onsdag, juli 30

Firewall – din första försvarslinje

Vad är en firewall?

En firewall är ett säkerhetssystem som fungerar som en barriär mellan ett betrott nätverk (till En firewall är ett kritiskt säkerhetssystem som fungerar som en intelligent grindvakt mellan olika nätverk. Namnet kommer från byggindustrin, där ”brandväggar” förhindrar att eld sprider sig mellan byggnadsdelar. På samma sätt förhindrar digitala firewalls att obehörig eller skadlig trafik sprider sig i ditt nätverk.

Enkelt uttryckt är en firewall en barriär som kontrollerar all datatrafik som passerar mellan ett betrott nätverk (som ditt företagsnätverk eller hemnätverk) och ett icke-betrott nätverk (som internet). Den kan implementeras som hårdvara, mjukvara eller en kombination av båda.

Hur en brandvägg fungerar

Firewalls arbetar enligt en positiv säkerhetsmodell, vilket betyder att endast uttryckligen tillåten trafik får passera – allt annat blockeras automatiskt. Detta är motsatsen till en negativ säkerhetsmodell där allt tillåts utom det som specifikt förbjuds.

När datapaket färdas genom nätverket utför firewallen följande steg:

  1. Paketinspektion: Granskar varje datapakats header-information
  2. Regelkontroll: Jämför paketinformationen mot fördefinierade säkerhetsregler
  3. Beslut: Tillåter, blockerar eller loggar paketet baserat på reglerna
  4. Åtgärd: Vidarebefordrar godkända paket eller droppar otillåtna

Viktiga skyddsmekanismer i en firewall

IP-adressfiltrering: Brandväggar kan ange vilka IP-adresser som tillhör det betrodda privata nätverket. Trafik inom detta nätverk filtreras normalt inte av nätverksbrandväggar. Externa datorer anslutna via VPN kan anses tillhöra det privata nätverket och därmed passera filtrering. En personlig brandvägg kan dock filtrera trafik även inom det privata nätverket.

Blockering av inkommande anrop till servrar: Ett primärt syfte är att skydda serverprocesser (nätverkstjänster) avsedda för internt bruk från dataintrång från klienter utanför det privata nätverket. Ofta blockeras inkommande trafik till de så kallade välkända portarna under 1024 som standard. Undantag, ”hål”, kan öppnas för specifika publika tjänster som webbservrar.

Misstänkt IP-adressförfalskning och icke-korrekta paket: Brandväggar blockerar automatiskt datapaket som inte följer IP-standarden eller som utnyttjar ovanliga funktioner som kan antas vara illegitima. Inkommande trafik filtreras avseende IP-adressförfalskning (IP spoofing), vilket ofta utnyttjas för Denial of Service-attacker.

Innehållsfiltrering (Djup paketinspektion – DPI): Medan första generationens brandväggar endast analyserade pakethuvuden, utför andra generationens brandväggar och särskilt Nästa Generations Brandväggar (NGFW) ”djup inspektion” av UDP- och TCP-paketens innehåll. Detta möjliggör filtrering baserad på applikationsprotokollmeddelanden, URL:er och filtyper, vilket skyddar mot olämpligt innehåll eller kända säkerhetsrisker

Portbaserad filtrering (Tillståndsbaserade brandväggar): Första generationens brandväggar (paketfilter) analyserade varje paket individuellt. Tredje generationens brandväggar, kända som tillståndsbaserade brandväggar (eng. stateful firewalls), lagrar information om tillståndet för pågående sessioner eller paketflöden. De kontrollerar som grundinställning att TCP-sessioner initieras från brandväggens insida, förutom undantag för servrar. Denna metod erbjuder mer skydd men kan påverka nätverksprestandan.

Applikationsfiltrering: Mer avancerade brandväggar, inklusive personliga brandväggar och NGFW, kan analysera trafikinnehållet och till och med be användaren om bekräftelse innan ett nyinstallerat program får kommunicera med nätverket. Detta hjälper till att förhindra spridning av skadlig programvara som trojaner och nätmaskar. Applikationslagerfiltrering kan identifiera oönskade applikationer eller tjänster som använder icke-standardiserade portar

Olika typer av firewalls

Brandväggar finns i olika former för att möta olika säkerhetsbehov:

Hårdvarubrandväggar: En specifik fysisk enhet avsedd att fungera som brandvägg, ofta integrerad med en router. Dessa är vanligast hos företag och organisationer.

Mjukvarubrandväggar: Programvara som installeras på en generell dator.

Nätverksbrandväggar: Ansluts mellan två eller flera nätverk, vanligen mellan Internet (WAN) och ett privat nätverk (LAN). De kontrollerar datatrafikflödet mellan anslutna nätverk.

Personliga brandväggar: Programvara som installeras på en persondator för att skydda just den datorn. De skyddar inte bara från intrång utifrån, utan även från andra datorer inom samma nätverk.

Serverbrandväggar och applikationsspecifika brandväggar: Mjukvarubrandväggar som installeras på en server för att skydda den datorn mot attacker, även från det privata nätverket.

NAT-routrar: Kan i praktiken fungera som brandvägg genom att filtrera bort trafik som inte initierats från insidan.

Fjärde generationen: Next-Generation Firewalls (NGFW) (2010-talet)

Moderna NGFW kombinerar traditionell firewall-funktionalitet med:

  • Deep Packet Inspection (DPI): Analyserar paketinnehåll, inte bara headers
  • Intrusion Prevention System (IPS): Identifierar och blockerar attacker i realtid
  • Application Awareness: Känner igen och kontrollerar specifika applikationer
  • User Identity: Kopplar nätverkstrafik till specifika användare

Femte generationen: AI-drivna firewalls (2020-talet)

De senaste firewalls använder:

  • Maskininlärning för hotdetektion
  • Beteendeanalys för att upptäcka avvikelser
  • Automatisk anpassning till nya hot
  • Prediktiv säkerhetsanalys

Web Application Firewalls (WAF)

  • Specialiserade på att skydda webbapplikationer
  • Fokuserar på att förhindra attacker som SQL-injektioner
  • Kräver regelbunden uppdatering för att vara effektiva

Virtuella firewalls (VF)

  • Körs i virtualiserade miljöer
  • Erbjuder samma skydd som fysiska firewalls
  • Kan användas både som programvarulösning eller specialbyggd virtuell appliance
  • Särskilt anpassade för moderna molnmiljöer

Konvergerande firewalls (CFW) – Nästa generation

Moderna firewalls med avancerade funktioner:

  • Använder maskininlärning för att identifiera hot
  • Anpassar sig kontinuerligt till nya säkerhetshot
  • Analyserar användarbeteenden för att upptäcka avvikelser
  • Erbjuder realtidsskydd mot malware och virus
  • Intelligent användarautentisering

Fördelar med moderna firewalls

Effektivt skydd mot både kända och okända hot

Proaktivt skydd mot nya hot

Automatisk anpassning till förändrade säkerhetsrisker

Intelligent analys av användarbeteende

Hur tar du dig igenom en firewall?

En hackare måste först komma igenom en firewall och alla firewalls har svagheter. Därefter använder de sniffers för att hitta svagheter i användares mjukvaror och hårdvaror. Vi måste vara aktiva mot hackers som är inne i systemen.

Många moderna brandväggar kan inte se hälften av all nätverkstrafik vilket innebär att de lämnar parasitiska appar att köra osedda och okontrollerade. Dessa appar stjäl resurser, fördröjer legitima aktiviteter och skapar säkerhets-och compliance-risker. Det finns paket manipulations tekniker och olika IDS metoder som gör att en attackerare kan lura systemet att tro att det är legitim datatrafik.

Nmap har många funktioner för att förstå komplexa nätverk och kontrollera att filtren fungerar som det är avsett. Nmap stöder även mekanismer för att kringgå dåligt genomförda försvar.

Firewalk är ett nätverksverktyg som försöker avgöra vilka Layer 4 protokoll en viss IP vidarebefordrings enhet låter passera. Firewalk fungerar genom att skicka ut TCP-eller UDP-paket med en TTL som är större än den riktade Gateway. Om gatewayen tillåter trafiken, kommer det att vidarebefordra paketen till nästa hopp där de kommer att löpa ut och framkalla ett ICMP_TIME_EXCEEDED meddelande.

Ciscos Firewall har 2 större exploits som kallas EPICBANANA och EXTRABACON, kan användas för att uppnå fjärrkörning av kod på Cisco brandväggsprodukter. Vilket Cisco har bekräftat i en bloggpost.

Penetrationstestning av firewall

Regler för Firewall (Firewall rules) som ofta sätts upp

De fungerar genom att implementera regler eller policyer som styr vilken nätverkstrafik som ska tillåtas eller nekas. Här är några exempel på viktiga regler som ofta konfigureras i brandväggar:

  1. Blockera inkommande trafik som standard:
    • Detta är en grundläggande säkerhetsprincip där all inkommande trafik till nätverket blockeras som standard. Endast trafik som uttryckligen tillåts genom andra regler ska tillåtas.
  2. Tillåt utgående trafik:
    • Generellt tillåts utgående trafik från nätverket, men det kan finnas undantag baserat på säkerhetspolicyer eller specifika behov.
  3. Specifika portar för tjänster:
    • Tillåt trafik på specifika portar som är nödvändiga för verksamheten. Till exempel, port 80 och 443 för HTTP och HTTPS (webbtrafik), port 25 för SMTP (e-post), port 53 för DNS (domännamnstjänster), etc.
  4. Blockera kända skadliga IP-adresser:
    • Brandväggar kan konfigureras för att blockera trafik från kända skadliga IP-adresser eller IP-intervall som är kända för att vara källor till attacker eller skadlig aktivitet.
  5. Restriktioner för intern Trafik:
    • Regler för att styra trafik inom det interna nätverket, för att förhindra spridning av skadlig kod och segmentera nätverket för säkerhet.
  6. Begränsa trafik till och från specifika applikationer:
    • Skapa regler som styr vilka applikationer som kan skicka eller ta emot trafik genom brandväggen.
  7. Intrusion prevention and detection:
    • Avancerade brandväggar kan ha regler för att identifiera och blockera potentiella intrångsförsök eller misstänkt aktivitet baserat på trafikmönster och signaturer.
  8. VPN (Virtual Private Network) trafik:
    • Om ett VPN används, kan det finnas specifika regler för att hantera denna trafik, inklusive vilka VPN-protokoll som tillåts och vilken trafik som ska dirigera genom VPN.
  9. Tidsbaserade regler:
    • Vissa regler kan vara aktiva endast under specifika tider på dagen eller under specifika dagar, beroende på när tillgång till vissa tjänster behövs.

Det är viktigt att noggrant planera och konfigurera dessa regler för att balansera säkerhetsbehov med verksamhetens krav. Brandväggsregler bör också regelbundet granskas och uppdateras för att anpassa sig till förändrade nätverksbehov och hotlandskap.

Leverantörsutvärdering

Etablerade leverantörer

  • Cisco: Omfattande produktportfölj, stark i enterprise-segmentet
  • Palo Alto Networks: Ledande inom NGFW och cloud-säkerhet
  • Fortinet: Kostnadseffektiva lösningar med bra prestanda
  • Check Point: Stark inom avancerat hotskydd
  • Juniper: Hög prestanda för service providers

Nya aktörer

  • Zscaler: Cloud-native säkerhetsplattform
  • Cloudflare: Global CDN med integrerad säkerhet
  • Prisma (Palo Alto): SASE och cloud-säkerhet
  • Cato Networks: SD-WAN med integrerad säkerhet

Vanliga regeltyper

Grundläggande åtkomstregler

DENY ALL (default)
ALLOW HTTP (port 80) FROM ANY TO WEB_SERVERS
ALLOW HTTPS (port 443) FROM ANY TO WEB_SERVERS
ALLOW SSH (port 22) FROM ADMIN_NETWORK TO SERVERS
ALLOW DNS (port 53) FROM INTERNAL TO DNS_SERVERS

Utgående trafikregler

ALLOW HTTP/HTTPS FROM INTERNAL TO ANY
ALLOW EMAIL (ports 25, 587, 993) FROM MAIL_SERVERS TO ANY
DENY SOCIAL_MEDIA_APPS FROM WORK_HOURS
ALLOW BACKUP_APPS FROM SERVERS TO BACKUP_NETWORK

Tidsbaserade regler

ALLOW VPN_ACCESS FROM 06:00 TO 22:00 WEEKDAYS
DENY RECREATIONAL_TRAFFIC DURING 09:00-17:00
ALLOW MAINTENANCE_ACCESS DURING 02:00-04:00 WEEKENDS

Geolokalisering-baserade regler

DENY ALL FROM HIGH_RISK_COUNTRIES ALLOW BUSINESS_APPS ONLY FROM APPROVED_COUNTRIES ALERT ON LOGIN_ATTEMPTS FROM NEW_GEO_LOCATIONS

Slutsats

Firewalls förblir en grundläggande komponent i modern cybersäkerhet, men de har utvecklats långt från de enkla paketfilter som introducerades på 1980-talet. Dagens intelligenta säkerhetssystem kombinerar traditionell nätverksfiltrering med avancerad hotdetektion, maskininlärning och molnintegration.

För att maximera effektiviteten av din firewall-strategi är det viktigt att:

  1. Förstå dina specifika säkerhetsbehov baserat på verksamhet, bransch och teknisk miljö
  2. Implementera en layered security-approach där firewalls kompletteras med andra säkerhetslösningar
  3. Hålla system uppdaterade och följa best practices för konfiguration och underhåll
  4. Förbereda sig för framtiden genom att utvärdera nya teknologier som ZTNA och SASE
  5. Investera i kompetens för att effektivt hantera och driva säkerhetssystem

Den digitala transformationen och förändrade arbetssätt driver behovet av mer sofistikerade och flexibla säkerhetslösningar. Framtidens firewalls kommer att vara ännu mer intelligenta, adaptiva och integrerade med företagets hela säkerhetsekosystem.

Oavsett vilken lösning du väljer, kom ihåg att en firewall endast är så stark som dess konfiguration och underhåll. Regelbunden uppdatering, övervakning och anpassning till nya hot är nyckeln till effektivt säkerhetsskydd i den digitala tidsåldern.

Läs mer om firewalls

Firewall – läs mer om olika brandvägg

Exit mobile version