Brandväggar: Inte tillräckliga för säkert bredband

Om serverversionen av Windows 2000 installeras får man intrång samma dag! (Främst på grund av fel i webbservern.)

Så illa är situationen idag. Det är rena djungelkriget på nätet. Med en fast uppkopplad förbindelse inträffar flera intrångsförsök per timme.

Ett sätt att skydda sig är att installera en brandvägg. För hemmabruk finns fristående brandväggar med priser från 1 200-5 000 kronor plus moms samt brandväggsprogram avsedda att köras på en dator.

Tyvärr levererar inte operatörerna brandvägg som en tjänst i nätet men det är en naturlig utveckling och tjänsten bör finnas inom kort.

Tillsvidare rekommenderar jag starkt de fristående brandväggarna, dels är de säkrare, dels får man också möjlighet att enkelt dela Internetanslutningen mellan flera datorer.

3Com Firewall

 

Alla hembrandväggar fungerar i princip likadant: De har två Ethernetportar, en ut mot Internetoperatören och en in mot hemdatorn eller hemmanätet. Porten mot operatören får en IP-adress, medan porten in mot användarna använder privata IP-adresser, vanligtvis i serien 192.168. Anslutna datorer får automatiskt IP-adresser tilldelade i samma serie via DHCP. Brandväggen sköter sedan översättningen mellan de privata adresserna och operatörens adress. Tekniken brukar kallas NAT respektive PAT, network address translation, och port address translation. Benämningar som proxyserver, dynamisk adressöversättning eller något liknande används också.

Inbyggd växel

Det går dessutom att ställa in filter som begränsar vilka tjänster och adresser som kan användas. Främsta fördelen är dock att man i och med adressöversättningen gömmer datorerna från de onda hackarna på nätet. Eftersom datorerna är gömda kan intrångsförsöken bara göras mot själva brandväggen, som förhoppningsvis är mer svårforcerad än en vanlig persondator.

Förutom huvudfunktionen har flera brandväggar också inbyggd Ethernetväxel; en mycket bra lösning eftersom det då räcker med en burk för upp till fyra datorer. Annars måste man komplettera med en växel eller annat nav för att ansluta fler än en dator. Det finns också hybrider där brandvägg, växel och ADSL eller SDSL-modem är ihopbyggda i en burk.

Netgear

 

Lyxversionerna tillåter också att man ställer in serveradresser för att till exempel köra en egen webb- eller Gnutellaserver hemma. Men då uppstår genast fler säkerhetsproblem. (Många operatörer tillåter inte abonnenterna att köra egna servrar. Lite märkligt - som att bara få ringa ut på telefonen.) Servermöjlighet fungerar så att en port - exempelvis port 80 för webbservrar - på brandväggens adress utåt kopplas till en datoradress innanför brandväggen. Inkommande anrop på den porten översätts och skickas sedan vidare till angiven adress på det lokala nätet.

Räcker kapaciteten?

Skillnaden mellan enkla »hembrandväggar» och stora företagsbrandväggar ligger i att de små är långsammare, saknar funktioner för att koppla upp externa användare via krypterade virtuella lokalnät (VPN) och har sämre administrations- och trimfunktioner. En riktig brandvägg terminerar också TCP-förbindelserna istället för att använda adressöversättning och kan därför kontrollera trafiken bättre. (Kallas ofta »riktig» proxy.)

För webb fungerar det så att användarens dator kopplar upp sig till brandväggen och begär en webbsida. Brandväggen kontrollerar att det verkligen är ett webbanrop och gör sedan ett eget anrop till den begärda servern, tar emot webbsidan och kontrollerar att inget är skumt med den för att till sist vidarebefordra sidan till användarens webbläsare.

På de enkla brandväggarna måste man se upp med ett par saker:

Med en riktig bredbandsanslutning som klarar television (2 Mbit/s och mer) gäller det att kolla vilken hastighet brandväggen klarar. Flera av dem går inte snabbare än 2 Mbit/s, vilket kan vara begränsande. Teve med DVD-kvalitet kräver till exempel över 5 Mbit/s.

Se också upp med Internetleverantörer som kräver inloggning - typ Telia ADSL. Det kan vara svårt att få brandväggen att logga på automatiskt. Om användaren måste logga på manuellt på datorn varje gång, så försvinner en stor del av meningen med en brandvägg.

Problem med spel

Adressöversättning är ett ganska våldsamt ingrepp i nätverket och en del mer komplicerade tillämpningar kan få problem. De flesta tillverkare påstår att IP-telefoni, videokonferens och dylikt ska fungera genom brandväggen. Är sådana tillämpningar viktiga måste de dock testas. Även större brandväggar har problem med dem. Effektiv Internetradio och television kräver riktad rundsändning (multicasting), men det klarar veterligen inga av de enkla brandväggarna. Eftersom få operatörer har det igång spelar det hursomhelst liten roll idag.

Vissa spel får också problem med adressöversättning. Spel som kopplar upp sig till en central server ger normalt inga problem. Värre är spel direkt dator mot dator, eller spel som använder protokollet UDP istället för TCP. Sådana spel fungerar vanligtvis inte utan speciella inställningar.

Med risk för att bli tjatig vill jag påpeka att brandväggar inte är någon patentlösning. Säkerhet är en process i flera steg, från användare till nätverk. Det går inte att försumma övriga åtgärder bara för att det finns en brandvägg. Den stoppar till exempel inte trojanska hästar via e-post eller onda Active X-program på webbsidor.

Värt att notera är också att brandväggarnas program inte är felfria, vilket i värsta fall betyder säkerhetshål. Kolla regelbundet efter rättningar på tillverkarens hemsida. Finns inga rättningar eller uppdateringar betyder det antingen att tillverkaren är oseriös eller skriver perfekta program. Vilket är troligast?

Räkna alltså med att lägga många timmar varje månad - per dator - på att hålla operativsystem, program, brandvägg och konton uppdaterade.

Låter det för jobbigt? Låt bli fast Internet eller kör något operativsystem som exempelvis OpenBSD där tillverkaren tar säkerheten på allvar.

  (20010830)