Hopp til innhold

Fagartikkel

Brannmur

Brannmur (firewall) blokkerer eller tillater datapakker å komme inn i lokalnettverk eller inn til datamaskiner basert på statiske regler eller algoritmer som er lagd for å avdekke forsøk på dataangrep. Brannmurer er hovedsakelig programvare, men kjører ofte på dedikert utstyr i større nettverk.

LK20
En person med joggesko står foran en gul strek som er malt på bakken. Foto.

Hit, men ikke lenger. Brannmurer stopper uvelkomne datapakker fra å komme inn i lokalnettverk eller datamaskiner.

Filer og data som sendes over nettverk eller internett, er oppdelt i en mengde datapakker. Datapakkene følger reglene i TCP/IP-protokollene. Blant annet må datapakkene være merket med avsenders og mottakers IP-adresse, portnummer og MAC-adresser. Enkle brannmurer bruker denne informasjonen for å avgjøre om datapakker skal slippes gjennom eller stoppes. Mer avanserte brannmurer kan analysere innholdet i datapakkene og filtrere basert på dette eller mistenkelige bruksmønster.

Brannmurer har gjerne forskjellige regler for datapakker som kommer inn til lokalnettverk eller datamaskinen sammenlignet med dem som skal ut av maskinen eller nettverket og mot internett.

Plassering av brannmurene

Når du nå sitter på en datamaskin eller mobiltelefon og får internettilgang via et lokalnettverk, er det sannsynlig at du har to brannmurer mellom deg og internett: en brannmur som går gjennom datapakkene for hele nettverket, og en brannmur som er innebygd i datamaskinens operativsystem som beskytter den enkeltmaskinen.

Modell av lokalnettverk. Nettverket er koblet til internett gjennom ruteren. Fra ruteren går signalet via brannmur før det når svitsj. Her fordeles nettverket til enhetene, enhetene har innebygd brannmur. Illustrasjon.

Vi har som oftest både en brannmur for nettverket og en innebygd i hver datamaskin som er tilkoblet.

Internettleverandørene (ISP) har også brannmurer i sine nettverk og gjør noe filtrering av datapakker. Hovedsakelig er denne filtreringen for å sikre kundene mot kjente svakheter og trusler, men sperring av spesifikke tjenester og sensur av politiske meninger skjer også.

Nettverksbrannmur

2U-rack-kabinett, en grå og lav boks, med ti nettverkskontakter, to USB-porter og en konsoll-port. Merket er Fortinet. Foto.

Eksempel på en dedikert brannmur

Alle lokalnettverk som er tilkoblet internett, vil ha en brannmur. I små nettverk er brannmuren ofte innebygd i ruteren. I større nettverk brukes ofte en dedikert enhet eller server som brannmur. Denne er plassert rett før eller etter ruteren i nettverket. Dette sikrer at all datatrafikk som kommer inn eller går ut av lokalnettverket, må gå via brannmuren.

Operativsystemets brannmur

Programvindu merket "Windows Defender Brannmur med avansert sikkerhet". I vinduet vises tre kolonner. Til venstre er navigasjon, i midten er liste over regler, til høyre er verktøy for å lage nye regler og justere eksisterende regler. Skjermbilde.

Eksempel fra brannmur i Windows 10

Operativsystemer for datamaskiner og mobiltelefoner har alle innebygd brannmur.

Disse brannmurene sikrer enheten både mot datapakker som har kommet inn i nettverket fra internett og fra andre enheter i lokalnettverket.

Operativsystem-brannmur vil i noen tilfeller beskytte mot uønsket utgående datatrafikk, for eksempel hvis en datamaskin blir infisert av virus som vil forsøke å sende data til trusselaktører på internett. Dessverre finnes det omveier rundt dette. God sikkerhet på en datamaskin krever derfor både antivirus og forsiktighet fra brukerens side.

Grunnfilosofier for brannmurregler

Vi har to hovedfilosofier for oppsett av brannmurer:

  • åpen som standard, men med manuelt konfigurerte sperringer (default allow)

  • lukket som standard, med manuelt konfigurerte åpninger i brannmuren (default deny)

Filosofiene har forskjellige fordeler og ulemper og bruksområder.

En brannmur der alt er sperret som utgangspunkt, vil ha god sikkerhet, men vil være lite brukervennlig. Tjenestene som brukerne ønsker å bruke, vil nemlig være sperret fram til det åpnes for dem. Bedrifter vil ofte ha en slik filosofi siden sikkerheten er i høysetet og de ansatte ikke står fritt til å bruke andre tjenester enn dem som bedriften tillater i bedriftsnettverket.

En brannmur som i utgangspunktet er helt åpen, vil gi dårligere sikkerhet fordi det alltid vil være trusler man ikke har lagt inn regler mot. En veldig åpen brannmur vil sperre få tjenester, og brukerne vil ofte ikke merke at den er der i det hele tatt.

Utklipp fra web-grensesnitt til UniFi controller, det viser ei liste over brannmurregler. Skjermbilde.

Forskjellige regler kan gjelde for om datapakkene kommer inn til eller er på vei ut av lokalnettverket.

Det er mulig å kombinere disse filosofiene. Dette er veldig vanlig for brannmurer i hjemmenettverk. Disse har streng filtrering av datapakker som kommer inn til nettverket fra internett, mens datapakker som går ut fra nettverket i utgangspunktet har få filtreringer.

Datapakker som kommer inn til nettverket som svar på tidligere utsendte forespørsler, slippes gjennom. Dette sikrer at enhetene i lokalnettverket får tilgang til alle tjenestene de ønsker, uten at brannmuren er spesielt åpen fra utsiden.

Sist oppdatert 07.05.2021
Skrevet av Tron Bårdgård

Læringsressurser

Komponentene i datanettverk