FeatureMan Skrevet 7. mars 2013 Del Skrevet 7. mars 2013 1) Forklar hva som rent teknisk skiller en ren ruter og en ruter med innebygget brannmur? 2) Når er det praktisk å låne ut IP for lang tid, og når er det praktisk å sette en kort utlånstid? 3) Forklar kort hva NAT er, og hvorfor en er avhengig av denne funksjonen for å benytte Internet med IP v4? Lenke til kommentar
>Jonas< Skrevet 7. mars 2013 Del Skrevet 7. mars 2013 Hva med å søke etter svarene selv? Den dagen du kommer ut i arbeidslivet, og spesielt innen IT, vil du slite om søketeknikken er dårlig, så det er bare å begynne å trene. Svarene er såpass enkle at de bør være kurante å finne også. Lenke til kommentar
arne22 Skrevet 7. mars 2013 Del Skrevet 7. mars 2013 Nåja .. det ligger vel faktisk og "noe interessant" i disse problemstillingene. Det som kanskje ikke alle er klar over det er at en router for privat bruk så godt som alltid er en nat router, og at en nattrouter ut i fra sin virkemåte alltid vil beskytte den bakenforliggende nettverk, selv om det ikke finnes noen filtreringsfunksjon eller denne er "slått av". En nattrouter vil alltid beskytte PC'er og nettverk mot angrep utenfra, selv om det ikke finnes noen "brannmur", dersom man definerer en "brannmur" til å være et "pakkefilter". Når det gjelder spørsmål av typen "hva er en nat router", da bør man vel forsøke å google litt selv. Det samme gjelder problemstillingen rundt leasing tider. Spørsmål 3 nevner en forutsetning som ikke nødvendigvis er riktig. Rent teknisk så kan man jo godt ha mange PC'er på nett uten å bruke NAT. 2 Lenke til kommentar
FeatureMan Skrevet 8. mars 2013 Forfatter Del Skrevet 8. mars 2013 (endret) Hva med å søke etter svarene selv? Den dagen du kommer ut i arbeidslivet, og spesielt innen IT, vil du slite om søketeknikken er dårlig, så det er bare å begynne å trene. Svarene er såpass enkle at de bør være kurante å finne også. Ja jeg kunne det, men oppgaven er ganske stor så jeg tenkte jeg skulle legge noe av den ut her sånn at jeg hadde fått mer tid på resten av oppgaven. Hvorfor gidde du egentligt å kommentere det? Viss du ikke har tenkt til å svare på spørsmålet så er det ingen vits at du svarer noe i det hele tatt. Endret 8. mars 2013 av FeatureMan Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 (endret) Spørsmål 1 rommer egentlig et annet interessant spørsmål, nemlig "hva er en brannmur" ? Litt avhengig av definisjonen så kan man si at en nat router det er jo pr definisjon en brannmur, og derfor så spiller det egentlig ikke så veldig stor rolle om en brannmur har innebygget en ekstra brannmur. Så kommer det retoriske eller pedagogiske spørsmål: "Hva er egentlig en brannmur ?" Et annet interessant spørsmål: Hva er forskjellen på en "router" og en "nat router" ? Det er sikkert ikke så lurt å få andre til å gjøre leksene for seg, men å hinte litt på vei .. .. Og så bør man vel kanskje selv komme med noen forslag til løsning ? Endret 8. mars 2013 av arne22 1 Lenke til kommentar
>Jonas< Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 (endret) Det som kanskje ikke alle er klar over det er at en router for privat bruk så godt som alltid er en nat router, og at en nattrouter ut i fra sin virkemåte alltid vil beskytte den bakenforliggende nettverk, selv om det ikke finnes noen filtreringsfunksjon eller denne er "slått av". En nattrouter vil alltid beskytte PC'er og nettverk mot angrep utenfra, selv om det ikke finnes noen "brannmur", dersom man definerer en "brannmur" til å være et "pakkefilter". NAT-funksjonalitet (altså PAT) er helt nødvendig for en hjemmerouter, ettersom det ikke finnes nok adresser i IPv4 til at alle kan få en eller flere hver. PAT oversetter en adresse til en annen ved hjelp av forskjellige porter, derfor vil forespørsler utenfra ikke kunne adresseres videre dersom dette ikke er konfigurert (statisk portvidereformidling), samt at klienter på innsiden anonymiseres. Der ligger "beskyttelsen", men det er ikke det samme som at den alltid vil beskytte mot angrep utenfra. Dersom en på innsiden er initiatoren vil man være sårbar. En brannmur har filtreringsmuligheter og mange andre funksjoner, som kan hindre angrep. Spørsmål 3 nevner en forutsetning som ikke nødvendigvis er riktig. Rent teknisk så kan man jo godt ha mange PC'er på nett uten å bruke NAT. Det er egentlig en feil i spørsmål nummer tre. Spørsmålet skulle vært hvorfor man er avhengig av PAT (aka NAT overload eller NAPT. Man kan bruke NAT uten PAT, men ikke PAT uten NAT). NAT oversetter en adresse til en annen. Med PAT (som er det som i hovedsak brukes i hjemmeroutere) kan man ved å ta i bruk ulike porter dele en ekstern adresse. Et eksempel på bruk av NAT hos hjemmeroutere, er hvor disse har DMZ-funksjon. Da vil all trafikk til den eksterne adressen bli oversatt til en intern adresse. Her er NAT-funksjonalitet veldig godt forklart og illustert. Ja jeg kunne det, men oppgaven er ganske stor så jeg tenkte jeg skulle legge noe av den ut her sånn at jeg hadde fått mer tid på resten av oppgaven. Du tenkte at noen andre kunne svare for deg, så du får mer tid til andre ting. I søken etter svar på oppgaver på egenhånd får man ofte med seg helheten, så det er lettere å få en forståelse for ting. Spørsmål 1 rommer egentlig et annet interessant spørsmål, nemlig "hva er en brannmur" ? Litt avhengig av definisjonen så kan man si at en nat router det er jo pr definisjon en brannmur, og derfor så spiller det egentlig ikke så veldig stor rolle om en brannmur har innebygget en ekstra brannmur. NAT-funksjonalitet kan ikke akkurat sies å være definisjonen på en brannmur. NAT går ut på å adresse trafikk mellom nettverk og nettverksadresser. En brannmur sørger for å gi tilgang til de som skal ha det, og bestemme hvilken type trafikk som skal ha tilgang. I en profesjonell brannmur oppretter man en egen oppføring for NAT/PAT/SNAT/DNAT, og definerer i en policy hvilke som skal ha tilgang og hvilken trafikk. I en vanlig enkel hjemmerouter (med brannmur) opprettes det automatisk tilgang for all ekstern trafikk når man oppretter en PAT-oppføring. Enkel NAT er egentlig ikke noe tema her siden de er beregnet på at man kun har en ekstern adresse. Endret 8. mars 2013 av >Jonas< 1 Lenke til kommentar
Danek Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 1) Forklar hva som rent teknisk skiller en ren ruter og en ruter med innebygget brannmur? Nå vet jeg ikke hva en ren router er, men forskjellen på en router med eller uten brannmur er vel valget om å filtrere portene og nekte svar på pings ut til WANet. Kanskje det med clean router menes switch. Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 En switch og en hub utfører den noenlunde samme funksjon i et nettverk. Ut i fra litt forskjellige tekniske prinsipper så "binder" switchen eller hubben sammen flere "noder" (i dette tilfellet lokale ipadresser) på et felles lokalt nettverkssegment. (for eksempel 192.168.1.X/255.255.255.0) http://no.wikipedia.org/wiki/Switch Switchen eller hubben sørger for at de lokale ip adressene kan "snakke" med hverandre. Switchen gjør dette på en noe mer effektiv måte enn hubben, slik at man kan oppnå en relativt sett større effektiv hastighet ved bruk av switch. En router sørger for å "route" (sende) trafikk mellom forskjellige nettverk. Routingen vil skje etter regler som routeren er programmert eller konfigurert til å utføre. Internettet kan godt enkelt beskrives som et verdensomspennede nettverk av routere, slik at trafikk for eksmpel kan routes gjennom mange routere for eksempel fra Norge til USA. Hvis man for eksempel i dos shell i windows taster "tracert www.cnn.com" så kan man se hvordan trafikken "reiser" fra der man er til serveren i USA. Når jeg tester dette nå, så kan jeg se at ved serveren hos CNN så har de en "brannmur" som "sluker" pakkene, men man ser mesteparten av "hoppene" fra router til router. En nat router er i praksis en router som router trafikken, dsv ip pakkene mellom en felles "global" ip og flere lokale nettverksadresser på et lokalt nettverk. På denne måten så kan et stort antall brukere på et lokalnett dele en felles "global" eller "ekstern ip". Hvis man går inn i dos shell og taster kommandoen "ipconfig" da kan man se hvilken lokal ip ens PC har. Hvis man går inn på dette nettstedet http://www.myip.dk/ Da vil man se hvilken global (ekstern) ip adressen ens pc deler med de andre pc'ene på lokalnettet. 1 Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 (endret) Når det gjelder hva en "brannmur" er for noe, så kan det vel være litt ulike syn på det. Jeg synes definisjonene på Wikipedia er ganske gode. Den beste forklaringen er på den engelskspråklige varianten av Wikipedia: http://no.wikipedia..../Brannmur_(data) http://en.wikipedia.org/wiki/Firewall_(computing)) De aller fleste "rene nat routere" inneholder også en "statefull inspection" funsjon som ofte blir definert som "en annengenerasjons pakkeorientert brannmur". Alle fancy forkortelser som >Jonas< refererer til over er de funsjoner som man kan "se" i konfigurasjonsgrensenittet på forholdvis enkle pakkeorienterte brannmurer. Faglitteraturen rundt denne typen brannmurer benytter seg vanligvis ikke av de samme forkortelser som >Jonas< refererer til. Hvis >Jonas< kjenner til noen slik lærebok, da må han gjerne sende en link til denne boken. Man kan grovt dele inn "brannmurene" i to grupper. 1. Brannmurer som kjører på arbeidstasjoner. Disse kan "enten" være "pakkeorienterte" eller "prosessorienterte" eller en kombinasjon av begge deler. En pakkeorientert brannmur "inspiserer" ip pakkene og slipper gjennom de som er godkjente. 2. Gateway firewalls, eller brannmurer som kjører på sin egen hardware. Disse brannmurene er ofte også routere, men de må ikke nødvendigvis være routere. Det finnes også såkalte "bridgemode hardware frirewalls", som kan filtrere trafikken over det samme lokalnettet. En "gateway firewall" vil oftest og normalt også være en router. For et hejmmedatanettverk så vil det være en nat router med en innebygget statefull inspection firewall. Også det som man kaller for "en ren nat router" vil i realiteten oftest ha innebygget en "stateefull firewall inspection funksjon" som en del av nat funksjonaliteten. Den er med andre ord en brannmur eller den utfører en brannmurs funksjon. For andre typer "firewalling" eller brannmurer baserer seg på et noe annet prinsipp. Man snakker om "application level firewalling". Da inspiserer man ikke datastrømmen bare på "pakkenivå" men i større grad som "filer". Det finnes et nokså stort utvalg av slike brannmurer. En mulig funksjoner "virusvask" slik at man fjerner virus fra datastrømmen før den slippes ut på nettverket. Det finnes også andre typer gateway firewalls som kan utføre forskjellige funsjoner, for eksempel identidisere "trafikkmønstret" til og stanse fildelingstjenester. En fjerde type funksjon er QoS eller "quality og service" som sørger for at ikke enkelte brukere eller datatjenester får bruke så mye overføringskapasitet at det blokkerer for en effektiv inetenettforbindelse. Endret 8. mars 2013 av arne22 1 Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 En litt spesiell utgave av "brannmurprinsippet" er utviklet av system leverandøren Meraki. Man sammenkobler her et stort antall gateway firewalls innefor en bedrift eller et georgrafisk område. På denne måten så kan man holde øye med og overvåke slike ting som utbredelse av virus og uønskede typer av trafikk. http://www.meraki.com/form/demo 1 Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 Ganske mange "brannmurer" baserer seg på firewall funksjonaliteten til Unix kjernen eller Linux kjernen. Det er forholdvis komplisert å sette opp slike brannmurer "manuelt" der man for eksempel kompilerer og konfigurerer "ens egen kjerne" med de rette egenskaper. det finnes imidlertid "firewall distros" som har automatiserte brukergrensenitt, der konfureringen kan gjennomføres forholdvis "automatisk". Basert på Unix kjernen: http://www.pfsense.org/ Basert på Linux kjernen: http://www.smoothwall.org/ Smoothwall er den enkleste av de to. Hvis man har en gammel PC med to nettverkskort, så er det bare å gå i gang med å sette opp en gateway firewall som kan det meste av det som er nevnt over. Håper at ikke dette var helt ubegripelig. 1 Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 (endret) Rettelse: Kom visst til å hakke litt for fort avgårde på brettet slik at jeg kom til å skrive noe feil. Noen av de forkortelsene som >Jonas< refererer til over har faktisk vært med i teorien rundt "packet firewalls" fra tidenes morgen. Det er for eksempel og spesielt DNAT og SNAT. SNAT betyr jo i praksis ingen ting. SNAT står for "source nat" og ettersom all bruk av NAT i praksis gjør bruk av source nat så gir det ingen mening i å skille mellom nat og snat. Det er for alle praktiske ting det samme. DNAT eller "destination nat" er det samme som vi på godt nynorsk kaller "port forwarding". Det brukes i forbindelse med å kjøre servere på lokalnettet, i forbindelse med spill og fildeling. ********** Jeg håper at tingene ble litt klarere og ikke veldig mye mer ulklare .. ********** Endret 8. mars 2013 av arne22 Lenke til kommentar
*F* Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 1. en ruter med innebygget brannmur har et deksel som er brann og smeltesikkert, dette gjør at ruteren vil bli overleve og kunne brukes i høye temperaturer eller brann. Lenke til kommentar
arne22 Skrevet 8. mars 2013 Del Skrevet 8. mars 2013 (endret) .. Og hvis man baserer seg på Linux eller opensource så kan man godt bruke Iptables og murstein. Endret 8. mars 2013 av arne22 Lenke til kommentar
arne22 Skrevet 9. mars 2013 Del Skrevet 9. mars 2013 Og hvis spørsmålsstilleren fortsatt gidder å følge med så har vi her en online "indikator" for angrep som skjer her og nå ute i verden. De angrep som kommer opp i øyebliket har det til felles at de stoppes ganske greit av en standard "ren" nat router med statefull inspection. http://www.sicherheitstacho.eu/?lang=en 1 Lenke til kommentar
FeatureMan Skrevet 9. mars 2013 Forfatter Del Skrevet 9. mars 2013 Og hvis spørsmålsstilleren fortsatt gidder å følge med så har vi her en online "indikator" for angrep som skjer her og nå ute i verden. De angrep som kommer opp i øyebliket har det til felles at de stoppes ganske greit av en standard "ren" nat router med statefull inspection. http://www.sicherhei...cho.eu/?lang=en Ja jeg følger med å du har vært til stor hjelp! Lenke til kommentar
Kakeshoma Skrevet 9. mars 2013 Del Skrevet 9. mars 2013 (endret) 1) Forklar hva som rent teknisk skiller en ren ruter og en ruter med innebygget brannmur? 2) Når er det praktisk å låne ut IP for lang tid, og når er det praktisk å sette en kort utlånstid? 3) Forklar kort hva NAT er, og hvorfor en er avhengig av denne funksjonen for å benytte Internet med IP v4? Syns det ble forklart i overkant rotete over her... Men selvfølgelig bra om du skjønner Greit å ta litt av gangen så man skjønner prinsippene før man går i dybden teknisk. Oppgaver på IKT eller? 1. Nå er det store forskjeller på routere, men om vi tar utgangspunkt i en ren router og en med brannmur: Router: Router pakker dit de skal basert på routing tables og enten er manuelt spesifiert (Static routing) eller dynamisk utvekslet mellom routere (Dynamic routing) Router med brannmur: Vanskelig å vite hva slags brannmur de er ute etter, men: a) En router med SPI (Stateful Packet Inspection) brannmur vil ikke godta en pakkestrøm om den ikke er fra en session startet på lokalnettet. b) En router med brannmur i mer tradisjonell sans vil blokkere trafikk fra spesifierte IPer, subnet, porter og andre regler. Så finnes det brannmurer som inspiserer pakkene på et lavere nivå, og sjekker hver pakke for ondsinnet trafikk. Litt som antivirus på en PC. Men disse er helst egne dedikerte bokser. Du kan lese litt om IPS/IDS. 2. Lang leasing er gjerne greit til servere som skal kjøre over en lengre periode. Permanente servere bør ha faste adresser. Kort leasing er ok på klienten som kommer og går ugjevnt, sånn at IPer blir tilgjengelige for nye klienter (kort leasing = ~<7 dager) 3. Hver maskin på internett må ha en IP adresse. med IPv4 som er den dominerende versjonen har vi et begrenset antall mulige adresser. Med NAT kan maskiner bak routere med denne funksjonen få lokale IPer, men dele IPen som går mot Internett. Med IPv6 kan hver maskin få sin egen IP mot Internett. Det finnes flere forskjellige versjoner av NAT som nevnt over, som jeg anbefaler du leser litt om. Endret 9. mars 2013 av Kakeshoma Lenke til kommentar
>Jonas< Skrevet 9. mars 2013 Del Skrevet 9. mars 2013 (endret) Alle fancy forkortelser som >Jonas< refererer til over er de funsjoner som man kan "se" i konfigurasjonsgrensenittet på forholdvis enkle pakkeorienterte brannmurer. Faglitteraturen rundt denne typen brannmurer benytter seg vanligvis ikke av de samme forkortelser som >Jonas< refererer til. Hvis >Jonas< kjenner til noen slik lærebok, da må han gjerne sende en link til denne boken. "Forholdsvis enkle pakkeorienterte brannmurer" - er det det du kaller brannmurer til et 5-6 sifret beløp, som er den viktigste og mest kritiske komponenten hos de fleste bedrifter? Både Cisco (markedslederen innen nettverk) og Watchguard (som er de to jeg har jobbet med) benytter disse forkortelsene, mens noen andre igjen benytter en litt annen terminologi. Hvis du fremdeles mener at faglitteraturen ikke benytter denne terminologien kan du jo prøve deg på en Cisco sertifisering, der er det nok å lese... En fjerde type funksjon er QoS eller "quality og service" som sørger for at ikke enkelte brukere eller datatjenester får bruke så mye overføringskapasitet at det blokkerer for en effektiv inetenettforbindelse. QoS er ikke en brannmurfunksjonalitet. QoS (som 802.1p og 802.1q) dreier seg om trafikkprioritering, slik at respons- og ressurssensitiv trafikk (som videostreaming) blir prioritert foran annen trafikk. Ganske mange "brannmurer" baserer seg på firewall funksjonaliteten til Unix kjernen eller Linux kjernen. Det er forholdvis komplisert å sette opp slike brannmurer "manuelt" der man for eksempel kompilerer og konfigurerer "ens egen kjerne" med de rette egenskaper. det finnes imidlertid "firewall distros" som har automatiserte brukergrensenitt, der konfureringen kan gjennomføres forholdvis "automatisk". Basert på Unix kjernen: http://www.pfsense.org/ Basert på Linux kjernen: http://www.smoothwall.org/ Smoothwall er den enkleste av de to. Hvis man har en gammel PC med to nettverkskort, så er det bare å gå i gang med å sette opp en gateway firewall som kan det meste av det som er nevnt over. Håper at ikke dette var helt ubegripelig. Bedrifter kjører som regel brannmurer som egne appliances (på dedikert maskinvare), gjerne med forskjellige fysiske soner. Disse inneholder som regel full routerfunksjonalitet, og kan også brukes som VPN-server, proxy, skanning av nettverkstrafikk (for virus og andre trusler) og diverse andre ting. SNAT betyr jo i praksis ingen ting. SNAT står for "source nat" og ettersom all bruk av NAT i praksis gjør bruk av source nat så gir det ingen mening i å skille mellom nat og snat. Det er for alle praktiske ting det samme. DNAT eller "destination nat" er det samme som vi på godt nynorsk kaller "port forwarding". Det brukes i forbindelse med å kjøre servere på lokalnettet, i forbindelse med spill og fildeling. Nå var det statisk og dynamisk NAT jeg tenkte på med SNAT og DNAT. I tillegg kan man dele PAT inn i statisk (portvidereformidling) og dynamisk (der innsideklienten er initiatoren til en connection) også. 2. Lang leasing er gjerne greit til servere som skal kjøre over en lengre periode. Permanente servere bør ha faste adresser. Kort leasing er ok på klienten som kommer og går ugjevnt, sånn at IPer blir tilgjengelige for nye klienter (kort leasing = ~<7 dager) Leasingtid på opp til 7 dager kan være mye. Når man har stor utveksling av brukermassen, som på offentlige steder som flyplasser, arenaer etc.,er det viktig at leasingtida er kort slik at IP-adressene blir frigjort og man ikke går tom for adresser fordi de er låst til klienter som ikke kommer tilbake med det første. Dette gjelder forsåvidt på mange arbeidsplasser også, og nå de siste årene som det har blitt svært vanlig med BYOD ser man i større grad viktigheten av fornuftige leasingtider. Endret 10. mars 2013 av >Jonas< Lenke til kommentar
arne22 Skrevet 10. mars 2013 Del Skrevet 10. mars 2013 Jo takk. Har nok gått gjennom Cisco sine kursbøker men det er nok en del år siden. Det som man må ta høyde for når det gjelder Cisco sin dokumentasjon det er at dette jo ikke er noen lærebok i hvordan man programmerer og utvikler brannmurer, det er der i mot en slags kombiner kursbok og salgsbrosjyre for egne produkter. Det som forklares er ikke nødvendigvis eksakt hvordan produktet fungerer men der i mot hvordan man ønsker at kjøperen skal oppfatte at produktet fungerer. Det betyr ikke at Cisco sine kursbøker eller konfigurasjonsguider for et produkt er "feil", men de er kanskje "farget litt". Hvis man går inn i en brannmur og ser på hva som egentlig skjer inne i brannmuren rent teknisk så er ikke dette nødvendigvis helt det samme som forklares i en kursbok eller en konfigurasjonsguide. Når det for eksempel gjelder den brannmur og routingfunksjonalitet som ligger i Linux kjernen så ligger jo denne fra og med kernelrevisjon 2.4.x og videre oppover bygget inn i den samme kernelmodul ved navn "Netfilter". Den som i sin tid fikk oppgaven å utvikle denne kernelmodulen var en kar ved navn Rusty Rusell, og han jobbet dengang med dette prosjektet, som freelanser og selvstendig men med lønn fra IBM fordi IBM ønsket en ny type routing og firewallfunksjonalitet inn i Linux kernelen. De problemstillingene som Rusti Rusell gikk og tenkte over, det var jo nettopp noe av det som står nevnt i diskusjonen over, og det som han konkluderte med det var jo noe i retning av "slik som det har vært tidligere der routing og firewalling funksjonene ble ivaretatt av forskjellige deler av kernel og operativsystem, slik kan det ikke fungere på en brukbar måte". Videre så var det som ble skrevet ned i uviklingsdokumentasjonen den gang, nettop dette prisnippet om å samle sammen alle firewalling og alle routing funksjonene i en felles ny kernel mudul som fikk navnet nettfilter. http://www.netfilter.org/ Hvis man ser litt nærmere på datastrømmen gjennom linux kjernen så vil man oppdage at rent teknisk så er det de samme "datatekniske mekanismene" inne i kernel som ivaretar det som i kursdokumentasjonen til Cisco beskrives som forskjellige funksjoner. http://no.wikipedia.org/wiki/Netfilter Slik som datastrømmen skjer gjennom linux kjernen så er egentlig nat og pat egentlig det samme, og nat og snat også det samme. "Connection tracking" (ifbm NAT) og "Statefull inspection blir sånn sett to sider av samme sak og ivaretas av de samme deler av Linux kjernen. For alle praktiske formål og for et hjemmerouter så kan man etter mitt syn godt si at en ren "nat router" en "brannmur" det blir stort sette det samme, fordi det rent teknisk fungerer forholdsvis likt, med ulike "grader" filtrering og slike ting. Andre "folk" ville kanskje ha definert filtreringen til å være "brannmuren". Jeg synes det er litt "feil" men smak og behag .. De fleste "brannmurer" er i praksis ganske sikre. Det gjelder også for forholdvis enkle NAT routere. Det er skjeden at noen klarer å bryte gjennom en brannmur. Det skjedde faktisk i en tidlig periode for Netfilter, men det er nå ganske lenge siden. Kjenner ikke til at det har skjedd i det siste, men har heller ikke fulgt så godt med må jeg innrømme. Det som i praksis er kanskje den største rissiko det er de portene som man selv åpner opp mot ens eget nettverk. Det er her de fleste angrepene skjer. Man kan derfor argumenter for at en router som inneholder DNAT eller mulighet for "portforwarding" er mer "usikker" og har et "risikopotensiale" som en helt enken nat router uten DNAT konfigurering ikke har. Det er også slik at dersom en nat router har komplisert og omfattende konfigurasjonsgrensenitt så øker faren for at man kan konfigurere feil, slik at det oppstår "lekasjer" som man ikke er klar over. Det var min hensikt å forsøke å få til en "diskusjon" og den kom jo. Håper at den originale spørsmålsstilleren fortsatt er med .. :-) Lenke til kommentar
arne22 Skrevet 10. mars 2013 Del Skrevet 10. mars 2013 (endret) Det som ikke står nevnt så mye om i diskusjonen over det et at man egentlig kan dele "gateway brannmurene" inn i to hovedgrupper med hensyn til funksjonalitet eller virkemåte. 1. Brannmurer som arbeider på et "packet level" nivå. Disse brannmurene "undersøker" eller videresender vanligvis "datapakkene" på basis av informasjonen som inneholdes i den enkelte datapakkens "header". Man kan sammenligne dette med en gammeldags "konvolutt". På konvoluttens forside så står det navn og adresse på avsender og mottaker. Inne i konvolutten ligger så ligger "data content" eller "datainnholdet". En vanlig "pakcket inspection firewall" nøyer seg med å se på denne "headeren". Det er også mulig rent teknisk å gjennomføre en såkalt "string inspection" der man også ser på data innholdet i hver enkelt datapakke. Denne metoden er imidlertid ikke særlig effektiv eller egnet for å kunne kontrollere innhold, da virus og slike ting ofte(st) vil være spredd over flere datapakker. Man kan godt kombinere en slik funksjon som "string inspection" slik at man for eksempel logger all trafikk som inneholder ordet "gul ost" eller "grønnsak". Hvis man skal gjøre en litt mer utdypende undersøkelse av datastrømmen og for eksempel ønsker å undersøke datastrømmen for virus og malware, da må man gjøre tingene på en litt annen måte. 2. Apllication level gateway firewall. Hvis man skal gjøre en noe mer utdypende undersøkelse av datastrømmens innhold så behøver man typeisk en "application level firewall" i kombinasjon med en "cache" funksjon. Virkeåten er da i prinsopp at det som opprinnelig var sendt som filer fra avsenderen blir "montert sammen" igjen som filer, og så undersøkt, for eksempel i forhold til virus og malware. Når filene er godkjent som filer, da blir de videresendt inn på nettverket. Slike brannmurfunksjoner av denne typen kan også kombineres med en nokså omfattende grad av brukerovervåkning. En interessant funsjonalitet i denne sammenheng er funjsoner for VPN eller Virtual Private Network. Ved hjelp av denne teknologien så kan man sette opp krypterte tuneller som paserer gjennom det meste av brannmurbeskyttelsen og overvåkningssystemene. Ved hjelp av Linux og OpenVPN så kan man sette opp alle disse funksjonene, og faktisk alt sammen nevnt over, helt gratis og uten noe annet en en gammel PC med to nettverskort. Linux er som kjent det foretrukkede operativsystemet på mange av verdens mest kostbare supercomputere. Det anbefales og det er ganske gøy. Nok en gang så får vi håpe at den originale spørsmålstilleren er med. Endret 10. mars 2013 av arne22 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå