Hva er en brannmur og hvordan fungerer det?

Brannmur er det engelske uttrykket for en «brannbeskyttelsesmur». Slike vegger forhindrer at en brann sprer seg til det andre huset. På dataspråket står «brannmur» for ett eller flere programmer som beskytter et selskap eller et privat nettverk mot angrep fra Internett. Merk: I det videre kurset i denne artikkelen blir firmanettverket eller det private nettverket referert til som et «lokalt nettverk» for å skille det fra Internett.

Hvilke typer brannmurer er der?

En brannmur er sammendraget av flere sikkerhetsprogrammer. Under navnet «Firewall» -produkter som tilbys bruk disse programmene for å beskytte mot angrep fra Internett. Du kan lese hvilke mekanismer som bruker de enkelte programmene i delen «Sikkerhetsmekanismer».

En brannmur kan tilbys som et program for installasjon på en datamaskin. Eller det er innebygd i internettilgangsenheter, såkalte rutere.

Brannmur på en Mac -reklame

Protokoller på internett

For å forstå måten å jobbe en brannmur, må du først vite hvordan datamaskiner utveksler data på internett.

Grunnlaget for datautveksling på internett er internettprotokollen, eller IP for kort. Denne protokollen deler dataene som skal sendes inn i pakker, skriver hver pakke blant annet avsenderen og mottakeradressen og informasjonen om størrelsen på pakken og sender datapakkene til mottakeren.

TCP, overføringskontrollprotokollen, legger til ip. TCP etablerer forbindelsen mellom to datamaskiner, der IP -datapakker byttes ut. TCP sjekker også at alle data kommer til mottakeren i riktig rekkefølge og i riktig rekkefølge. De to protokollene blir ofte oppsummert og referert til som TCP/IP.

I tillegg er det to andre viktige logger på internett:

  • ICMP, Internett -kontrollmeldingsprotokollen, sender kontrollkommunikasjon mellom datamaskiner i et nettverk. For eksempel, hvis en ping sendes til en datamaskin, sender den et svar via ICMP -protokollen.
  • UDP, brukerdatagram -protokollen, serverer lik TCP for å transportere data via IP. Ved hjelp av en matematisk prosedyre, testsummen, sikrer protokollen at datapakkene forresten ankommer mottakeren.

UDP tar imidlertid ikke vare på rekkefølgen på datapakkene eller om data kan mottas to ganger. Dette akselererer overføringen enormt, men er upålitelig. Programmer som sender data ved hjelp av UDP trenger dine egne forholdsregler for å sikre at datapakkene kommer i riktig rekkefølge.

Tjenester på Internett

Det er en rekke så -kalt «tjenester» på internett, mest basert på TCP, i noen tilfeller basert på UDP. Dette er programmer som erstatter data med en fast prosedyre med hverandre. Den mest kjente tjenesten er World Wide Web. Her en www -server og internettutdanningsprogramutvekslingsdata. Beviset på dette er «http», protokollen for hypertekst. Dette bruker igjen TCP/IP -protokollen basert på Internett for å utveksle rå data.

Så -kalte porter bruker loggene på internett slik at informasjonen ikke havner på feil sted. Dette er åpent på en datamaskininngang for data. En www -server forventer for eksempel all informasjon på port 80, en SMTP -server for mailing bruker port 25. Hvis et krav går til en annen port, flytter ikke serveren (med mindre systemadministratoren tidligere har definert dette).

I det virkelige liv vil prinsippet se slik ut: to ansatte i et selskap sender meldinger til hverandre. I tillegg til de innkommende kurvene, har begge ansatte også spesielle fag der de forventer hverandres meldinger. Disse kurvene tilsvarer portene. For å spare tid, ordne visse nøkkelord. «Fil Müller» står for for eksempel «Send meg Mr. Müllers fil». Dette tilsvarer en protokoll som HTTP. Måten avtalt mellom de to ansatte for å utveksle informasjon tilsvarer tjenesten.

Denne korte meldingen legges inn i en konvolutt og legg inn husposten. Protokollens rolle TCP og IP tar på seg husposten: Kontoret er basert på adressen for å gjenkjenne den ansatte som forsendelsen går til. Han sikrer også at brevet ender opp med riktig ansatt i riktig postkasse i riktig ansatt. Hvis kontoret lister legger meldingen i feil inngangskurv, dvs. i feil port, kan det overses eller redigeres av en annen kollega og sendes tilbake med lappen «ikke forstått».

I henhold til dette prinsippet er internettjenester som:

  • HTTP for overføring av informasjon på World Wide Web
  • Postoverføringsprotokollen SMTP
  • FTP for overføring av filer
  • Telnet eller SSH for tilgang til kommandolinjen til andre datamaskiner
  • DNS for å oversette lesbare internettadresser til de tilsvarende IP -adressene.

reklame

Hvordan prøver hackere å trenge gjennom nettverket?

Portskannere er det viktigste håndverktøyet til databustlers. Ved hjelp av disse programmene kan datamaskiner undersøkes for de nevnte tjenestene og portene du har åpnet. Avsenderen sender ganske enkelt et tilsvarende krav til havnen og venter på svar.

Portskannerne fungerer også i henhold til dette prinsippet. Men de er mye raskere. Portskannere kan sjekke alle datamaskiner i et nettverk ved å legge inn en start og en sluttadresse. Siden leverandører av internettutvalg alltid bruker et bestemt område med IP -adresser for å ringe kunder, kan en portskanner målrettes i dette området. Da blir alle kunder av en viss Dial -Out -leverandør spionert på åpne porter.

Hvis en slik port blir funnet, kan du prøve å kommunisere ytterligere programmer via denne porten med datamaskinen. Ofte blir det gjort forsøk på å skyte den angripte datamaskinen med massevist, feil pakker til verktøyet bruker havnen bruker arbeidet. Denne prosedyren kalles benektelse av tjenesteangrep (på tysk: angrep med det formål at en tjeneste nekter å jobbe). Målet er at programmet krasjer og porten forblir åpen. Innbruddstyven trenger deretter inn i systemet via denne åpne porten.

Slike og andre angrep blir ofte foretrukket av sikkerhetshull i driftsprogrammet eller i internettjenesteprogrammer. Derfor er det viktig å blokkere slike angrep før du når det lokale nettverket.

Oppgaven til en brannmur skal belastes for å arere de tilsvarende portene og å gjenkjenne og forhindre slik benektelse av tjenesteangrep.

To andre metoder for å trenge inn i datanettverk er pakkesniffing, tysk «snusing på pakker» og IP -forfalskningen, manipulering av datapakker.

Med sniffingpakken snuseres et program ved å passere datapakker. Den prøver å spore opp informasjon som brukernavn og passord. Ofte overføres denne informasjonen ukryptert, for eksempel fra Telnet eller når du får tilgang til e -post. For å komme til pakkene, må angriperen ha tilgang til en datamaskin, via data i det lokale nettverket eller på internett. En brannmur i seg selv kan ikke gjøre mye mot slike snusende forsøk. For å forhindre dem slår imidlertid mange systemledere av passasjen for telnet i brannmuren.

Når du forfalsker, sender angriperen datapakker til en annen datamaskin med falske innleveringsadresser. På denne måten kan han muligens etablere en forbindelse som han trenger inn i det lokale nettverket. Eller angriperen prøver å ta seg av overdreven datatrafikk mellom to nettverksdatamaskiner ved hjelp av adresser. Han kan til og med prøve å likestille send- og mottakeradressen. Den angripte datamaskinen mottar datapakken med sin egen avsender og kan deretter sende meldinger til seg selv kontinuerlig. Og det blokkerer nettverkstilgangen. Til slutt prøver angripere fortsatt å falske informasjon om datapakkene, for eksempel ved å spesifisere feil størrelse for pakken. Mottakeren kan bringe rotet. Programmer som Ping brukes ofte til slike angrep som sender ICMP -kontrollkommunikasjon.

En brannmur må kunne ekskludere slik adresse- og pakkemanipulasjoner.

Hvordan fungerer en brannmur?

En brannmur sitter nøyaktig på tilkoblingspunktet mellom det lokale nettverket og internett. Det danner en slags nål som alle data må presse fra og på internett.

Brannmuren bestemmer hvilke tjenester som i det hele tatt kan brukes på internett. Og det avgjør hvilken på grunn av tjenester fra Internett kan sende data til datamaskiner i det lokale nettverket. For eksempel kan en brannmur tillate at bare nettsteder fra WWW kan bli kalt opp. Samtidig kan det imidlertid blokkere visse internettsider eller for eksempel forhindre Java -programmer som er lagret på Internett.

Sikkerhetsmekanismer

Brannmurer jobber med forskjellige sikkerhetsmekanismer. Dette inkluderer:

– Pakkefiltrering

Hver datapakke som overføres via Internett -protokollen har viktige identifikasjonsfunksjoner. Dette inkluderer sendingsadressen og måladressen med portnumre og informasjon om størrelsen på dataene den inneholder. Basert på denne og annen informasjon kan en brannmur filtrere visse pakker, så ikke la den inn i nettverket. For eksempel kan brannmuren bare la internettpakker rettet mot port 25 av en datamaskin i nettverket. Alle andre pakker blir avvist. Visse innleveringsadresser kan også utelukkes med pakkefilteret, slik at data fra visse servere på internett ikke kan aksepteres i utgangspunktet. På samme måte kan brannmuren gjenkjenne visse websider basert på adressene og blokkere dem for tilgangen.

– – Nat

Forkortelsen NAT står for nettverksadresseoversettelse, i tysk «Oversettelse av nettverksadressen». Så snart en datamaskin fra det lokale nettverket etablerer en forbindelse med en datamaskin på Internett, må den informere datamaskinen på Internett om en IP -adresse som den kan nås. Brannmuren gjenkjenner denne forbindelsen og husker datamaskinens adresse i det lokale nettverket. Imidlertid gir brannmuren den andre datamaskinen på internett en helt annen adresse. I tillegg kan portadressene endres. På denne måten kan flere tilkoblinger bygges inn på internett via en enkelt IP -adresse. Denne prosedyren kalles portadresseoversettelse, dvs. «Oversettelse av portadressen».

Med Nat sikrer brannmuren at datamaskinens svar fra internett blir sendt tilbake til brannmuren og kan sjekkes der. Datamaskinen på internett kan ikke etablere en direkte tilkobling til datamaskinen i det lokale nettverket. En annen fordel: Brannmuren husker tilkoblingsdataene og kan avgjøre om pakkene kom om du tilhører en forespørsel på forhånd. På denne måten kan alle pakker filtreres som «sendes» til nettverket uten å bli spurt «».

NAT er også nødvendig i mange nettverk fordi adresser brukes der i det lokale nettverket som ikke ville fungere på internett, for eksempel 192.168.0.1 og alle adresser til 192.168.255.255.

– VPN

Så -kalt virtuelle private nettverk kobler lokale nettverk via Internett. På denne måten, for eksempel, kan de lokale nettverkene i selskapsgrener i Hamburg og München kombineres som om begge ble slått sammen i et enkelt lokalt nettverk. Slik at ingen kan lese sammen, må datatrafikken mellom de to lokale nettverkene krypteres. Rutere, som ofte er utstyrt med brannmurer, tar også på seg denne oppgaven.

-Proxy-server

Dette er datamaskiner som byttes mellom det lokale nettverket og internett. En fullmakt aksepterer kravet til en datamaskin fra det lokale nettverket og utfører dette kravet på Internett på Internett. Proxy sender deretter ryggen til datamaskinen i det lokale nettverket. Operatøren av en proxy -server bestemmer hvilke tjenester som kan brukes på Internett. På denne måten – mer praktisk enn med et pakkefilter – kan visse applikasjoner forbys på internett, og nettverkstrafikken kan sjekkes.

Ytterligere prosedyrer og teknikker

I tillegg til brannmurteknikkene som er nevnt, er det andre prosedyrer nevnt i forbindelse med brannmurer. Dette inkluderer:

– Ipsec

IPsec står for IP Security, dvs. IP -sikkerhet. Dette er en prosedyre som krypterte dataene som ble sendt via Internett -protokollen. I tillegg tar IPsec seg

– Port videresending

Portoverføringen lar deg fikse visse IP -adresser i det lokale nettverket i en brannmur i en brannmur. Hvis brannmuren mottar en forespørsel i denne porten, videresender den den til den tilsvarende datamaskinen i det lokale nettverket.

– DMZ

DMZ står for demilitarisert sone. Dette er en datamaskin eller et nettverk som fremdeles er før selve brannmuren. Hele innkommende og utgående datatrafikk kjører via DMZ. Hvis du vil etablere en forbindelse med det lokale nettverket, må du registrere deg på DMZ og kan bare ringe inn i det lokale nettverket med en spesiell tillatelse. Dataene som er sendt fra det lokale nettverket til Internett, må også passere DMZ. Fordelen: I en slik demilitarisert sone kan informasjonstjenester som en www -server settes opp. Denne serveren kan deretter lett nås fra internett, men hvis du for eksempel vil etablere en direkte tilkobling til det lokale nettverket, må du bruke kontrollen.

Hva beskytter en brannmur ikke mot?

For eksempel kan brannmuren ikke beskytte mot e -postmeldinger som er forurenset med virus. Den beste brannmuren hjelper ikke mot programmer som overføres fra internett til en PC og startet der.

Her er det bare andre sikkerhetsforholdsregler som tildeling av tilgangsrettigheter for enkeltbrukere eller virusbeskyttelsesprogrammer beskytter.

De ansatte i et selskap eller til og med seg selv er også en stor risiko. Ofte er det å sette feil eller ved et uhell installert og ikke -belettede programmer som gjør nettverket utrygt. I firmanettverk er ansatte en stor risiko fra ansatte til selskapets telefonnettverk. Med et slikt modem kan den ansatte raskt velge sin PC eller firmanettverket. Men det åpner også døren for innbruddstyver. Fordi en hacker lett kan prøve ut hele et selskap med et modem. Så snart et modem svarer, kan du prøve å trenge gjennom systemet.

Hvilke problemer kan det være når du bruker brannmur

Alle som bruker en brannmur hjemme og bruker for internettspill vil snart finne ut: ikke alle spill fungerer. Fordi disse spillene bruker visse porter for datautveksling med hverandre som kan blokkeres av brannmuren. Mange tjenester som tilbys på internett trenger også visse porter på en PC for å kunne overføre dataene dine riktig. For brukere i et lokalt nettverk med brannmur kan slike begrensninger være irriterende.

Som trenger brannmur?

Alle som er permanent koblet til Internett, bør installere en brannmur. Dette gjelder spesielt alle brukere av DSL -tilkoblinger. Fordi de ofte er koblet til Internett i timevis og dermed er tilgjengelige for portskanninger.

Hvis du bare ringer en eller to ganger om dagen med et modem til Internett, henter posten din og legger den opp igjen, er du teoretisk utsatt for et angrep i løpet av denne tiden. Sannsynligheten er imidlertid lav. Som en forholdsregel bør du imidlertid i det minste slå på Windows Internet Connection Firewall

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.