Tcp/ip-protokollen, der ligger bag alt, hvad vi laver på internettet, blev udviklet dengang, man lagde større vægt på styrke end på sikkerhed. Det betød, at trafik altid ankom til det rigtige bestemmelsessted, men svagheder i den måde hvorpå tcp/ip er blevet implementeret, og i den software, hvortil den leverer data, betyder, at vi alle skal være forberedt på at blive angrebet, når vi er online. I denne guide lægger vi ud med at forklare, hvordan internettet begyndte, og hvordan det grundlæggende fungerer.

Lukning af porte ved firewall’en er en sikker metode, når man vil forhindre dem i at blive udnyttet, men hvilke er de, og hvordan virker de?

I begyndelsen

Det, vi i dag betragter som internettet, begyndte i slutningen af 1960’erne med det amerikanske forsvarsministeriums ARPANET. En central idé var, at ”pakker” af data kunne sendes mellem computere på det samme net.

Disse pakker blev sendt på den måde, at de blev leveret fra maskine til maskine langs et net af forbindelser, indtil de nærmede sig deres bestemmelsessted.

Computere, de såkaldte Interface Message Processors (IMP’er) afgjorde, hvordan pakkerne skulle leveres ved hvert forbindelsespunkt. I dag kalder vi disse apparater routere.

I modsætning til telefonsystemer, der dengang brugte en enkelt fysisk linje til at sende en enkelt samtale ad gangen, sendte pakkenettene flere pakker af information til forskellige bestemmelsessteder ad den samme linje - en efter en.

Det var langt mere effektivt. Hvis en del af nettet ikke kunne nås, kunne IMP’erne vælge at sende en pakke udenom, så den alligevel kunne nå frem.

I 1970’erne kunne hele internettet være på et stykke papir. Det at fragte data til bestemmelsesstedet var vigtigere end sikkerheden.

Fordelene ved netforbundne computere blev indlysende i 1970’erne, og antallet af forskellige netprotokoller begyndte at blive en alvorlig flaskehals. Det store gennembrud for internettet, som vi i dag kender det, kom i 1973, da forskerne Vint Cerf og Robert E. Kahn opdagede, at man ved at lade hver værtscomputer bruge en fælles protokol kunne sende og modtage datapakker til og fra en hvilken som helst anden maskine, uanset hvilket fysisk netværk den brugte.

Pludselig kunne ethvert net, der brugte Cerf og Kahns tcp/ip (der står for Transmission Control Protocol/Internetworking Protocol), tale med et andet netværk nemt og driftssikkert. Alt, hvad producenten skulle gøre, var at programmere protokollen ind i operativsystemet.

Sådan virker tcp/ip

Afhængig af de data, der bliver transporteret, bliver pakkerne sendt ikke kun til bestemmelsesstedet, men også til en specifik software-”port”. Hver port håndterer forskellig applikationstrafik. Port 80, for eksempel, håndterer normal HTTP-webtrafik, mens port 443 håndterer HTTPS-krypteret webtrafik. E-mail bliver altid sendt over port 25, mens modtagelse finder sted over port 110.

Trevejssystemet ”håndtryk” sikrer, at både klient- og servermaskine er parate til at sende og modtage pakker.

Det tcp/ip-system, der kører på internettet i dag, bruger en serie af håndtryk, der sikrer, at data altid kommer igennem til den rigtige maskine. Og hvis det ikke sker, kan fejlen nemt rettes. Når computeren sender en pakke, sker der dette:

Først sender computeren til destinationscomputeren en pakke, der indeholder dens adresse, adressen på den maskine, den forbinder sig med, og nummeret på den port, som den vil have forbindelse med. Dette kaldes en SYN-pakke, og det står for synkronisering.

Pakken indeholder også et vilkårligt tal, der kaldes sekvenstallet. Hvis softwaren på den modtagende port accepterer forbindelsen, kvitterer den med en pakke, der kaldes SYN-ACK (synchronisation acknowledgement).

Denne pakke indeholder også et vilkårligt sekvenstal. Nu sender din pc en ACK-pakke tilbage til serveren. Denne teknik kaldes ”håndtryk”.

Værktøjer som WireShark kan bruges til at sniffe råtekst-protokoller, mens de går igennem, og gendanne ukrypterede brugernavne og kodeord.

Når der er opnået forbindelse, begynder datatransmissionen. De pakker, der bliver sendt af ens computer, bliver mærket med det sekvenstal, den brugte, da den begyndte at skabe kontakt med destinationsmaskinen. Din computer inkluderer og øger dette tal i hver pakke, der bliver sendt.

Kombinationen af kilde- og destinations-ip-adresse, portnummeret og øgningssekvensen sikrer, at alle pakker kan identificeres. For hver pakke man sender, sender destinationscomputeren en kvitteringspakke, der fortæller, at den nåede sikkert frem. Hvis der ikke kommer en kvittering efter et bestemt tidsrum, skal pakken sendes igen. Næste gang kigger vi nærmere på, hvor sårbarhederne er, og hvordan du kan beskytte dig.

Sådan skal du gøre...

Test din sårbarhed

Når man vil vurdere sin onlinesikkerhed, kan det betale sig at se, hvordan andre ser ens netværk. Der er flere onlinetjenester til det formål. En af dem kommer fra T1shopper: www.tshopper.com/tools/port-scanner.

På denne side kan man se sin IP-adresse. Man kan indtaste en enkelt port for at se, om den er tilgængelig, og man kan scanne en række portnumre. Man kan også klikke ud for de hyppigst brugte porte i en tospaltet liste.

Hver port, der er lukket (det vil sige, at der ikke er tilknyttet software, og den er derfor ikke sårbar over for angreb), kvitterer med en linje, der fortæller, at den ikke svarer. Hvis ens firewall virker og er konfigureret rigtigt, burde alle disse test svigte.

Sådan skal du gøre...

En mere omfattende test – der viser, om der er et botnet eller anden form for malware, der lytter ved en bestemt port på computeren – får man ved at skrive et start- og slutportnummer, så scanner tjenesten dem individuelt og leder efter åbne porte.

Lad være med at misbruge denne tjeneste ved at skrive ”1” og ”65.535” (det højeste portnummer). Opfør dig pænt og skriv kun blokke med et maksimum på 500. Scanningen tager tid, så man skal være tålmodig. Til sidst burde man have et omfattende overblik over, hvor sårbart systemet er.

Ressourcer

En dybdeborende beskrivelse af, hvordan tcp/ip virker, herunder indholdet af hver pakke: www.bit.Ly/akZzJ.

En online-portscanner, foruden andre værktøjer, der kan fortælle, om ens firewall slipper data ud: www.t1shopper.com/tools.

En mere avanceret portscanner, der bygger på den professionelle Nmap-scanner, kan findes her: www.nmap-online.com.

En beskrivelse af den syvlagsmodel, der bliver brugt af netsoftware: www.webopedia.com/quick_ref/OSI_Layers.asp.

En komplet liste over alle de porte, der er tildelt af Internet Assigned Numbers Authority, plus deres funktioner: www.bit.ly/Kn5lk.