Lokal brannmur er en uting og en blindvei

Brannmurer bør ikke installeres på hver enkelt PC og ihvertfall ikke på mobiltelefoner.

En brannmur er opprinnelig en fysisk brannsikker barriere som bygges inn i bygninger for å hindre at en eventuell brann får muligheten til å spre seg mellom forskjellige deler av bygningen.

Sperrer portene

I IT-sammenheng er en brannmur en sikkerhetsløsning som hindrer visse typer nettverkspakker fra å slippe igjennom. Brannmurer kan komme i form av egne dedikerte maskinvareenheter eller i form av programvare som installeres på en server eller en lokal klient. Nå får man også brannmurer på mobiltelefonene. Dessverre.

    Les også:

I sin enkleste form stanser en brannmur nettverkspakker på spesifiserte porter. Hver port har et eget nummer som identifiserer protokollen som brukes.

Wikipedia har en lang liste over forskjellige portnummer med tilhørende protokoll. Dette er portnummerne for noen av de mest kjente protokollene:

  • 7: Ekko, brukes når man sender «ping»
  • 20 og 21: FTP, brukes til filoverføring
  • 25, 109 og 110: SMTP og POP/POP3, brukes til å sende e-post
  • 53: DNS, brukes til å slå opp IP-adressen for domenenavn
  • 80: HTTP, brukes av nettleserne
  • 443: HTTPS, HTTP-trafikk i kryptert form

På grunn av tidligere sikkerhetsangrep mot maskiner som kjørte en mengde unødvendige tjenester, begynte mange å installere lokale brannmurer også på klientmaskiner, i tillegg til å ha en brannmur mellom det interne og eksterne nettet.

En god midlertidig løsning

Det er ingen tvil om at brannmurer har vært et nyttig og godt hjelpemiddel i kampen mot diverse sikkerhetstrusler. Når en bruker sitter på kontoret på jobben er det godt å vite at eventuelle angrep utenifra stenges ute av selskapets brannmur som skiller den interne trafikken fra det åpne Internett på utsiden. Dette fungerer relativt godt i dag og man bør ikke fjerne slike brannmurer (jeg må understreke dette, ellers noen vil alltid misforstå), i hvert fall ikke i løpet av den uoverskuelige fremtiden.

Prinsipielt sett er brannmurer en uting og en dårlig løsning på sikkerhetsproblemet. Istedenfor at problemet skal håndteres der det burde, gjennom blant annet å stanse programvaretjenester som ikke er i bruk, bygger man et skall på utsiden av en usikker arkitektur. Det skaper driftsproblemer. Det er også tvilsomt om det bidrar så mye til sikkerheten.

Mang en IT-konsulent har vært ute og jobbet hos kunder der en lokal «guru» har åpnet alle brannmurens porter for å få kompliserte IT-løsninger til å virke igjen. Brannmurer er en ekstern løsning på et internt problem.

Ikke rent sjeldent snakker jeg med representanter fra diverse programvareselskaper. Ofte bruker de sitt produkts brannmurvennlighet som salgsargument.

I praksis betyr det at de har lagt inn støtte for at all trafikk går over HTTP-protokollen (port 80) istedenfor den vanlige protokollen som systemet egentlig skal bruke. Det får meg alltid til å riste oppgitt på hodet.

Problemet løses på ingen måte med å sende all trafikk over HTTP. Det er en fin protokoll som har gitt oss mye glede i form av websurfing, men det er langt fra den beste protokollen for all trafikk. Det eneste bransjen oppnår når alle bruker brannmurer til å stenge andre porter enn port 80, er å ødelegge ved å skape behov for stadig mer komplekse, og dermed dyrere, brannmurløsninger.

Allerede i dag er det slik at brannmurer og annen sikkerhetsprogramvare spiser opp mye av nyvinninger på maskinvaresiden. Den utviklingen kan ikke fortsette i samme spor.

Sikkerhetsproblematikken vil ikke bli løst gjennom videreutvikling av brannmurer. Det er en feilslått strategi som bransjen snarest må finne en vei ut fra.

Nyheten om at det nå kommer brannmurer til mobiltelefoner, tyder at bransjen ikke er motivert til å velge en mer egnet strategi. Hvis de klarer å overbevise oss om at også alle mobiler bør ha en brannmur, så ser verden lys ut for selskapenes aksjonærer.

Effektiv drift eller sikkerhet

Det er en konflikt mellom en IT-administrators behov for effektiv drift og samme persons behov for et sikkert IT-nettverk. Jeg kan illustrere dette gjennom et eksempel fra min egen erfaring.

Før jeg ble journalist utviklet jeg et system som skulle hjelpe bedrifter med å få oversikt over hva de hadde tatt i bruk av lisensbelagt programvare, blant annet for å unngå at de kjøpte for mange. Det er et stort problem det også.

Løsningen min ble derfor å ikke installere noe som helst på maskinene og heller ikke kjøre programvaren lokalt. Programmet ble isteden installert på en separat maskin, som så gjorde nettverkskall for å spørre de forskjellige maskinene om hva som var installert. Ved hjelp av litt research fant jeg frem til at jeg kunne finne frem all nødvendig informasjon ved å bare bruke lesetilgang mot to Windows-tjenester som er veldig stabile: Windows Share og Windows Remote Registry. Dersom det skulle være problem med disse tjenestene er maskinen allerede så ustabil at det spiller liten rolle hva et eksternt program kommer med.

Det fine med denne måten å hente ut informasjon fra maskinene på, er at det gikk veldig raskt å hente ut fra mange maskiner uten at man på forhånd måtte gjøre en omfattende programvareutrulling. På en time samlet vi stort sett inn all informasjon fra alle maskiner på lokalnettet, nesten uansett størrelse, og over WAN-link hadde vi mesteparten på under et døgn. Det forutsatte selvsagt at maskinene var påslått. De som ikke var det måtte tas etter hvert som de ble det.

Det negative med denne metodikken er at de samme portene som må være åpne for at det skal fungere, kan misbrukes av ondsinnet programvare. Dermed var det noen som fant ut at en lokal brannmur kunne være en god ide.

Lokal brannmur

Noen bedrifter hadde investert i tredjepartsprogramvare for lokale brannmurløsninger på et tidlig tidspunkt, men den store bøygen kom med Service Pack 2 til Windows XP. Med i SP2 var det en lokal brannmur: Dermed lot mange seg overbevise av Microsofts sikkerhetsanbefalninger om å slå den på, på alle sine maskiner. Det satte en stopper for den typen løsninger som jeg har skissert over.

Det vil si, ikke helt. Hvis man tok seg bryet med å lese gjennom dokumentasjonen for innstillingene til Microsofts nye brannmur, så man at de hadde vært forutseende nok til å skjønne at en lokal brannmur ikke alltid er verken lurt eller nødvendig. Selv om den sammenlignet med konkurrerende løsninger var en relativt primitivt brannmur, var det en rekke innstillinger man kunne finjustere og det var en enkel konfigurasjon som gjorde livet lettere. Gjennom Policy-konfigurasjon, Registry-innstillinger eller gjennom kommandolinjeverktøyet Netsh.exe kan man raskt stille inn brannmuren slik at den slår seg av når man er innenfor bedriftens nett og slår seg på når man ikke er innenfor.

Det er en fornuftig innstilling hvis man først skal bruke lokale brannmurer. Andre produkter har lignende løsninger i form av at man kan sette opp unntak for nettverkskall som kommer fra spesifiserte maskiner eller IP-adresser.

På med joggeskoene igjen

Nå er ikke det å hente ut informasjon om lisensiert programvare det viktigste man gjør i et nettverk, men den samme metoden kunne blitt brukt til å lage fjerndriftede automatiserte løsninger for anti-virus, anti-spyware og andre sikkerhetsrelaterte løsninger.

Dessuten vil administratorer nok en gang måtte finne frem joggeskoene når de skal drifte problemmaskinene hvis de alle har installert en lokal brannmur og noe går galt med konfigurasjonen.

Jeg er ikke blind for at det kan være fornuftig å sperre av for nettverkstilgang til tjenester som Shared Folders (nettverksdelte filkataloger) og Remote Registry (fjerntilgang til konfigurasjonsregisteret), men da bør man velge å slå av tjenestene istedenfor å sperre dem med en lokal brannmur. Det er en sikrere og bedre løsning.

Hvis du absolutt vil installere lokale brannmurer på maskinene du drifter, så ta deg i hvert fall bryet med å sørge for at de slåes av når brukerne er inne på kontoret og dermed beskyttet av brannmuren inne på serverrommet.

Dropp lokal brannmur på PC-ene og ikke gå til anskaffelse av brannmur på mobilene. Gi også klar beskjed til programvareselskapene om at deres «brannmurvennlige» omgåelse av portsystemet er et blindspor.

Til toppen