INDEX

1. Hot eller möjlighet?
2. Det interna nätet
3. Funktioner
4. DMZ-nätet
5. Sammanfattning

3. Brandväggens funktioner

Det finns många olika tekniker för att bygga upp en brandvägg. Fyra huvudspår är

Allt brandväggen utför loggas på loggfiler. Det är av yttersta vikt att man antingen manuellt eller med hjälp av speciella program, analyserar loggfilerna regelbundet av följande skäl:

Filter för nätverkssessioner

En brandvägg kan ha en tabell över vilka protokoll som är tillåtna och vilka som får använda dessa, utanför och innanför nätverket. För varje protokoll i TCP/IP-världen upprättas olika regler.

Det här innebär att brandväggen fungerar som en router och släpper igenom paketen. Skillnaden är att varje paket kontrolleras mot ett regelverk. Det här klarar många routrar av att sköta på egen hand idag, man har "packet filtering" som en funktion i routern.

Exempel: För mail kan man tillåta en mailserver på det interna nätverket ta emot post och skicka post, men ingen annan nod på det interna nätverket. Regeln är då att SMTP-protokollet, som används för att skicka och ta emot post till postkontor, bara får användas av en dator på det interna nätverket, nämligen mailservern.

Ombud för applikationer

För vissa protokoll vill man gå in djupare i trafiken och se vad det är som görs. Vid filöverföring kanske man vill tillåta vissa typer av filer, men inte andra. Man kan också passa på att utföra en viruskontroll, så att inga infekterade program passerar in till det interna nätverket.

En packet-filtrerande brandvägg (eller router) studerar adresser och pakettyper (terminalsession, filöverföring, webb etc). Den förstår sig inte på och hinner oftast inte analysera funktionen i dataströmmen.

Därför har man utvecklat programvaror som fungerar som ombud, på engelska "proxy", för klienterna på det interna nätverket. En klient anropar proxy-programmet i brandväggen, som utför en beställning på Internet och analyserar vad som sker.

En webb-proxy kan tillåta vissa typer av material, men inte andra. Till exempel kan man vilja förbjuda alla Active-X kontroller i webbsidor, då dessa inte har tillräckligt hög säkerhet.

Webbproxyn kan också tillåta vissa adresser, men inte andra. Man kanske vill utestänga möjligheten att ta hem material som företaget inte vill ha på det interna nätverket.

På samma sätt fungerar proxy-program för FTP, Telnet, RealAudio och mycket mera.

Ett proxy-program har alltså en ingående kunskap om det protokoll som ska hanteras och de funktioner som protokollet innehåller. Det gör att det tar längre tid samtidigt som säkerheten höjs. En brandvägg som har proxy-funktioner sägs arbeta på applikationsnivå.

Många brandväggar jobbar både på nätverks- och applikationsnivå. Reglerna är olika för olika typer av protokoll, datorer och användare.

Översättning av adresser (NAT)

För ett antal år sedan såg man utvecklingen av Internet och allokeringen av IP-adresser som ett hot. Med den takt alla företag anslöt sig skulle IP-adresserna ta slut. Problemet löstes på flera olika sätt. Ett var att börja dela ut adresserna i mindre block än förr. Ett andra var att brandväggar och Internet-routrar började översätta IP-adresser. Av säkerhetsskäl ville man inte avslöja den interna strukturen. Brandväggen fick därför utgöra det enda IP-nummer som syntes utåt och fick samtidigt uppgiften hålla reda på vilket IP-nummer på det interna nätverket som ägde sessionen.

Det här kallas NAT; Network Address Translation. Innan brandväggarna fick den här funktionen var det viktigt att man alltid använde korrekta IP-nummer även på det interna nätverket, nummer som var unika i hela världen.

Idag använder man fiktiva nummerserier på det interna nätverket och låter brandväggen översätta. Ett antal sådana nummerserier finns allokerade för intern användning, nummer som aldrig kommer att användas på Internet.

Administratör av säkra sessioner

Brandväggen är också administratör av säkra sessioner, så kallade Virtual Private Networks. En användare eller brandvägg på annat kontor identifierar sig till brandväggen och sätter efter godkännande upp en krypterad session, som kallas kryptotunnel, mellan datorsystemen. Dessa kan sedan få behörighet att nå system som andra på Internet inte får nå.

Den här tekniken kan givetvis också användas på det interna nätverket. På varje avdelning finns någon med personalansvar, som behöver tillgång till personaladministrativa system. Dessa användare kan använda VPN för att nå dessa funktioner utan att andra får möjlighet att avlyssna trafiken.

 

Brandväggen och OSI-modellen

Applikation
Transport
Nätverk
Fysiskt skikt
 
 
 
 
 
 
 
 
 
 
Grovt förenklad
OSI-modell
Brandvägg med
paketfiltrering
Brandvägg med
applikationsproxy

Brandvägg med paketfiltrering arbetar på nätverksnivå, nivå 3. En brandvägg med proxyfunktioner arbetar på högre nivåer i OSI-modellen, upp till nivå 7, applikationsskiktet.

Innehåll 1 2 3 4 5
Innehållsförteckning Kapitel 1 Kapitel 2 Kapitel 3 Kapitel 4 Kapitel 5