktypen:
- Hyper-Text Transport Protocol (HTTP)-nettrafikk bruker som standard port 80.
- Sikker HTTP (HTTPS) bruker port 443.
- E-post levert via Simple Mail Transfer Protocol (SMTP) bruker port 25.
- E-post som leveres via IMAP (Internet Message Access Protocol), bruker port 143.
- Fjernarbeidere som ønsker å koble seg til kontoret ditt, kan bruke Remote Desktop Protocol (RDP, som håndteres av port 3389).
Alle disse portene krever regler slik at brannmuren kan håndheve sikkerhetspolicyen for trafikk som forsøker å komme inn i og ut av nettverket. Sikkerhetsfokuset ligger vanligvis på trafikk som kommer inn i nettverket, men en brannmur kan like gjerne kontrollere trafikk som forlater nettverket.
Det finnes mange forskjellige typer brannmurer. Vi skal peke på forskjellene mellom de viktigste brannmurgruppene. Her tar vi kun for oss brannmurer for nettverksutstyr, og ikke programvarebrannmurer som for eksempel den personlige brannmuren som er innebygd i Microsoft Windows.
Tradisjonell nettverksbrannmur
Pakkefiltrerende nettverksbrannmurer er den typen vi har beskrevet ovenfor. De gir beskyttelse ved å hindre uønsket trafikk – som består av mange små informasjonspakker – og mistenkelige tilkoblinger fra å få tilgang til bedriftsnettverket. De fungerer ved at de bruker et sett med regler for trafikk og porter og tillater eller nekter tilgang i henhold til disse reglene.
Den eneste trafikken som slippes gjennom brannmuren, er trafikk som oppfyller vilkårene i reglene basert på kriterier som IP-adresse, mål-IP-adresse, portnummer og protokoll. Alt annet blokkeres.
Disse brannmurene er svært effektive – hvis de er riktig konfigurert. De fleste vellykkede brudd på brannmurer skyldes feilkonfigurasjon av brannmurreglene eller utdatert fastvare. Og husk at jo mer kapabel brannmuren er, desto mer komplisert er den å sette opp.
Neste generasjons brannmur
Disse brannmurene utvider kapasiteten til en standard nettverksbrannmur. Standard nettverksbrannmurer fungerer ved at de filtrerer pakker og lar pakker som oppfyller regelkriteriene, slippe gjennom. Alt annet filtreres bort. En nestegenerasjons brannmur bruker pakkeinspeksjon for å ta en dypere titt på trafikktypen.
Hvis en tradisjonell brannmur er en grensevakt som sjekker bakgrunnshistorien din, inspiserer papirene dine og spør deg om formålet med reisen, gjør en nestegenerasjons brannmur alt dette, for deretter å visitere deg og gjennomsøke bagasjen din. De ser på innholdet i hver nettverkspakke og kombinerer denne informasjonen med brannmurreglene for å ta en mer informert og detaljert beslutning om å tillate eller nekte trafikken å passere.
Det kan for eksempel være at du ønsker å tillate de ansatte å gå på Internett i lunsjpausen, men du vil ikke at de skal kunne laste ned torrents eller bruke videochatter. Med neste generasjons brannmurer kan du være svært spesifikk når det gjelder hvordan applikasjoner skal brukes. Du kan for eksempel tillate Skype for taleanrop, men ikke for overføring av filer.
Disse enhetene tilbyr et svært høyt beskyttelsesnivå, og derfor er de noen ganger et krav for å oppnå sertifisering eller samsvar med en standard som PCI-DSS ( Payment Card Industry Data Security Standard ), HIPAA ( Health Insurance Portability and Accountability Act ) eller ISO/IEC 27001 Information Security Management-familien av standarder.
Den detaljerte kontrollen du har over datastrømmen inn i og ut av nettverket, gjør at du kan beskytte deg mot et større antall trusseltyper, inkludert ansatte på avveie og misfornøyde medarbeidere. Neste generasjons brannmur har vanligvis også andre sikkerhetsfunksjoner. Disse kan være tilgjengelige som standard eller som ekstrautstyr, noen ganger ved hjelp av en abonnementsmodell. Innbruddsdeteksjon, skanning av skadelig programvare og inspeksjon av kryptert trafikk er typiske eksempler på slike ekstrafunksjoner, ofte under et paraplybegrep som «gateway-beskyttelse».
Det tar svært kort tid å inspisere en nettverkspakke. Men i et nettverk med høy trafikk kan disse små mengdene summere seg opp og føre til forsinkelser i gjennomstrømningen. For å unngå at nettverket forringes, kan det være nødvendig med flere brannmurer og lastdeling eller raskere, kraftigere og dyrere enheter som er bygget for å takle store datamengder.
Brannmurer for webapplikasjoner
En webapplikasjonsbrannmur (WAF) består vanligvis av en proxy-server som sitter mellom en applikasjon som kjører på en server, og de eksterne brukerne av applikasjonen som får tilgang til applikasjonen via Internett. Proxy-serveren fungerer som en mellommann for meldinger, tar imot tilkoblinger fra brukerne og samhandler med applikasjonen på serveren på deres vegne. Denne formidlingen av forbindelsene gir et skjold mot portskanninger og andre ondsinnede trusler, for eksempel angrep med feilformede pakker. De feilaktige tilkoblingene mislykkes hos proxyen, ikke på applikasjonsserveren.
Brannmurer for webapplikasjoner utgjør en sikker buffer mellom webapplikasjonsserveren, ufarlige brukere og ondsinnede trusselaktører.
Brannmurer for webapplikasjoner er konstruert for å være enkle og raske. Mot sin hensikt gjør enkelheten dem mindre sårbare for angrep og sikkerhetshull enn selve webapplikasjonsserverne, og de er enklere å vedlikeholde og holde oppdaterte.
Webapplikasjoner er per definisjon designet for å være tilgjengelige fra Internett, og en populær applikasjon kan motta en enorm mengde trafikk. For noen organisasjoner er dette grunn nok til å skille bedriftens brannmurbehov fra hverandre og ha en brannmur som er dedikert til nettverket, og en brannmur for webapplikasjoner som tar seg av trafikken fra webapplikasjonene. En brannmur for store mengder nettrafikk er billigere enn en nettverksbrannmur for store mengder trafikk.
Databrannmurer
Dette er en spesialisert variant av brannmurer for webapplikasjoner, skreddersydd for behovene til en databaseapplikasjon som vender mot Internett. De har funksjoner som oppdager og nøytraliserer databasespesifikke angrep, for eksempel SQL-injeksjon og XSS (cross-site scripting). Datainnbrudd er dårlige nyheter for alle parter, og kan føre til skade på omdømmet, manglende tillit hos brukerne og mulige bøter fra tilsynsmyndighetene. Det er forståelig at det er nødvendig å ta alle rimelige skritt for å beskytte databasene og dataene de inneholder.
Databrannmurer har vanligvis et dashbord som gjør det mulig å se, gjennomgå og rapportere trafikk og databasetilganger. Avhengig av typen data i databasen kan dette gjøre det enklere å demonstrere samsvar med standarder og andre lovpålagte krav.
Unified Threat Management-apparater
En UTM-enhet (Unified Threat Management) kombinerer funksjoner fra en rekke brannmurer og sikkerhetsenheter i én og samme enhet.
Et typisk utvalg av funksjoner vil omfatte
- En tradisjonell brannmur
- Et system for deteksjon av inntrengning
- Skanning av pakker for å finne skadelig nyttelast, virus og skadelig programvare
- Svartelisting av nettadresser, som hindrer ansatte i å koble seg til begrensede nettsteder, for eksempel kjente phishing-nettsteder
Disse apparatene er dyrere enn en tradisjonell brannmur, og det påløper vanligvis løpende abonnementskostnader for å motta antivirusoppdateringer for pakkeskanningsfunksjonene. De er imidlertid billigere enn å bruke en pakke med dedikerte toppløsninger for å oppnå samme bredde i dekningen. Dedikerte enheter vil selvfølgelig være overlegne, men for noen organisasjoner er de rett og slett for dyre. En enhetlig trusselhåndteringsenhet er et godt alternativ.
Skybaserte brannmurer
Den enkleste måten å beskrive disse på er brannmurer-som-en-tjeneste. Dette er skybaserte brannmurer som leveres av spesialiserte brannmurleverandører. De er svært tilgjengelige, skalerbare, i stand til å håndtere store trafikkøkninger og kan gi en viss beskyttelse mot tjenestenektangrep. De vedlikeholdes og konfigureres av brannmurspesialister, slik at du ikke trenger å ha den nisjekompetansen internt.
Lokale endringer er minimale, og ofte er det bare å videresende trafikk fra bedriftens rutere til den skybaserte brannmuren. Eksterne eller mobile brukere kan koble seg til den via et virtuelt privat nettverk (VPN) eller ved å bruke den som en nettverksproxy.
Skybaserte brannmurer er spesielt godt egnet for organisasjoner med flere lokasjoner. Hvert sted kan beskyttes av den samme brannmurteknologien uten å måtte rute all trafikk gjennom en sentral lokal brannmur eller å kjøpe, konfigurere og distribuere flere brannmurer på tvers av IT-området.
Container-brannmurer
Containerbrannmurer er utviklet spesielt for å håndtere utfordringene med virtualisert off-site databehandling i containere. De fungerer på samme måte som en tradisjonell nettverksbrannmur, men de må kunne håndtere den ekstra kompleksiteten som ligger i å håndtere både trafikk i containermiljøet og innkommende trafikk fra den ikke-containeriserte omverdenen, samt nettverkstrafikk som sendes til den ikke-containeriserte omverdenen.
Fordi de fleste containerhypervisorer kjører på Linux, er det mulig å installere en programvarebasert brannmur på mange containere. Men med mer enn en håndfull containere å administrere, blir det uholdbart å vedlikeholde en brannmur for hver av dem.
Brannmurer for nettverkssegmentering
En brannmur for nettverkssegmentering brukes til å beskytte underavdelinger i bedriftsnettverket som er delt opp for å betjene funksjonsområder, team, avdelinger eller andre krav til segregering. Disse brukes ofte til å skjerme områder som håndterer sensitive data, for eksempel betalingskortdata. Sammen med andre tiltak, for eksempel fysiske tilgangskontroller, kan de utgjøre en del av beskyttelsen som kreves for å tilfredsstille en standard som PCI-DSS.
De brukes også ved subnettgrenser for å fungere som et skott i en ubåt. Hvis du får innbrudd i ett område, kan de bidra til å begrense eller bremse spredningen av innbruddet eller infeksjonen.
Nettverkssegmenteringsbrannmurer er mest fordelaktige for store organisasjoner eller selskaper med store og komplekse nettverksområder som er vanskelige å sikre.
Grunnleggende brannmurfeil
Effekten av en brannmur kan undergraves av dumme feil. Den skinnende – og muligens svært kostbare – brannmuren din gjør kanskje ikke det du tror den gjør, hvis du eller de ansatte går i disse fellene.
Bruk av standard administratorpassord
Mange bedrifter bruker fortsatt standard administratorpassord for brannmurene sine, noe som utgjør en betydelig sikkerhetsrisiko ved at hackere får tilgang til dem:
- få fjerntilgang til brannmuren og endre innstillinger
- Låse deg ute ved å endre passordet
Det er derfor viktig å endre standardpassordet så snart du konfigurerer brannmuren.
La ubrukte porter stå åpne
Noen brannmurer leveres med et «standard» sett med porter åpnet.
Det er viktig å gjøre dette:
- Stenge alle ubrukte porter.
- Implementere en streng prosedyre for åpning av porter kun når det er nødvendig.
- Sørg for at prosedyren inkluderer:
- Verifisering av at det kreves autentisering for alle tilkoblinger på disse portene.
- Korrekt håndheving av brannmurreglene.
Opprette komplekse regler
Det kan være komplisert å sette opp brannmurregler.
En vanlig feil er å opprette to regler som motsier hverandre. Disse reglene vil komme i konflikt med hverandre. En eller begge reglene vil mislykkes og ikke bli håndhevet, slik at du blir utsatt for en sårbarhet som kan kompromitteres.
Unnlater å begrense åpne porter
Trusselaktører bruker portskannere til å lete etter åpne porter. Hver åpne port blir deretter automatisk undersøkt.
For å forbedre sikkerheten bør du
- Bare åpne nødvendige porter.
- Sørge for at disse portene er sikre.
Feilaktig konfigurering av portvideresending
Bruk portvideresending til å:
- Tilordne et ikke-standard portnummer for tjenester med en veldefinert port (f.eks. RDP på port 3389). Dette kan betjenes på brannmuren på port 32664 og videresendes internt til port 3389 på RDP-serveren.
- Steng standardporten (3389) på brannmuren, slik at det ser ut som om du ikke bruker RDP.
Forsømmelse av vedlikehold av programvare
Brannmurer kjører på programvare som kan inneholde feil.
Det er viktig å holde brannmuren oppdatert ved å bruke eventuelle sikkerhetsoppdateringer som produsenten utgir for å rette opp sårbarheter som er oppdaget i enhetens fastvare.
Konklusjon
Bunnlinjen handler uunngåelig om mennesker. Du trenger budsjettforankring fra toppen og folk i frontlinjen som kan konfigurere, distribuere og vedlikeholde brannmurene. Vedlikehold krever styring i form av tidsplaner og prosedyrer. Du trenger folk til å skrive dem, rulle dem ut og følge dem.
Hadrians mur ville vært ubrukelig uten ordrer, disiplin og veltrente legionærer.