Om brannmurer og annen slangeolje

Datamaskiner er til god hjelp for de fleste av oss, men de skaffer oss også noen problemer fra tid til annen. Spesiellt er windowsplattformen veldig utsatt for enkelte problemer, sånn som virus, trojanske hester og spionprogrammer. For å sikre seg mot disse, er det mange som installerer mye rart. Antivirusprogram er en ting, en annen er personlige brannmurer. Disse siste har jeg vanligvis lite til overs for. Bjørn Furuknap har skrevet et godt newsinnlegg som forklarer hvorfor:

Temaet ‘hvilken brannmurconfig skal jeg bruke’ dukker opp med jevne mellomrom. Min mening om dette er som følger:

Du trenger ingen brannmur i det hele tatt. Brannmuren gjør ingen nytte, og kan være direkte skadelig. Dog er det eksplisitte tilfeller der brannmurer kan være nyttige, men med mindre du vet at du har et slikt eksplisitt tilfelle bør du gjøre de tiltakene du skal gjøre på maskinen din uansett og så fjerne brannmuren helt.

I korthet er problemet med brannmurer basert på følgende problemområder:

  • Brannmurer sperrer porter. De portene du ikke vil at folk skal inn på skal du uansett skru av, så dermed gjør ikke brannmuren annet enn akkurat det samme som du likevel gjør.
  • Brannmurer er programvare, på lik linje med all annen programvare du kanskje har problemer med å holde ved like allerede. Hvorfor skulle mer programvare å holde oppdatert og forstå løse problemet med at du allerede har for mye programvare å holde oppdatert og forstå?
  • Brannmurer kan lett bli en sovepute fra å holde maskinen tilstrekkelig sikret bak brannmuren. Oppdateringer av programvare og sikring av operativsystemet er absolutt nødvendig uansett, og har du gjort det er det ingenting brannmuren gjør som er en nyttig funksjon for deg. Tror du derimot at brannmuren kan spare deg for jobben med å sikre maskinen bak så lever du livsfarlig; hva tror du for eksempel skjer da dersom noen finner en feil i brannmuren og kommer seg gjennom den og rett på din totalt usikrede og feilbefengte maskin?
  • Brannmuren kan like gjerne inneholde feil som alt annet, og mer programvare på maskinen din øker sannsynligheten for kritiske feil som kan medføre sikkerhets- eller stabilitetsproblemer.

Der brannmurer har en funksjon er når de ‘vanlige’ vedlikeholds- og sikringsoppgavene du har ikke kan gjennomføres i det hele tatt eller ikke kan gjennomføres tilstrekkelig for å fjerne eventuelle problemer. For eksempel kan det være at en sikkerhetsoppdatering ikke fungerer, og inntil du får funnet ut av hvorfor kan du sperre de utsatte funksjonene gjennom en brannmur. Et annet tilfelle er der du må bruke eksplisitt usikker programvare eller protokoller, for eksempel tfpt eller lanmanager autentisering. Dette er aktuelt for noen sære tilfeller, men for den jevne bruker er det såpass spesielt at det ikke fordrer noen generell brannmuranbefaling.

Konklusjonen i min argumentasjon er derfor at du sikre maskinen din som om brannmuren ikke var der fordi det kan hende at den svikter eller settes til side. Når du likevel sikrer maskinen som om brannmuren ikke er der så kan du like gjerne fjerne brannmuren og de potensielle ekstra problemene som mer programvare medfører.

Innlegget ligger i sin helhet her: http://groups.google.no/group/no.it.sikkerhet.diverse/msg/550f5375ff520955

18 tanker om “Om brannmurer og annen slangeolje

  1. Dette er, med respekt å melde, vås. Spesielt hvis man ser på brannmurer brukt på større nettverk. I en slik setting og med riktig kompetanse på plass vil en brannmur rapportere om angrepsforsøk og trafikk og trafikkmønster som man kan bruke for å holde oversikt og hvilke tjenester som kan være skadelige.

    Personlig har jeg i lang tid bruk brannmurer og bruker også mye WIntendo. Jeg har i flere tilfeller blitt forskånet for ormer og virus som maskiner uten brannmur har blitt angrepet av. Jeg bruker ikke «brannmur» som programmvare på maskinen, men en dedikert brannmur for å beskytte maskinene på nettverket. Å kjøre en brannmur på en wintendo maskin som man samtidig skal beskytte tjenestene på er håpløst. De som selger slik programvare selger etter min mening slangeolje. Men dedikerte brannmurer, har IMHO en funksjon, både hjemme hos folk (som langtifra har kompetansen som egentlig kreves for skikkelig datahold, og som ikke kan forventes å skulle ha det heller) og i små og store bedrifter og/eller nettverk.

  2. Jarle: Det poengteres at det er snakk om personlige brannmurer, et begrep som brukes nettopp om brannmurer som kjører som en tjeneste på den maskinen de er tenkt å beskytte¹. Brannmurer som dedikerte bokser med god konfigurasjon har sin misjon i nett der tjenestetilgangen skal differensieres mellom ulike segmenter.

    Men argumentet at du har sluppet unna ormer som andre mennesker uten brannmur har blitt utsatt for, er ikke så veldig interessant før vi vet om alle forskjellene mellom din og «de andres» maskiner. Var de for eksempel like godt oppdatert?

    ¹ http://en.wikipedia.org/wiki/Personal_firewall

  3. Om ikke bare vås, så langt på vei…
    «De portene du ikke vil at folk skal inn på skal du uansett skru av, så dermed gjør ikke brannmuren annet enn akkurat det samme som du likevel gjør.»

    Langt de fleste vet nemlig ikke hva en port er engang. De har ikke interesse for å lære det heller. De har interesse for å få og motta mail, surfe litt på nettet og kanskje skrive et dokument i Word.
    En del skjønner likevel at de er nødt til å beskytte seg, og er da lykkelige over at antivirus og brannmur hjelper dem såpass på vei at de kan leve med det.
    Noen ser ut til å mene at man bør kunne endel teknisk for å «få lov» til å bruke en datamaskin.
    Jeg vet ikke hvilken del i en bilmotor man skal kunne sammenlikne med porter i et datasystem, men jeg er ganske sikker på at disse personene ikke ville latt meg kjøre bil.

  4. Du som bare kaller deg «Pc»: Du sier «Langt de fleste vet nemlig ikke hva en port er engang. De har ikke interesse for å lære det heller». Kanskje har du rett.

    Men er det da noen god idé å installere enda mer programvare de ikke skjønner noe av på maskinene deres, og tror du de er såpass oppegående i å konfigurere brannmuren at den har noen hensikt?

    Det tror ikke jeg. Jeg tror ikke de skjønner hva brannmuren mener når den sier at et eller annet program vil ha nettilgang, og de aller fleste jeg har sett klikker «tillat» og «ikke spør igjen» temmelig planmessig.

    Og da gjør ikke brannmuren noen ting – bortsett fra å bruke tid og maskinressurser og koste penger. Med andre ord: Slangeolje.

  5. Om jeg forstår argumentasjonen som legges for en dag her, så går den på at problemet med sikkerhet er at folk ikke vil lære seg det de ternger for å ferdes sikkert. Løsningen, skal man høre på den øvrige bransje, er å pushe mer programvare på brukeren.

    Jeg ser ikke logikken. Hvis problemet er at brukeren ikke kan bruke utstyret, er ikke da løsningen å lære brukeren å bruke utstyret? Og hvis brukeren ikke vil det, og med sin avvisning utsetter andre for fare, hvorfor skal ikke myndighetene tvinge folk til opplæring?

    Jeg har store problemer med å se at motargumentasjonen er rasjonell, annet enn om motivasjonen er å fortsatt kunne trekke penger ut av uvitende brukere.

  6. Jarle:

    Jeg ser at brannmurer har en misjon i å spare en administrator for jobb, det nevner jeg også i innlegget. Jeg bare mener at dette ikke er noe godt argument for å bruke brannmurer, snarere tvert imot.

    Dersom man har et nettverk der man ikke kan stole på maskinene rundt så sikrer man hver maskin utifra dette. Det er ikke bare internett som er den store, farlige slemmingen, dersom nabomaskinen er potensielt like farlig så må du i såfall ha dedikerte brannmurer på hver enkelt maskin.

    Videre, en brannmur er ingen hinder for at informasjon kommer på avveie eller at kontrollen over en maskin tapes. Det er masse kjente teknikker for å omgå brannmurer gjennom tillatte porter. En brannmur gjør da ingen nytte annet enn å la administratoren spille AO fremfor å sikre maskinene sine, mens maskinene i praksis er like utsatte som uten brannmur.

  7. Lasse: Uten at jeg har tall, kilder eller annet som gjør utsagnet mitt troverdig, mener jeg ganske bestemt at XP sin brannmur, som er på ved en standardinstallasjon, har hindret mange mange problemer for vanlige datamaskinførere. Jeg har også inntrykk av at mange leser og prøver å forstå advarslene som kommer opp i forbindelse med å lage hull i brannmuren (åpne porter).

    Kort sagt mener jeg at brannmur (spesielt) hos dataukyndige, har langt større fordeler enn ulemper.

    Pc som i Paal Christian

  8. Pc: Forskjellen er er hvor du ønsker å sette inn behandlingen din.

    Årsaken til problemene er manglende kunnskap. Symptomet er manglende sikkerhet. Du velger å behandle symptomene, mens jeg vil behandle årsaken. Fordelen med sistnevnte er at det gjelder på et bredt spekter av symptomer.

  9. Bjørn:
    Ser helt klart poenget ditt… men vi datafolk ønsker ofte at alle skal være like interessert i hobbyen/jobben vår som vi selv er… sånn er det ganske enkelt ikke. Like lite som min bilinteresserte svoger klarer å få meg til å interessere meg for å skru bil.

    Så er spørsmålet om vi skal tvinge folk til å lære?

  10. PC: Jeg har heller ingen statistikk jeg har lyst til å legge ut – men jeg har fakturert en god del timer på grunn av XPs brannmur, uten å ha sett at den egentlig har gjort noe fornuftig for noen. Det vil si: Det er klart at mange maskiner med XP SP2 og brannmur ikke har fått ormer eller virus – men akkurat det kan ikke brukes som bevis for noe som helst …

  11. En meget interessant og aktuell diskusjon som jeg har fulgt med interesse.

    I mange tilfeller gjør brannmuren det den skal, men krever, som du sier, Lasse, oppdatering og vedlikehold for å fungere optimalt, hvis ikke blir brannmuren enda et sårbart produkt. Symantec-produktene er et eksempel.

    Derimot har jeg mer sansen for Windows XPs variant, uten at jeg ønsker å diskutere hvor vidt dette er et godt eller dårlig produkt. Brannmuren følger standard med Windows XP og krever et minimum (intet?) vedlikehold fra bruker, annet enn de periodiske Windows Update-nedlastingene som brukeren allikevel bør foreta.

    Kort oppsummert vil jeg påstå at brannmurer for sluttbrukere er en god idé, men det forutsetter at brukeren ikke trenger å forholde seg til den, at den ikke utgjør enda en sikkerhetsrisiko og at den faktisk gjør jobben den er satt til å gjøre.

  12. Bjørn skrev: Årsaken til problemene er manglende kunnskap. Symptomet er manglende sikkerhet. Du velger å behandle symptomene, mens jeg vil behandle årsaken. Fordelen med sistnevnte er at det gjelder på et bredt spekter av symptomer.

    Er ikke årsak heller mangelfull programvare? Eller stiller vi ikke høyere krav til programvareprodusenter enn at brukerne selv skal kunne lappe sammen operativsystemene som er til hjemmebruk til en god base ved hjelp av masse tilleggsprogramvare som antivirus, brannmur, spywarekontrollprogramvare og så videre? Jeg finner det skammelig for programvarebransjen at det ikke er enkelt og trygt nok å drive med Windows-programvare til at min far kan sendes til å installere Windows, men at jeg, eller noen annen må gjøre de hellige trinnene etterpå;
    antivirus
    brannmur
    sp2 (om nødvendig)
    ny nettleser
    ny e-postleser
    fikse «ørten» Windows-konfigurasjonsvalg

    Å få en Windows-installasjon opp og gå er i det hele tatt et dagsarbeid for urutinerte…

  13. Poenget, Kjell, er at du egentlig ikke trenger mye av det du installerer. Det gjør ikke din far heller. Han trenger å vite hva han skal og ikke skal gjøre, han trenger en fornuftig konfigurert boks og han trenger (automatiske) oppdateringer. Da er også han sånn rimelig trygg.

    Selvfølgelig finnes det mer eller mindre god programvare. Det som det imidlertid ikke finnes særlig mye av, er feilfri programvare. Det er derfor oppdateringer er nødvendige.

    Og et av kravene vi har til maskinen vår, er jo at den skal gjøre det vi ber den om. Selvfølgelig hadde det vært lurt om den skjønte hva vi mente og bare gjorde det, men slik er det ikke, den gjør alt vi ber den om. Hvis ikke, bytter vi den ut. Dermed kan vi også be maskinen vår om å gjøre dumme ting – som å kjøre et virusinfisert vedlegg vi får i e-post – og dermed vi vite hva vi holder på med når vi bruker den.

  14. Lasse:
    Det er en grunnleggende forskjell på feilfri programvare, og (enkel og) trygg programvare. Det ene er ikke nødvendigvis avhengig av det andre. Dette går igjennom i mange aspekter av programmering.

    Forøvrig er det uheldig å koble til en Windows-maskin til et nettverk/Internett uten alle Windows-oppdateringer hvis en ikke har en brannmur allerede. La oss si at vedkommende kobler seg til Internett/lokalt nettverk med andre Windows-maskiner (som også kan være infiserte av noe for den del, og ettersom de sitter på lokalnettverket blir enhver ubeskyttet maskin infisert i løpet av få sekunder av hva det nå skulle være) uten brannmur, med fersk installasjon av Windows XP for å laste ned oppdateringer. I mange tilfeller vil maskinen etterpå være berørt av diverse exploits og trojanske hester, hvorpå man må gå igang og renske opp, selv om det eneste en har gjort er å koble seg til Internett for å skaffe oppdateringene til Windows. En brannmur og antivirusløsning må dessverre som oftest til fra start, om ikke alt er trygt nok, eller fikset, fra starten av.

  15. Høna og egget, Bjørn: Hvor skal du skaffe et oppdatert antivirusprogram fra før du kobler deg til nettet?

    Windowsoppdateringer kan man få på CD, så hvis man ikke tør å en uoppdatert maskin til nettet, er det mulig å oppdatere den på forhånd.

    Men igjen: De fleste virusinfeksjoner jeg har sett, har kommet av brukermedvirkning hos folk som har hatt «antiprogrammer» installert. Dette forteller meg at antiprogrammer ikke er løsningen, men at brukerne må øke sin kompetanse.

  16. Lasse: Det er helt klart et poeng. Mye av grunnen til at maskinene hjemme ikke får virusinfeksjoner er at man er forsiktige med hva man åpner.

    Dog er det dessverre slik at hull i diverse programvare oppdages og utnyttes. For å iallefall klare å ha en viss beskyttelse er antivirus og en skikkelig brannvegg viktige støttespillere – iallefall slik jeg ser det. Maskinene mine oppdateres med bugfikser etc, men det har allikevel (ytterst skjeldent) hendt at adware og diverse annet «snacks» har klart å snike seg inn.

    Det skal dog sies at etter at IE ble «forbudt» her i huset så har Wintendomaskinene levd et roligere liv enn de gjorde tidligere, i forhold til skadedyrene fra nettet.

  17. Jarle: Her i huset er det ikke verken brannmur eller antivirus. Ingen skadeprogrammer, heller. Og ytterst lite IE. Kanskje er det fraværet av IE som er årsaken, kanskje er det bedre rutiner. Jeg tror i alle fall ikke kunnskapsnivået er så veldig forskjellig … 😉

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.