elblogg

For å forklare hvordan en brannmur fungerer nå vi først ta en kort titt på hvordan IP-nettverk fungerer. Dette er et meget forenklet bilde. Hver enhet i et IP-nett har en IP-adresse. Denne adressen identifiserer et grensesnitt på enheten, typisk et nettverkskort. Programmer som skal motta informasjon via UDP eller TCP lytter på en bestemt port på denne ip-adressen. Web-tjenere for eksempel lytter typisk på port 80. For eksempel er IP-adressen til tjeneren som serverer denne bloggen 70.85.31.150, og webtjeneren lytter på port 80 på denne ip-adressen.

Portnummer er det vanligste for en brannmur å filtrere på. Brannmuren på min webtjener kan for eksempel være satt opp slik at det bare er trafikk til port 80 som er tillatt, og at all annen trafikk vil bli avvist. Selv om det kjører programmer på tjeneren som lytter på andre porter. SSH for eksempel, som lytter på port 22.

Brannmuren kan også settes opp slik at den aksepterer bare trafikk til port 80 generellt sett, men dersom trafikken kommer fra en bestemt IP-adresse, så skal den også tillate trafikk til port 22.

Dette er i og for seg greit. Men, alle trusler kommer ikke utenfra. La oss si at du har en web-tjener som serverer bloggen din på en maskin hjemme, og så har du en arbeidsstasjon der du har allt det viktige arbeidet ditt.

Dersom web-tjeneren din blir hacket nå, vil det være enkelt for en inntrenger å komme seg videre til arbeidsstasjonen din, selv om all trafikk fra internett er blokkert inn til arbeidsstasjonen.

Dette er grunnen til at vi har det som kalles demilitariserte soner (DMZ (DeMilitarized Zone). En demilitarisert sone er et eget nett, som for dine andre maskiner ser ut som om det er en del av internett, og for utsiden ser ut som er en del av ditt lokale nett. Det er altså en brannmur både mellom din maskin, tjeneren din og internett.

På denne måten må en fremdeles gjennom brannmuren for å nå arbeidsstasjonen fra web-tjeneren, og iogmed at all trafikk fra internett er blokkert mot arbeidsstasjonen vil ikke dette kunne gjøres.

Ver dog obs på at problemer med hacking av arbeidsstasjoner som oftest er initiert fra innsiden, ved at brukere besøker nettsteder som er infisert med nettlesere som ikke er sikre.

Dette er noe du kun kan gardere deg mot ved å alltid ha 100% oppdatert programvare, og god antivirusbeskyttelse. Dersom det brukes en proxy, kan slike brukes til å filtrere bort skadelig innhold i nettsider, ved å kjøre dem igjennom et antivirus før de siden sendes videre til brukeren. Her kan en også filtrere bort tilgang til nettsider basert på deres innhold, og for eksempel tvilsomme navn i adressene.

En kan også blokkere trafikk til bestemte IP-adresser på bestemte porter på samme måte for utgående trafikk som for innkommende trafikk.