Brandvägg

För andra betydelser, seBrandvägg (olika betydelser).

Den här artikelnbehöver fler eller bättrekällhänvisningarför att kunnaverifieras.(2024-07) Åtgärda genom att lägga till pålitliga källor (gärna som fotnoter). Uppgifter utan källhänvisning kanifrågasättasoch tas bort utan att det behöver diskuteras pådiskussionssidan.

Enbrandvägg(sverigesvenska) ellerbrandmur(finlandssvenska) är inomdatatekniken fysisk enhet (en s.k.hårdvarubrandvägg) eller enprogramvarasom kan installeras i en generell dator (en s.k.mjukvarubrandvägg) i syfte att avvärjadataintrångpå nätverksanslutna datorer.^[1]

Ennätverksbrandväggansluts mellan två eller flera nätverk, vanligen mellanInternet(WAN) och ettprivat nätverk(ett eller fleraLAN), och är vanligen placerad i anslutning till enrouter,eller i samma fysiska enhet som routern. Enpersonlig brandvägginstalleras som en programvara i den dator som ska skyddas.

En brandvägg analyserar inkommande och utgående trafik och blockerar obehörigaIP-paket.För att avgöra vilken trafik som är behörig eller ej arbetar den efter regler, bestämda av brandväggens programvara och av desssystemadministratör.I inställningarna för vilken trafik som skall tillåtas eller blockeras kan man vanligtvis använda parametrar såsomIP-adress,portnummer,fysiskt gränssnitt, och ibland visst innehåll. Vid en personlig brandvägg kan man dessutom välja vilkaprogrampå den lokala datorn som tillåts kommunicera med vissa adresser.

En oskyddad dator ansluten till Internet utsätts dagligen för oerhört många intrångsförsök från skadlig programvara på nätet, som försöker utnyttja olika säkerhetshål, knäcka lösenord, med mera. Om exempelvis en dator varsoperativsysteminte uppdaterats på länge ansluts till Internet utan aktiverade brandväggar är risken stor att den inom kort stund infekteras av virus ochinternetmaskar.^{[källa behövs]}

Ordet brandvägg myntades 1851 och är bokstavligt vad det låter som; en vägg som ska skydda mot att bränder sprider sig. När ordet nylanserades handlade det istället om internettrafik. I samband med att den första internetmaskenMorrismaskenspred sig 1988 stod alla oförberedda och oskyddade. 10 procent av alla internetanslutna datorer smittades av och gjordes obrukbara. Amerikanen Jeffrey Mogul på företaget Digital skrev 1989 det första förslaget på en lösning mot liknande attacker. Han kallade skyddet för ett “paketfilter” och ett färdigt förslag släpptes till försäljning 1991. Sedan dess har brandväggen utvecklats i många generationer.^[1]

I brandväggens inställningar kan man ange vilka IP-adresser som tillhör det privata nätverket och således betraktas som tillförlitliga. Trafik inom det privata nätverket filtreras normalt inte av nätverksbrandväggar. Ett privat nätverk kan exempelvis vara organisationensIntranätellerdomän,eller fastighetenslokala nätverk.Notera att även externa datorer anslutna viavirtuellt privat nätverk(VPN) i allmänhet anses tillhöra det privata nätverket, och således kan ta sig förbi nätverksbrandväggens filtrering. Vidare kan organisationens nätverk delas upp i zoner eller "öar" som kan skyddas från varandra i en brandvägg som är integrerad med en router. Exempelvis kan en särskilddemilitariserad zonskapas, bestående av ett skilt privat nät där man placerar webbservrar och andra publika servrar, vilka är särskilt utsatta för risker.

En personlig brandvägg kan filtrera kommunikation även mot andra IP-adresser inom samma privata nätverk, med undantag för vissa betrodda serverdatorer. Den erbjuder således skydd även mot dataintrång och spridande avInternetmaskarinom det privata nätverket.

Serverprocesser(program som väntar på initiativ frånklientprogram) är mer utsatta än klientprocesser (program som tar initiativ till kommunikation), eftersom en server ständigt är öppen för kommunikation från valfri IP-adress, medan klienten bara är öppen för kommunikation med en specifik server och under den begränsade tid en kommunikationssession pågår. Skadlig programvara utför oftaportskanningför att ta reda på vilka serverprocesser som är öppna på en dator, och sedan kunna angripa dem som kan ha säkerhetshål. Det är också möjligt att direkt testa säkerhetshålen utan skanning – ett misslyckat försök är inte särskilt dyrt.

Det främsta syftet med en brandvägg är därför att skydda serverprocesser (nätverkstjänster) avsedda för internt bruk fråndataintrångfrån klienter utanför det privata nätverket. I synnerhet vill man stoppa externa användare från att komma åt traditionellaLAN-tjänster såsom delad diskaccess och delad skrivaraccess, eftersom dessa ofta har använts för att sprida skadlig kod eller göra dataintrång. Det är därför vanligt i brandväggar att grundinställningen är att inkommande trafik blockeras till de så kallade välkända portarna med nummer under 1024, som används för de flesta serverprogram men inte för klienter.

Emellertid kan man i inställningarna "öppna hål" i brandväggen för vissa servertjänster, det vill säga göra undantag för inkommande anrop till vissa IP-adresser och vissa portnummer under 1024, exempelvis för en webbserver som man vill ska vara publikt åtkomlig.

Alternativt kan man helt ändra policy, exempelvis så att man öppnar för all trafik som inte betraktas som särskilt suspekt.^{[förtydliga]}

Traditionellt är grundinställningen för nätverksbrandväggar att inte stoppa interna klienter från att kontakta externa servrar. Emellertid finns möjlighet att stoppa trafik till serverportnummer som utgör kända säkerhetsrisker, i syfte att stoppatrojanska hästarochInternetmaskar.Vidare kan en arbetsgivare vilja stoppa portnummer som brukar användas förpiratkopieringeller förspel.Dock använder många servrar tcp-port 80 för dessa ändamål (samma portnummer som för webbservrar), och därför kan det vara svårt att stoppa utgående illegitima anrop enbart genom att titta på portnummer utan att också stoppa användarnas möjlighet att surfa på webben.

I webbens barndom var det vanligt attHTTP-trafik styrdes via enproxyserver,som fungerade som mellanlagrande nätverkscache,i syfte att minska belastningen på externa förbindelser.

Brandväggar spärrar ofta självmant datapaket som inte följerIP-standarden, som utnyttjar ovanliga funktioner som är lätta att missbruka eller annars kan antas illegitima. Där det kan finnas orsak att godkänna sådan trafik kan detta ofta göras med skilda inställningar.

Inkommande trafik filtreras avseende så kallad IP-adressförfalskning(IPspoofing), det vill säga ip-adresser tilldelade i inre nätet, som inte får förekomma som avsändaradresser i inkommande trafik, något som ofta utnyttjas förDenial of Service-attacker. På samma sätt kontrolleras ofta att avsändaradresser (påip-nivå) för utgående trafik ligger inom de intervall som tilldelats det inre nätet, för att försvåra vissa typer av attacker på nätet utanför.

Första generationens brandväggar analyserade enbart enskilda IP-, TCP- och UDP-pakets pakethuvuden. Andra generationens brandväggar är äveninnehållsfiltrerande,och analyserar UDP- och TCP-paketens innehåll genom så kalladdjup inspektion,exempelvis vad gäller applikationsprotokollets meddelande, URL:er och filtyper. De kan då filtrera trafiken också gällande till exempel material som misstänks vara olämpligt för barn eller som inte anställda bör gå in på arbetstid, webbplatser och filtyper som är kända säkerhetsrisker. En sådan brandvägg är emellertid långsammare och betydligt mer komplicerad att konfigurera och därmed ökar risken för säkerhetsluckor i själva brandväggen. Inte heller en sådan brandvägg kan skydda mot attacker som den inte kan skilja från legitim trafik.

På vissa företag har det förekommit försök att stoppa filtyper som kan innehålla konfidentiell information och på så sätt försvåra att detta sprids vidare från det privata nätverket. För att en brandvägg säkert skall kunna skydda mot utsmuggling av information måste den emellertid stoppa alla krypterade förbindelser, något som är svårt och sällan önskvärt. Dessutom måste den analysera trafiken med tanke påsteganografi.Sådana brandmurar kräver aktivt underhåll och används ytterst sällan idag.

Första generationens brandväggar, som utvecklades 1988, kallas paketfilter och analyserade varje paket för sig. Tredje generationens brandväggar utvecklades redan 1989–1990, och lagrar dessutom information om varje pågående sessions eller paketflödes tillstånd. Dessa tillståndsbaserade brandväggar (eng.stateful firewall) kontrollerar som grundinställning att alla TCP-sessioner initieras från brandväggens insida, utom inkommande anrop till servrar till vilka hål har öppnats. De kan kontrollera att paketens ordningsföljd är korrekt, och kan minska risken att IP-paket från enförfalskad IP-adress(s.k. IP spoofing) kan störa en pågående session. De möjliggör även kontroll av FTP-kommunikation, något tidigare brandväggar inte klarade eftersom FTP-servern använder två portnummer till samma filöverföring; det ena används för inkommande anrop (FTP-kommandon) från FTP-klient till FTP-servern, och det andra ibland används för uppkoppling från servern (vid filnedladdning), ibland för uppkoppling till servern (vid filuppladdning).

En portfiltrerande brandvägg, alltså en nätverksbrandvägg som enbart analyserar IP-adresser och portnummer förTCPochUDPoch liknande lågnivåinformation, kan inte stoppa icke-legitim utgående trafik från legitima portar, exempelvis från klienter som använder portnummer högre än 1024. Dessutom kan den inte göra en dator säker för dataintrång mot de tjänster (serverprocesser) till vilka hål har öppnats så att de skall kunna nås från yttervärlden. Även om brandväggen kan stoppa många externa attacker mot tjänster som enbart är avsedda för bruk inomintranät,så har den begränsade möjligheter att skilja mellan legitim och icke-legitim trafik. Mer avancerade brandväggar klarar att analysera innehållet i trafiken. Med innehållsfiltrering kan man stoppa kända attacker och trafik som inte följer standarderna för vad trafiken utger sig vara.

En personlig brandvägg kan fungera som applikationsbrandvägg, de vill säga be användaren om bekräftelse innan ett nyinstallerat program får tillåtelse att fungera som klient eller server, dels mot det privata nätverket, dels mot externa IP-adresser. På så sätt kan man försvåra för skadlig programvara såsom trojaner och nätmaskar att spridas vidare. Det är dock i allmänhet möjligt för programvaran att låta ett legitimt program förmedla trafiken, till exempel om godtyckliga program har möjlighet att be enwebbläsarehämta önskade webbsidor.

Med en hårdvarubrandvägg menar man en särskild utrustning avsedd att fungera som brandvägg, eller i samma nätverksutrustning som fungerar som router. I praktiken är den en dator med operativsystem och behövlig programvara, men utrustningen är inte utformad för att fungera som generell dator, och programvaran är ofta skriven, vald eller konfigurerad för att minimera mängden säkerhetsluckor. Hårdvarubrandväggar är vanligast hos företag och organisationer, men också till exempelADSL-modem kan innehålla en inbyggd brandvägg.

Med en mjukvarubrandvägg menar man programvara avsedd att installeras på en normal dator. Det kan då vara frågan om samma programvara som i hårdvarubrandväggen (till exempelLinux-kärnan har en inbyggd brandvägg som används också i Linux-baserade hårdvarubrandväggar) eller programvara skriven uttryckligen att användas på enpersondatoreller icke-specialiseradserverdator.

En nätverksbrandvägg kopplas mellan två eller flera nätverk (där ett ofta ärInternet), och sitter vanligen i samma enhet som eller i direkt anslutning till den router som sammankopplar nätverken. En nätverksbrandvägg är idag oftast en hårdvarubrandvägg, men kan även vara en mjukvarubrandvägg. En nätverksbrandvägg analyserar och filtrerar inkommande och utgående IP-paket baserat påportnummer,IP-adressoch i vissa fall även innehållet, men kan inte hindra särskilda datorprogram.

En så kallad personlig brandvägg är en programvara avsedd att installeras på en persondator för att skydda denna, inte ett helt nätverk och inte enservereller ettfleranvändarsystem.Den skyddar inte bara från dataintrång från datorer utanför intranätet, utan även från andra datorer i samma nätverk.

Den personliga brandväggen kan utnyttja kunskap om vilka specifika program på datorn som försöker skapa en förbindelse utåt eller kommer att behandla en inkommande förbindelse och kan därför ha olika regler också för olika program. Den personliga brandväggen kan också dra fördel av att ha en användare som irealtidkan ta ställning till vilka förbindelser som skall tillåtas och vilka som skall avvisas. På så sätt kan den ibland hindraskadlig programvarafrån att kommunicera, till exempel angripa andra datorer eller hämta instruktioner. I praktiken ifrågasätts dessa fördelar rätt allmänt, då användaren sällan har tillräcklig kunskap för att fatta goda beslut och det finns metoder (ofta triviala) att maskera icke-legitim trafik.

En mjukvarubrandvägg kan installeras också på en server, varvid den liksom den personliga brandväggen skyddar datorn själv mot angrepp också från det privata nätverket. Sådana brandväggar ingår i många serveroperativsystem. Liksom en personlig brandvägg kan den ha regler för vilka program, och också vilka användarkonton, som får öppna förbindelser utåt (allmänt eller till enskilda datorer) och vilka som får fungera som servrar.

EnNAT-router kan i praktiken fungera som brandvägg i den meningen att den filtrerar bort trafik som inte initierats från insidan, då den inte vet till vilken dator trafiken borde styras. Trafik utifrån kan styras till en viss dator eller till olika datorer beroende på destinationsport, varvid brandväggsfunktionen uteblir till dessa delar (liksom då motsvarande hål öppnas i en vanlig brandvägg). NAT-routrar ingår ofta i bredbandsmodem.

Internetleverantörer kan filtrera bort både inkommande och utgående trafik till problematiska tjänster avsedda för intranät som utgör kända säkerhetshål (till exempelSMB) ellerRPC-porten, men måste släppa igenom det mesta, såväl inkommande som utgående anrop, eftersom de inte vet vilka tjänster kunderna kan vilja erbjuda yttervärlden, eller behöver komma åt. Det är vanligt attinternetleverantörerkräver att e-post skall skickas via deras e-postserver (för att minska möjligheten att skicka utskräppost).

Det finns ett antal IP-protokoll andra än TCP, UDP, och ICMP, till exempelRIPför kommunikation mellanroutrar.Information utifrån bör sällan användas för att styra de interna routrarnas funktion. Det är vanligt att filtrera bort sådana paket.

Många nätverksprotokoll på högre nivå använder så kallade” välkända” TCP- eller UDP-portar på serversidan. Om den relaterade servicen skall tillåtas räcker det ofta att tillåta eller spärra trafik till (och svarstrafik från) ifrågavarande port. Detta gäller till exempel e-post,domännamnssystemet,SMB och så kallad aktiv FTP. För andra protokoll kan de använda portarna variera, antingen i enskilda fall såsom för HTTP eller SSH, eller så att någon etablerad port över huvud taget inte finns, utan varierar fritt.

För passiv FTP framgår portnumret för dataöverföring ur trafiken på den välkända porten för kontrollkanalen. Många brandväggar klarar av att analysera trafiken i tillräcklig grad för att tillåta trafik till den port som behövs.

Trafik för e-post (SMTP) och för webbplatser (HTTP) styrs ofta via en central server, som känner protokollet i detalj och därför kan analysera och filtrera själva innehållet i trafiken. Det är då möjligt att köra enskilda delar via ettantivirusprogramför att stoppa kända attacker och kända hot. Också här gäller att enskilda delar kan varakrypteradeoch därmed omöjliga att analysera – och omöjliga att stoppa om kryptering tillåts för den ifrågavarande typen av data.

Firewall bypass (FWB) är ett icke-etablerat engelskt uttryck för tekniker att kringgå brandväggar. Begreppet har ännu inget etablerat namn på svenska. Tekniken är oftast implementerad i program vars syfte är att ansluta ut tillInternet.En av teknikerna bygger på att "injicera" kod i ett program som "går förbi" brandväggen somInternet ExplorerellerMSN Messenger.Andra tekniker bygger på att påverka koden i själva brandväggen. Om man inte har möjlighet att köra kod på brandväggsenheten behövs andra metoder.

Om man har tillgång till en server utanför brandväggen kan man från insidan använda portar för trafik som sällan spärras, såsom port 80/tcp för webbservrar och port 53/udp för namnservrar och styra trafiken via servern till avsedd dator och port. Vid behov kan man omforma trafiken så att den följer de formella reglerna för tillämpningen ifråga (men massiv trafik till en namnserver bör ändå väcka uppmärksamhet).

Många brandväggar spärrar endast ingående trafik. För att få kontakt med en dator som ligger bakom en sådan brandmur behöver datorn ifråga själv upprätta en förbindelse till en server utanför brandmuren. Den som vill ha kontakt med datorn kontaktar då servern, som via den tidigare upprättade förbindelsen förmedlar antingen en kontaktbegäran (om den som ber om kontakt kan kontaktas direkt) eller all trafik. Denna metod använd allmänt vidIP-telefoni,då den uppringda datorn ofta är bakom en brandvägg av denna typ.

• Comodo Group
• Danware, NetOp Desktop Firewall
• Dr Solomon (Ingår iNetwork Associates)
• ESET,Ingår i ESET Smart Security
• F-Secure
• Halon Security,Virtual Security Router
• Kaspersky Lab,Kaspersky Internet Security
• McAfee(Ingår i Network Associates)
• Microsoft (Defender)
• Microsoft (ISA - Internet Security & Acceleration server)
• Norman, Norman Personal Firewall
• Panda Security
• Smoothwall (Extension i Edge och Google Chrome webbläsare)
• Symantec,Norton Personal Firewall
• Zone labs,ZoneAlarm
• Agnitum,Outpost Firewall (Pro)
• Försvarsmaktenanvänder en brandvägg som företagetTutus Data ABskapat. Brandväggen kallasFäristoch baseras på operativsystemetFreeBSD.

Brandväggstest är problematiska. De kan inte säkert fastställa att brandväggen skyddar mot annat än specifika attacker och då endast genom att pröva dessa. Ofta kontrollerar testservicen huruvida datornsvararpå vissa typers paket, men det att datorn inte svarar betyder inte att datorn inte skullebehandlapaketet och därmed kunna vara mottaglig mot attacker med denna typ av paket.

Flera sådana test ger fulla poäng endast då datorn inte svarar över huvud taget, vilket bryter mot standarderna. Fördelen med att inte svara beskrivs som att datorn då inte kan upptäckas och därmed inte framstår som ett attraktivt mål. Detta är inte sant, då attacker genomförs antingen mot slumpvisa mål, utan att kontrollera deras existens, eller mot från tidigare kända mål, vars existens inte behöver bekräftas. Total tystnad är dessutom inte ett tecken på icke-existens – som tvärtom anges genom att routern närmast destinationen skickar ettICMP-paket av typen "destination unreachable" eller liknande – utan på att en brandvägg spärrar trafiken i någondera riktningen eller på mer sällsynta nätverksproblem.

Post- och telestyrelsenstängde sin tjänst "Testa datorn" den 29 maj 2014 enligt en överenskommelse mellan PTS ochMyndigheten för samhällsskydd och beredskap(MSB) i samband med att PTS tjänster och information om internetsäkerhet flyttats till MSB. Tjänsten var i huvudsak avsedd för hemanvändare och testade vilka portar brandväggen tillåter trafik på. Liknande och mer utförliga tjänster är t.ex.ShieldsUPtillhandahålls avSteve Gibson,han har även gjort programmetleaktestsom kan användas för att undersöka hur brandväggen reagerar på trojaner som försöker koppla upp sig mot internet.

• 3Com
• Barracuda Networks
• Borderware
• Checkpoint
• Cisco
• Clavister
• D-link
• Fortinet
• Halon Security
• Ingate
• Juniper Networks
• Netgear
• Palo Alto Networks
• Smoothwall
• SonicWALL
• Symantec
• Watchguard
• Zyxel
• Mikrotik

• Paketanalysator
• Antivirusprogram
• Antispionprogram

• Firewalls FAQ(engelska)