Dissertations / Theses on the topic 'Brandväggar'

Det huvudsakliga syftet med denna rapport var att undersöka några av marknadens brandväggsprogram som kunde tänkas vara lämpliga för vår målgrupp, det vill säga en hemanvändare. Detta eftersom det idag inte finns någon lättillgänglig information inom detta område. I sökandet av brandväggsprogram fann vi en uppsjö av olika typer av brandväggar och därför har denna undersökning avgränsats till endast fyra brandväggsprogram, nämligen Norton Personal Firewall, Sygate Personal Firewall, Tiny Personal Firewall samt Zone Alarm. Denna avgränsning gjordes genom att välja ut de som experter inom området utvärderat och har ansett vara de som är säkerhetsmässigt bäst på marknaden. Undersökningsgruppen bestod av 28 testare som passade in i vår definition av en hemanvändare. Tyngdpunkten i vår rapport har lagts på brandväggsprogrammens användarvänlighet, eftersom vår hemanvändare oftast inte besitter de tekniska kunskaper som i allmänhet krävs. Med denna undersökning ville vi få fram vilka kriterier ett brandväggsprogram skulle uppfylla för att det skall klassas som användarvänligt. Vi behandlade även områdena informationslänkar/hjälpfunktioner, användarmanual, installation, programdelen och avinstallation för varje brandväggsprogram. I undersökningen har vi använt oss av tidigare gjorda tester om brandväggsprogram, och när det gäller användarvänlighet har vi använt oss av litteratur som behandlar detta ämne. Undersökningen omfattar inte brandväggarnas säkerhet eftersom vi valde att fokusera rapporten på användarvänligheten hos brandväggsprogrammen. Vår empiriska studie bestod av frågeformulär och egna utvärderingar av undersökningens brandväggsprogram. Samtliga i undersökningsgruppen bedömde att brandväggsprogrammens användarvänlighet var hög, förutom hos ett av programmen. Dessutom visade undersökningen att användarvänligheten hos ett brandväggsprogram var ett av de kriterier som vi inte trodde skulle rankas så högt. Det visade sig dock vara väldigt viktigt för vår målgrupp. Slutsatsen från denna undersökning blev att Norton Personal Firewall, Sygate Personal Firewall samt Zone Alarm var de brandväggsprogram som var användarvänliga enligt undersökningsgruppen. Dock var Norton Personal Firewall det brandväggsprogram som klassades som mest användarvänligt. Tiny Personal Firewall var det enda brandväggsprogram som inte kunde klassas som användarvänligt.

<p>Firewalls protect network traffic and decide witch traffic to send further and witch traffic will be blocked. All this depends on the rules in the firewall. The firewall is installed between the internal network and the Internet. It is difficult to find a firewall that can protect us against different threats. Firewalls have both advantages and disadvantages and all this make them vulnerable. It is important to understand how the firewall protects the network and how to configure it. This paper gives the reader a clear idea how firewalls can protect against different attacks and improve the security.</p><p>Computers are not safe when connected to Internet. This paper is about how to use a personal firewall to protect a computer when connected to Internet. One of the firewalls in this examination is Norton Personal Firewall 2005.</p><p>Perkins, “Firewalls 24seven, 2nd Edition” and Brian Komar, Ronald Beekelaar and Joern Wettern “Firewalls for Dummies”. Information has also been collected from Apples home page.</p><p>It is important to have knowledge about different attacks against network traffic and also about how to protect against them. To know the risks is the first step to be able to evolve an own strategy; too defend network attack.</p>

<p>Allt fler företag kopplar upp sig mot Internet och använder sig av en s k brandvägg för att skydda sitt interna nätverk gentemot omvärlden. Brandväggens uppgift är, något förenklat, att endast släppa igenom tillåten trafik.</p><p>Då vissa företag utsätter sig för större risker genom att använda sig av osäkra tjänster som t ex Telnet skulle det hjälpa dessa om man gjorde en undersökning av vad litteraturen rekommenderar rörande osäkra tjänster samt hur företag hanterar problemet i dagsläget. För att ta reda på detta gjordes en litteraturstudie samt en enkätstudie.</p><p>Vi konstaterar att det råder enighet i litteraturen om att Telnet bör särbehandlas gentemot icke osäkra tjänster och helt blockeras om den inte behövs samt sammanställde ett flertal rekommendationer rörande Telnet.</p><p>Resultatet visar att vissa brandväggsadminstratörer följer delar av litteraturstudiens rekommendationer, men att ett flertal inte gör någonting för att få Telnet säkrare. Undersökningen visar även hur brandväggsadministratörerna har löst problemet med Telnet.</p>

I arbetet med denna uppsats, har vi undersökt om brandväggar håller vad de lovar och om de i så fall ger full datasäkerhet. Vårt syfte är att, ur hemmaanvändarens perspektiv undersöka vad datasäkerhet innebär, hur hotbilden vid Internet-användning i hemmet ser ut och vad personliga brandväggar kan erbjuda för skydd. För att ta reda på detta gjorde vi följande frågeställningar: Vad är/innebär datasäkerhet? Vad skyddar en brandvägg mot? Vad skyddar brandväggen inte mot? För att besvara våra frågor har vi använt oss av tre metoder; litteraturstudie, test av tre stycken brandväggar och intervjuer med två personer med kunskaper inom datasäkerhet. Vi har med hjälp av metoderna kommit fram till att beroende på att en av de tre undersökta brandväggarna släppte igenom en trojan, trots att denna brandvägg sade sig stoppa sådana, så håller inte alla brandväggar vad de lovar. På grund av många användares omedvetenhet om farorna eller brist på insikt om sin egen utsatthet men även på grund av att hotbilden är så föränderlig, är det svårt, för att inte säga omöjligt att uppnå full datasäkerhet. I och med dessa slutsatser har vi verifierat vår hypotes; ?Brandvägg ? falsk säkerhet! En brandvägg kan invagga i falsk säkerhet, då datasäkerhet är ett komplext område.? Detta betyder inte att vi inte vill rekommendera hemmaanvändare att installera brandvägg, tvärtom ser vi det som ett mycket viktigt steg mot bra datasäkerhet, speciellt vid bredbandsuppkoppling, men man kan inte stanna vid det. Det krävs antivirusprogram som ofta uppdateras och en medvetenhet angående farorna, även denna medvetenhet måste ?uppdateras? då hotbilden hela tiden förändras.

<p>Arbetet syftar till att skapa en allmän förståelse för ämnet brandväggar. Rapporten skall ge läsaren en god grund för att kunna föra vidare resonemang om brandväggar.</p><p>Rapporten inleds med bakgrundsinformation som skall hjälpa läsaren att lättare förstå ämnet. Här beskrivs kort vad en brandvägg är och vilka komponenter som ingår. För att sätta detta i ett vidare sammanhang så beskrivs också vilka olika typer av brandväggar som finns. En beskrivning över Internet och dess struktur hjälper också läsaren att få mer kunskap och detta krävs för att få förståelse över de sammanhang som senare tas upp.</p><p>Som metoder har jag använt mig av intervjuer och litteraturgenomgång. I intervjun har jag använt mig av tre personer, en säkerhetsexpert, en systemadministratör och en hacker. Denna blandning av personligheter har resulterat i en stor bredd i svarsinformationen. I litteraturgenomgången har jag använt mig av två kända böcker som givit mycket värdefull information.</p><p>Brandväggar behövs för att skydda interna nätverk från intrång från andra nätverk som t.ex. Internet. Rapporten fördjupar sig i varför man skall ha en brandvägg och vad syftet är med den. Problemen med brandväggar är många och det är ett hett samtalsämne i tidningar och media. De flesta intrång som sker beror ofta på att en brandvägg saknas eller att den är fel konfigurerad. Rapportens syfte är här att ta fram kända brister i brandväggar och fördjupa sig i dem. En rad brister har uppkommit genom arbetets gång, svårigheter att konfigurera och administrera, svaga lösenord, virus o.s.v.</p><p>Rapporten går även igenom de verktyg som kan användas för att upptäcka luckor eller hål i brandväggar. En rad olika verktyg nämns, SATAN, CRACK, Shadow, COPS m.m.</p><p>I slutet av rapporten finns ett avsnitt med tips och råd för ett säkrare nätverk. Detta avsnitt kan användas av systemadministratörer och dylikt för att få tips och råd som denna rapport mynnat ut i.</p>

Detta kandidatarbete utreder hur väl två operativsystems inbyggda brandväggar fungerar i symbios med en användares vanligaste tjänsteutnyttjande på Internet, samt att se hur likartade de är i sitt skydd från hot. De två operativsystemen som vi utgick ifrån var Microsoft Windows XP samt Red Hat Linux 8.0. Den hypotes vi arbetat kring lyder enligt följande: De två inbyggda brandväggarna är i stort likartade rörande skydd från hot på Internet och uppfyller användarnas tjänsteutnyttjande. De metoder vi använt, för att svara på vår frågeställning, har delats upp i ett funktionalitetstest och ett säkerhetstest. I funktionalitetstestet provades de vanligaste Internettjänsterna med den inbyggda brandväggen och ifall det uppstod några komplikationer eller ej. De två inbyggda brandväggarna genom gick i säkerhetstestet skannings- och svaghetskontroll via ett flertal verktyg. Genom resultatet kan vi konstatera att de inbyggda brandväggarna klarar av de vanligaste tjänsterna på Internet, men att en skillnad föreligger hos dem vad gäller exponeringen ut mot Internet. Windows XP ligger helt osynligt utåt, medan Red Hats inbyggda brandvägg avslöjar en mängd information om värddatorn, som kan komma att användas i illvilliga syften. Slutsatsen blev att vi avslutningsvis falsifierade vår hypotes då de två inbyggda brandväggarna ej var jämlika i sitt skydd mot yttre hot på Internet.

<p>The goal of this report is to investigate firewalls from both the software and the hardware architecture on their security, functionality, effectives and how the configuration works. The test will consist of scans from Nessus and Nmap which both scans for information and vulnerabilities on the target device. The scans will be performed by first make a basic configuration of the firewall to test its base security. In the second scan will the devices be security configured and rescanned to give an overview on how secure they have become. The target software firewalls used in this test consists of a Debian 4.0, Mikrotik and a Windows 2003 server. The Debian and Windows distributions are both a full OS and have firewall capabilities while Mikrotik is a Linux distribution optimized to work as a firewall. A Cisco 2801 router will also be tested as it is a hardware device optimized for packet handling and have firewall capabilities, and as a router it's likely to already be in a company's network. Finally a Cisco ASA 5510 hardware firewall will be tested to show how a device designed as a firewall will compare to the other devices. The result shows that a Device like the ASA 5510 is clearly superior to any of the other devices in its performance, however the cost efficiency might be in question. The use of a software firewall might be more cost efficient, but might also be more vulnerable as other applications can be run at the OS.</p>

Den här undersökningen jämför prestanda hos tre olika firmwares som är baserade på öppen källkod. DD-WRT, Open-WRT samt Tomato Firmware för MIPS-arkitektur. Testerna följer två RFC som beskriver hur en prestandaanalys av ett nätverk ska genomföras. De sammanfattade resultaten pekar på en vinnare som presterat generellt bättre genom alla tester och det var Tomato firmware. Dessa resultat är hämtade från tre olika tester: genomströmningstest, svarstidstest och test med samtidiga sessioner. Undersökningen visar också att prestandan rent generellt är väldigt jämlik över alla firmwares i de olika testerna. En viktig aspekt är att det finns ingen överlägsen vinnare, vilket beror på, till exempel, hur konsekventa resultaten varit. Detta hänger även ihop med en möjlig slutsats där firmwaresen presterar olika bra beroende på vilken typ av uppgift det gäller. Som fortsatt arbete rekommenderas prestanda och funktionsanalys av liknande verktyg som varje firmware innehåller. Även en undersökning gällande gränssnittet för varje firmware skulle vara intressant.<br>This investigation compares the performance of three different open-source firmwares. DD-WRT, Open-WRT and Tomato Firmware with MIPS architecture. The test follows two RFC that describes the process of how to perform a performance analysis of network interconnected devices. The summarized results show a winner which has generally performed better throughout all the tests and this was Tomato firmware. These results are gathered from three different tests, which is throughput, latency and concurrent sessions test. The survey also shows that the performance in general is very equal across all firmwares in the various tests. An important aspect is that there are no outstanding winner, which depends on for example how consistent the results have been. This also concerns a possible conclusion where the firmwares perform various well depending on the type of task involved. As further work on this investigation we recommend a performance and function analysis of the tools that the firmware contains. Although a survey of the interface for each firmware would be interesting.

Utställningsrummet för gatukonst växte fram långsamt på Kronobergsgatan 35. Genom att följa utvecklingsprocessen, platsen och verken som visats undersöker jag hur väggen växer fram till en hybrid som inte bara är ett utställningsrum. Det är även centrum för urban konst i Stockholms offentliga rum. Utställningsrummet är ett ovanligt inslag i en stad som fortsatt är präglad från en långvarig nolltolerans. Curering av väggen återspeglar ett utbildningssyfte för att visa att graffiti är mer än klotter. Jag undersöker vilka aktörer som är inblandade och deras mål med väggen utifrån curating teori. Väggen har flera intressenter. Kollektivet Livet som curerar väggen har en bakgrund inom graffiti och i sitt arbete att etablera konstformen kommer de även närmare att institutionalisera den, något som går emot dess historiska roll som subkultur. I mitt arbete studerar jag var utställningsrummet placerar sig i förhållande till graffitikulturen kontra konstinstitutionen. Fastighetsägaren står för resurserna och ser mot förmodan en slags vinst i sin investering, jag har döpt denne till konsthandlaren som förmedlar konsten till betraktaren. Att konsthandlaren associerar företaget till kulturella åtaganden gynnar företagsprofilen i ansamlande av kulturellt kapital. Utställningsrummet är även starkt påverkat av dess position i Stockholms centrala offentliga rum. Det skapar debatt om vem som får ta plats i stadsrummet och vilken konst som bör finnas, en debatt som curatorn välkomnar. Det är en debatt som potentiellt involverar hela staden, där alla är potentiella konstkritiker. Görandet av plats skapas i samverkan mellan tjänstemännen som formar stadsrummet och aktörerna som verkar i det. Jag undersöker denna samverkan och hur de förhåller sig till sina motsättningar.<br>I have followed the process of development of Kronobergsgatan 35 as an exhibition room for street art and graffiti in Stockholms public space. By interviewing the curators and analyzing with referens to institutional- and curating theory my aim has been to investigate the surrounding circumstances for said exhibition. Stockholm has a history of zero tolerance which makes this exhibition room a rare sight. The curators has, with an educational agenda, wanted to normalize graffiti as an artform but in so doing places the exhibition somewhere between it's subcultural history and the established art institution. The wall is made possible by the contribution of the property owner. I investigate the possible purposes of this investment and how association with culture affiliations could have positive effect on a business profile by obtaining cultural capital.  As an exhibition room in public space it works with and in contrast to the official public art of the city. I investigate this relationship between official and unofficial public art and the discussion of a democratic public space.

<p>Målet med projektet var att skapa en applikation för Ericsson AB R&D som kan hjälpa till att analysera datatrafiken i deras nätverk (ECN). Det finns tre stycken accesspunkter till ECN som skyddas av brandväggar. Alla datauppkopplingar genom brandväggarna lagras dygnvis i loggar. Genom loggarna kan obehörig trafik upptäckas. Ett verktyg som analyserar brandväggsloggarna underlättar arbetet.</p><p>Resultatet av mitt examensarbete är en applikation som är skriven i Perl. Programmeringsspråket Perl valdes för dess effektiva texthantering. Programmet exekveras genom terminalen (Solaris) / kommandoraden (Windows). De två viktigaste funktionerna är Searchlog och Check. Searchlog hanterar sökning av IP-adresser och Check kontrollerar att det inte finns några säkerhetsöverträdelser i brandväggsloggarna. Funktionerna har konstruerats så att största vikt är lagd på exekveringstiden och korrekt utdata.</p><p>Slutsatsen av arbetet med brandväggsloggar är att det kräver testning för att få programmet att uppnå optimalt resultat. Perls reguljära uttryck var till stor hjälp i mitt arbete. De är bra vid behandling av stora mängder text. Minnesanvändningen kanske kan göras effektivare. Eftersom att exekveringstiden prioriterades kom det i andra hand.</p><br><p>The goal of this project was to construct an application that can analyze the traffic through the network (ECN) at Ericsson. There are three accesspoints to ECN protected by firewalls. The connections through the firewalls are logged daily. With the help from firewall logs unauthorized access can be found. A tool which analyzes the logs is therefore needed.</p><p>The program is made in the computer language Perl. Perl was chosen because of its superior text handling capabilities. The application is executed through the terminal/command line. The two most important functions are Searchlog and Check. Searchlog handles the IP-searching and the Check function searches for unauthorized connections in the firewall logs. Execution time and data integrity were the main goals that were strived for.</p><p>My conclusion is that working with firewall logs requires a lot of testing to achieve the best result. I realized that regular expressions is the easiest and most powerful tool to use when working with large amounts of text. Since the speed was prioritized and not memory usage there is room for memory improvement.</p>

The emphasize of this study is to evaluate security issues for home users having a personal computer connected to the Internet. It focus on the usage of advantages and disadvantages when using a firewall while connected to the Internet. The hypothesis is that it gives a better protection to install and use a firewall compared not to do so, due to security flaws in the operating system. The prediction was tested on a home user&apos;s personal computer. The testwork was divided into two major tests, each of them performed with, respectively without, a firewall. These major tests were divided into five smaller semi­ tests. The first semi­test without a firewall suffered from a virus or worm attack resulting in loss of data and log files. During the other tests no successful intrusion was detected. The conclusion of the study is that usage of a standard configured firewall provides a better protection for home users than not to use a firewall; and it&apos;s beneficial to update the operating system and other programs with security updates as soon as possible when they appear.

As more and more people gain access to broadband in their properties, the security threats get bigger. A lot more people also have computers that they carry home from work where they store important information concerning the company. The information stored on theese computers can be very easy to retrieve if you have the will and the skill to do it. Very few people have any knowledge how to protect themselves from theese threats.

Problemområde: Fler och fler privatpersoner kopplar upp sig mot Internet via bredband. En anledning till detta är att fastighetsbolagen allt oftare erbjuder sina hyresgäster fast uppkoppling. Vad hyresgästerna kanske inte tänker på när de är uppkopplade flera timmar i sträck, är att det är lättare för någon utomstående att göra intrång i deras datorer. Frågeställning: 1. Informerar bredbandsleverantörer sina kunder om risker för intrång? 2. Har bredbandsleverantörer någon skyldighet att informera sina kunder om risker för intrång och kan de ställas till svars för om deras kund utsätts för/gör intrång? 3. Anser bredbandsleverantörer att det är viktigt att deras kunder har en brandvägg? 4. Finns det något samband mellan ökat antal intrång och ökat antal bredbandsanvändare? Slutsats: Nästan en tredjedel av bredbandsleverantörerna informerar inte sina kunder om risker för intrång. De har inte någon skyldighet att informera om riskerna och som en följd av att sådan skyldighet saknas kan de inte ställas till svars för om kunden utsätts för/gör intrång. 78 % av leverantörerna rekommenderar sina kunder att installera en brandvägg, dock erbjuder endast en fjärdedel sina kunder brandvägg. Utifrån undersökningar har vi kommit fram till att ökat antal intrång och ökat antal bredbandsanvändare har ett samband.

Enligt Boverkets Byggregler 26 (BBR) kapitel 5:56 ska stora byggnader utformas så att omfattande brandspridning inom byggnaden begränsas. Det tillhörande allmänna rådet säger att detta bör uppfyllas genom att utforma byggnader med brandceller, brandsektioner, brandtekniska installationer eller en kombination av dessa. En brandsektion skiljer sig från en brandcell i det avseende att en brandsektion avskiljs från övriga delar av byggnader med brandväggar, det vill säga att större krav ställs på brandsektionens förmåga att motverka brandspridning inom byggnader. En brandsektion får dessutom omfatta en större area än en brandcell. En brandsektion kan vara uppdelad i en eller fler brandceller. Vidare anges av Boverkets allmänna råd att byggnader lämpligen delas upp i brandceller om högst 1 250 m2 eller brandsektioner av storlek som beror på brandbelastningen i brandsektionen, ju lägre brandbelastning desto större tillåten sektionsarea. Det allmänna rådet tillåter även ökningar av brandsektionens storlek om automatisk brandlarmanläggning och/eller automatisk vattensprinkleranläggning installeras. De allmänna råden i BBR kan dock frångås om det kan verifieras att en regel uppfylls på annat sätt. Detta kallas för analytisk dimensionering. Denna rapport är tänkt att besvara följande frågeställningar i syfte att kartlägga och jämföra olika metoder som används av brandkonsulter vid analytisk dimensionering av brandsektioner: Vilka metoder används av brandkonsulter vid analytisk dimensionering av brandsektioner? Är någon/några av dessa metoder mer frekvent använda än andra? Hur motiveras/verifieras dessa metoder? Kan någon/några av dessa metoder anses mer lämplig än andra? Metoderna som valdes för att ge bakomliggande teori till denna undersökning var en litteraturstudie samt en intervju med en tidigare anställd brandingenjör på Boverket. För att erhålla underlag till undersökningen kontaktades brandkonsulter från fem olika konsultföretag som delade med sig av utförda analyser. I ett fall deltog en brandkonsult i en intervju gällande dennes syn på analytisk dimensionering av brandsektioner istället för att dela med sig av dokumentation. Majoriteten av de erhållna analyserna grundar sig i scenarioanalyser med programmet FDS (Fire Dynamics Simulator), och övriga i kvalitativa bedömningar. Brandgasventilation används som skyddsåtgärd i sex av sju fall. Resultatet pekar på att den dominerande metoden vid stora avsteg är scenarioanalys med FDS och vid mindre avsteg är kvalitativa bedömningar vanligare. De kvalitativa bedömningarna bygger främst på logiska resonemang. Vid scenarioanalyserna används sinsemellan liknande acceptanskriterier i de olika fallen, med vissa variationer. Verifieringsmetoder presenteras också i olika omfattning i de olika fallen.<br>Chapter 5:56 in Boverkets Byggregler (BBR, Boverket’s building rules) states that large buildings are to be designed so that it limits a vast fire spread within the building. The associated general advice states that this should be accomplished by designing the building with fire cells, fire sections, fire safety related installations or a combination of these. A fire section differs from a fire cell in that a fire section is separated from other parts of the building with fire walls, which means that the requirement for preventing a fire spread within buildings is higher for a fire section. A fire section is also allowed to cover a larger area than a fire cell and can be divided in one or several fire cells. Boverkets general advice further states that buildings are appropriately divided into fire cells covering a maximum of 1 250 m2 or fire sections covering an area depending on the fire load, the lower the fire load the bigger the fire section is allowed to be. The general advice also allows an increase of the size of a fire section if an automatic fire alarm and/or an automatic sprinkler system is installed. However, the general advices in BBR can be deviated from by verifying that the associated rule is fulfilled in another manner. This is called analytic dimensioning. This report aims to answer the following questions for the purpose of mapping and comparing different methods used by fire protection consultants regarding analytic dimensioning of fire sections: What methods are being used by fire protection consultants for analytic dimensioning of fire sections? Are any of these methods more frequently used than others? How are these methods motivated/verified? Could any of these methods be considered more suitable than others? The methods chosen for obtaining underlying theory to this investigation were first a literature study and an interview with a former employed fire protection engineer at Boverket. In order to obtain information for the investigation fire protection consultants from five different companies were contacted who then shared completed analyses. In one case a fire protection consultant participated in an interview concerning their general view on analytic dimensioning of fire sections instead of supplying documentation from an analysis. Most of the analyses obtained are based on scenario analyses with the program FDS (Fire Dynamics Simulator), and the others on qualitative assessments. Fire gas ventilation is used as a safety measure in six out of seven cases. The results points towards the dominating method when dealing with larger deviations being scenario analyses, with FDS and qualitative assessments being more common when dealing with smaller deviations. The qualitative assessments in this report are mostly based on logical reasonings. The different scenario analyses use similar criteria of acceptance, with some variations. Methods of verification are also presented in the different cases, in different extent.

<p>Arbetet har gjorts åt Saab Security Systems i Växjö. Syftet med arbetet har varit att ta fram ett generellt distribuerat informationssystem som ska användas för informationsspridning på en flygplats. Från Saabs sida är målet med att införa ett nytt informationssystem att få en generell standard för hur informationsspridning ska gå till. På det nya informationssystemet ställs krav på flexibilitet, att det ska vara utbyggningsbart, att det ska finnas möjlighet att ansluta nya aktörer samt att det ska vara en tjänstebaserad arkitektur. Den övergripande frågställningen för arbetet har varit som följer.</p><p>Kan tjänstabaserad arkitektur vara en lösning för hur information kan överföras på ett säkert sätt mellan flygklubbarna och flygledartornet?</p><p>Under arbetets gång har en teoretisk studie gjorts där fem olika mellanprogram jämförts utifrån transport av information, tjänstebeskrivning, tjänsteregistrering och upptäckt samt säkerhet. Jämförelsen hade fokus på flexibilitet och visade att Jini, CORBA och Web Services var de bästa lösningarna. Dessa tre mellanprogram jämfördes sedan ur ett säkerhetsperspektiv.</p><p>Det som studerades var vilka lösningar som finns för integritet, attestering och verifiering. Dessutom testades hur kommunikation med de tre olika mellanprogrammen fungerar genom en brandvägg.</p><p>Efter den teoretiska genomgången samt testerna med brandväggen så valdes Web Services för den implementation som skulle utföras. Jag valde Web Services eftersom det var det mellanprogram som fungerade bäst vid kommunikation genom en brandvägg.</p><p>Implementationen som utförts inom ramarna för examensarbetet är en applikation för att möjliggöra för flygklubbar att boka tid för start vid Göteborg City Airport och skulle visa på konceptet för informationssystemet och den säkerhet som behövs.</p><p>Arbetet med olika tjänstebaserade lösningar visar att detta sätt att bygga ett informationssystem för flygplatsen lämpar sig väl. Flexibilitet vad gäller möjligheten att koppla upp sig mot systemet från olika plattformar krävs då det finns många aktörer och detta är SOA en lösning på. Det är även en viktig aspekt att det finns möjlighet för de säkerhetslösningar som anses nödvändiga.</p><p>Testningen av systemet visade att dessa säkerhetslösningar fungerade för implementationen av tidsbokningstjänsten.</p>

Bakgrund: Personer som använder Internet kan bli övervakade och profilerade av bland annat spionprogram och cookies på webbsidor. Dessa spion-program och dolda filer kan samla ihop information om användaren som skickas tillbaka till sändaren. Detta sker ofta utan användarens vetskap. Företag som placerar spionprogram i fildelningsprogram har syftet att samla information för att sedan rikta reklam till privatpersoner. Den information som kommer tillbaka kan säljas vidare i undersökande syfte för reklam till en tredje part. Frågeställning: 1) I vilken omfattning är en privatperson utsatt för spionprogram och spioncookies på Internet? 2) Vilka metoder används för att samla information? 3) Vad är det för information som samlas in och i vilket syfte? 4) Hur kan en privatperson skydda sig på Internet? Metod: För att besvara frågorna har vi utfört tester med antispyware och brandväggar samt genomfört en intervju. Slutsats: Genom användandet av Internet idag skyddas inte en privatpersons integritet. Sättet som information utbyts genom Internet avslöjar en hel del om användaren. Skydd av personlig Integritet på Internet borde vara en självklarhet men så fungerar det inte idag. Det finns dock tekniker som kan ge skydd för den personliga integriteten. Ansvaret vilar på varje privat användare som måste ta reda på kunskapen själv, är privatpersoner någorlunda insatta i vilka program som skall användas så kan hoten avvärjas till stor del.

Firewalls are one of the most common security tools used in computer networks. Its purpose is to prevent unwanted traffic from coming in to or out of a computer network. In Linux, one of the most common server operating system kernels available, iptables has been the go-to firewall for nearly two decades but a proposed successor, nftables, is available. This project compared latency and throughput performance of both firewalls with ten different rule-set sizes and seven different frame sizes using both linear look-ups and indexed data structures. Latency was measured through the round-trip time of ICMP packets while throughput was measured by generating UDP traffic using iPerf3. The results showed that, when using linear look-ups, nftables performs worse than iptables when using small frame sizes and when using large rule-sets. If the frame size was fairly large and rule-set fairly small, nftables was often performed slightly better both in terms of latency and in terms of throughput. When using indexed data structures, performance of both firewalls was very similar regardless of frame size or rule-set size. Minor, but statistically significant, differences were found both in favour of and against nftables, depending on the exact parameters used.<br>Brandväggar är en av de vanligaste säkerhetsverktygen som används i datornätverk. Dess syfte är att förhindra oönskad trafik att komma in på eller lämna ett datornätverk. I Linux, en av de vanligaste operativsystemkärnorna som används i serversystem, har iptables varit den rekommenderade brandväggen i nästan två årtionden men en tänkt ersättare, nftables, är tillgänglig. Detta projektet jämförde latens och genomströmning för båda brandväggarna med tio olika storlekar på regeluppsättning samt sju olika ramstorlekar genom både linjära regeluppslag och indexerade datastrukturer. Latens mättes genom tur- och returtid för ICMP-paket medan genomströmning mättes genom att generera UDP-trafik med iPerf3. Resultaten visade att, när linjära regeluppslag användes, nftables presterade sämre än iptables när små ramstorlekar användes samt när stora regeluppsättningar användes. Om ramstorleken var relativt stor samt regeluppsättningen relativt liten presterade nftables något bättre än iptables både i fråga om latens och i fråga om genomströmning. När indexerade datastrukturer användes var prestandan för bägge brandväggarna jämförbar oavsett ramstorlek eller storlek på regeluppsättning. Mindre, men statistiskt signifikanta, skillnader fanns både till nftables för- och nackdel, beroende på vilka parametrar som användes.

Software defined wide area networks (SD-WAN) is a relatively new concept for enterprises to structure their networks throughout sites. This thesis was to find best practices for enterprises wanting to transition their current infrastructure to SD-WAN with multiple factors considered. To accomplish this, results gathered from literature reviews, lab testing and interviews with employees from two different enterprises was made.  What was accomplished from the literature review was an overview from Equity Office’s transition to SD-WAN which gave a positive result, as well as a cost of ownership tests with Talari SD-WAN units by NSS Labs. Lab testing with Talari SD-WAN units and a cloud site from Amazon Web Services resulted in improvements in performance and stability compared to a local traditional setup to the cloud site, especially on multiple simultaneous connections. Lastly, results from interviews provided deep insight on how the enterprises planned the transition, what results were expected as well as gained profits in forms of cost and effectivity.  A definitive best practice which every enterprise should follow could not be made. Instead, best practices were found by factoring in different criteria that are unique for different enterprises. For future work, narrowing down to one methodology with more resources, could help in obtaining more realistic and accurate results.<br>Mjukvarudefinierade wide area networks (SD-WAN) är ett relativt nytt koncept för företag att strukturera sina nätverk genom sina kontor. Projektets mål var att hitta bästa praxis för företag som vill övergå från sin nuvarande infrastruktur till SD-WAN med hänsyn till flera faktorer. För att uppnå detta samlades resultat in från litteraturstudier, tester med laboration och intervjuer med anställda från två olika företag.  Det som uppnåddes från litteraturstudien var en översikt över Equity Offices övergång till SD-WAN vilket gav ett positivt resultat, samt en överblick av tester på ägandekostnader med Talari SD-WAN enheter som utfördes av NSS Labs. Tester med Talari SD-WAN enheter och en molnuppsättning på Amazon Web Services resulterade i förbättringar i prestanda och stabilitet jämfört med en lokal traditionell uppsättning till molnet, särskilt vid parallella anslutningar. Slutligen gav resultaten från intervjuer en djup inblick i hur företagen planerade övergången, vilka resultat som förväntades samt vinster i form av kostnad och effektivitet.  En slutgiltig bästa praxis som varje företag bör följa kunde inte bestämmas. Istället hittades bästa praxis genom att ta hänsyn till olika kriterier som är unika för olika företag. För framtida arbeten kan man smala ner arbetet till en typ av metodik med mer resurser, för att hjälpa till med att få mer realistiska och korrekta resultat.

Firewalls help protect computer networks from intrusions and malware by enforcing restrictions on what network traffic is allowed to pass through the firewall into the network. This thesis explores the role of firewalls in network security, with the ultimate goal of advancing attempts to create a threat model for firewalls. Five areas are explored, namely: Definitions of Concepts Firewalls vs. Services as Targets for Direct Attack The Past and Future of Firewalls Approach to Estimating Firewall Security Firewall Configuration and Security Policies These areas are explored using a questionnaire survey. Each question in the questionnaire is either tied to a particular area, or is used to evaluate the respondents’ credibility. The questionnaire has 15 questions, many of which ask for free text answers. The group of potential respondents consists of 209 individuals, of whom about 75 % are authors of scientific articles that discuss firewalls, penetration testing, and other relevant topics. The rest are information security professionals, journalists or bloggers of varying merit that were found online. 20 responses to the questionnaire were received. Responses to qualitative questions were codified to produce some quantitative data. The conclusions drawn based on the results include, among other things: Attackers tend to directly target network services rather than firewalls. Respondents disagreed on whether the role of firewalls is currently changing. A possible approach to estimating firewall security takes into account the network services that the firewall protects. Firewall configurations frequently do not match the security policies of the organizations in which the firewalls are deployed.<br>Brandväggar hjälper att skydda datornätverk från intrång och skadeprogram genom att begränsa den trafik som tillåts passera genom brandväggen in i nätverket. Denna uppsats utforskar brandväggars roll i nätverkssäkerhet med målet att göra framsteg i försök att skapa en hotmodell för brandväggar. Fem områden utforskas, nämligen: Definitioner av begrepp Brandväggar kontra tjänster som mål för direkta angrepp Brandväggens historia och framtid Tillvägagångssätt för att estimera brandväggssäkerhet Brandväggskonfiguration och säkerhetspolicyer Dessa områden utforskas via en enkätstudie. Varje fråga i enkäten tillhör antingen ett specifikt område, eller används för att evaluera respondenternas trovärdighet. Enkäten har 15 frågor, varav många efterfrågar fritextsvar. Gruppen potentiella respondenter består av 209 individer, varav cirka 75 % är författare av vetenskapliga artiklar som behandlar brandväggar, penetrationstestning och andra relevanta ämnen. Resten är professionella säkerhetskonsulter, journalister eller bloggare med olika meriter inom informationssäkerhet eller nätverk. 20 svar på enkäten togs emot. Svar på kvalitativa frågor klassificerades för att producera kvantitativ data. Slutsatserna som drogs baserat på resultaten inkluderar bl.a.: Angripare tenderar att ha nätverkstjänster som sina direkta mål, snarare än brandväggar. Respondenterna var oense om huruvida brandväggars roll just nu förändras. Ett möjligt tillvägagångssätt för att uppskatta brandväggssäkerhet tar hänsyn till de nätverkstjänster brandväggen skyddar. Brandväggskonfigurationer överrenstämmer ofta inte med säkerhetsriktlinjerna i de organisationer där brandväggarna är i bruk.

As advancement and usage of data communication has increased exponentially on a global scale, with a devastating exposure to attacks and varying security threats to home offices as well as to large enterprises, there is always a need for enhanced network protection. The IT department of the company OneDefence, located in western Sweden, was chosen for the thesis and based on the stated information from the organisation, aims were set on how to improve their network defence capabilities. The aim of this thesis is to list ten countries posing the most serious IT threats, and to limit the attack surface of OneDefence’s IT network as much as possible while still providing the necessary services to users abroad. After researching the countries, a prototype was set up to mimic OneDefence’s topology of interest and test attacks were conducted as detailed in the Methodology chapter. The results of the investigations showed the countries posing most serious cyber threats included China, Russia and North Korea among others which were statistically calculated based on the total number of recognised cyberwarfare attacks. The results obtained from the different DoS attacks in the prototype showed that an IPS should be at the heart of an organisation's network defence for combating these intrusions, as well as potentially other types. With the help of a prototype built based on the organisation's topology, several attacks were somewhat successfully mitigated with the equipment used on hand, with only a low percentage of packets allowed to pass through the security unit. Lastly, to explore further enhancements of defence capabilities of OneDefence, a comparison between different products and devices were performed. This resulted in products from the Fortinet brand such as FortiGate NGFW and UTM capabilities as they are offering several advantages compared to competitors.<br>Då stora framsteg och användning av datakommunikation har ökat exponentiellt på en global skala, med en förödande exponering av attacker och säkerhetshot mot hemanvändare såväl som stora företag, finns detalltid ett behov av förbättrad nätverksskydd. IT-avdelningen hos företaget OneDefence, valdes för att utföra examensprojektet och baserade sig på organisationens angivna information för att förbättra deras nätverksförsvar. Syftet med denna rapport är att sammanställa en lista på tio länder som utgör de allvarligaste IT-hoten i världen, samt begränsa attackytan för organisationens nätverk så mycket som möjligt medan man behåller alla nödvändiga tjänster till användare utomlands. Efter att ha undersökt länderna, anordnades en prototyp för att efterlikna delar av OneDefences topologi av intresse och testattacker utfördes enligt metodologikapitlet. Resultaten av utredningarna visade att från de länder som utfört de allra allvarliga cyberhoten inkluderade bland annat Kina, Ryssland och Nordkorea, som har beräknats statistiskt baserat på antalet igenkända cyberwarfare attacker. Resultaten från de olika DoS-attackerna visade att en IPS bör vara kärnan i en organisations nätverksförsvar för att kunna bekämpa dessa intrång, samt potentiellt andra typer. Med hjälp av den prototyp som byggdes baserad på organisationens topologi, blockerades flera attacker rätt framgångsrikt, med en låg procentandel av paketen som gick genom säkerhetsenheten. Slutligen utforskades ytterligare förbättringar av försvarsförmågan hos organisationen genom att jämföra olika produkter och enheter. Detta resulterade i produkter från Fortinet-varumärket såsom FortiGate NGFW med UTM förmåga, då de erbjuder flera fördelar jämfört med konkurrenter.

<p>Syftet med den här rapporten är att beskriva ett antal olika tillvägagångssätt man kan använda sig av då man har behov av att dela in ett lokalt nätverk i olika segment och med det även kunna reglera trafikflödet mellan segmenten. De lösningar som presenteras i arbetet är inriktade mot mikro- och småföretag.Anledningen till att vi har valt att arbeta med det här området är att vi anser att det är viktigt för organisationer att har en strukturerad och segmenterad design på sitt interna datornätverk.Vi har arbetat genom att i förväg samla in information om olika tekniker som kan tänkas lösa vårt problem, och därefter testat olika scenarion med dessa tekniker. Data har samlats in efter varje genomfört scenario och sammanställts i statistisk form för att kunna avgöra vilken metod som var att föredra.Vi har testat lösningar där man segmenterar nätverket i en lager 2-switch medan man möjliggör och förhindrar trafikflöde mellan segmenten i en router. Även lösningar där man använder en lager 3-switch har testats. På så sätt kan routningen ske direkt i switchen och det blir betydligt mindre belastning i routern. Resultatet visar att då man vill segmentera ett nätverk så är det rekommenderat att man använder sig av VLAN och ACL:er och eventuellt i kombination med en brandvägg.Slutresultatet av rapporten är att en lösning med ”router on a stick” är den billigaste lösningen och troligen den som de flesta mindre företag skulle klara sig med. Vilken lösning man väljer beror dock helt på hur mycket pengar man vill lägga på sitt nätverk samt vad kraven är.</p><br><p>The purpose of this report is to describe a number of approaches that can be used when you are in need of dividing a local area network in a number of segments, and with that also be able to control how data traffic is allowed to traverse between the different segments. The solutions that are presented are focused towards micro and small companies.The reason that we have chosen to work with this matter is that we believe it is important for organizations to have a structured and segmented design of its internal computer network.We have been working by in advance collecting information about various techniques that might solve our problem, and then testing different scenarios using these techniques. Data have been collected after each tested scenario and compiled in statistical form in order to determine which method that was preferable.We have been testing solutions were you segment the network in a layer 2 switch while you allow or deny communication between the segments in a router, and also solutions were you use a layer 3 switch. In that way you can let the routing be performed in the switch, which leads to significantly lower load on the router. The result was that if you are about to segment a local area network it is recommended that you use VLAN and ACL:s, and possibly in combination with a firewall.The final result of this report is that a solution using the “router on a stick”-technique is the cheapest one, and probably the one that most small companies would get along with. However, the solution that you choose depends completely on how much money you want to spend on your network, and also what the needs are.</p>

Economic incentives and the need to efficiently deliver Internet have led to the growth of Internet eXchange Points (IXPs), i.e., the interconnection networks through which a multitude of possibly competing network entities connect to each other with the goal of exchanging traffic. At IXPs, the exchange of traffic between two or more member networks is dictated by the Border gateway Protocol (BGP), i.e., the inter-domain routing protocol used by network operators to exchange reachability information about IP prefix destinations. There is a common “honest-closed-world” assumption at IXPs that two IXP members exchange data traffic only if they have exchanged the corresponding reachability information via BGP. This state of affairs severely hinders security as any IXP member can send traffic to another member without having received a route from that member. Filtering traffic according to BGP routes would solve the problem. However, IXP members can install filters but the number of filtering rules required at a large IXP can easily exceed the capacity of the network devices. In addition, an IXP cannot filter this type of traffic as the exchanged BGP routes between two members are not visible to the IXP itself. In this thesis, we evaluated the design space between reactive and proactive approaches for guaranteeing consistency between the BGP control-plane and the data-plane. In a reactive approach, an IXP member operator monitors, collects, and analyzes the incoming traffic to detect if any illegitimate traffic exists whereas, in a proactive approach, an operator configures its network devices to filter any illegitimate traffic without the need to perform any monitoring. We focused on proactive approaches because of the increased security of the IXP network and its inherent simplified network management. We designed and implemented a solution to this problem by leveraging the emerging Software Defined Networking (SDN) paradigm, which enables the programmability of the forwarding tables by separating the controland dataplanes. Our approach only installs rules in the data-plane that allow legitimate traffic to be forwarded, dropping anything else. As hardware switches have high performance but low memory space, we decided to make also use of software switches. A “heavy-hitter” module detects the forwarding rules carrying most of the traffic and installs them into the hardware switch. The remaining forwarding rules are installed into the software switches.We evaluated the prototype in an emulated testbed using the Mininet virtualnetwork environment. We analyzed the security of our system with the help of static verification tests, which confirmed compliance with security policies. The results reveal that with even just 10% of the rules installed in the hardware switch, the hardware switch directly filter 95% of the traffic volume with nonuniform Internet-like traffic distribution workloads. We also evaluated the latency and throughput overheads of the system, though the results are limited by the accuracy of the emulated environment. The scalability experiments show that, with 10K forwarding rules, the system takes around 40 seconds to install and update the data plane. This is due to inherent slowness of emulated environment and limitations of the POX controller, which is coded in Python.<br>Ekonomiska incitament och behovet av att effektivt leverera Internet har lett till tillväxten av Internet eXchange Points (IXP), dvs de sammankopplingsnät genom vilka en mängd möjligen konkurrerande nätverksenheter förbinder varandra med målet att utbyta trafik. Vid IXPs dikteras utbytet av trafik mellan två eller flera medlemsnät av gränsgatewayprotokollet (BGP), dvs det inter-domänroutingprotokollet som används av nätoperatörer för att utbyta tillgänglighetsinformation om IP-prefixdestinationer. Det finns ett gemensamt antagande om "honest-closed-world" vid IXP, att två IXP-medlemmar endast utbyter datatrafik om de har bytt ut motsvarande tillgänglighetsinformation via BGP. Detta tillstånd försvårar allvarligt säkerheten eftersom varje IXP-medlem kan skicka trafik till en annan medlem utan att ha mottagit en rutt från den medlemmen. Filtrering av trafik enligt BGP-vägar skulle lösa problemet. IXPmedlemmar kan dock installera filter men antalet filtreringsregler som krävs vid en stor IXP kan enkelt överskrida nätverksenheternas kapacitet. Dessutom kan en IXP inte filtrera denna typ av trafik eftersom de utbytta BGP-vägarna mellan två medlemmar inte är synliga för IXP-enheten själv.I denna avhandling utvärderade vi utrymmet mellan reaktiva och proaktiva metoder för att garantera överensstämmelse mellan BGP-kontrollplanet och dataplanet. I ett reaktivt tillvägagångssätt övervakar, samlar och analyserar en inkommande trafik en IXP-medlem för att upptäcka om någon obehörig trafik finns, medan en operatör konfigurerar sina nätverksenheter för att filtrera någon obehörig trafik utan att behöva övervaka . Vi fokuserade på proaktiva tillvägagångssätt på grund av den ökade säkerheten för IXP-nätverket och dess inneboende förenklad nätverkshantering. Vi konstruerade och genomförde en lösning på detta problem genom att utnyttja det nya SDN-paradigmet (Software Defined Networking), vilket möjliggör programmerbarheten hos vidarebefordringsborden genom att separera kontrolloch dataplanerna. Vårt tillvägagångssätt installerar bara regler i dataplanet som tillåter legitim trafik att vidarebefordras, släppa allt annat. Eftersom hårdvaruomkopplare har hög prestanda men lågt minne, bestämde vi oss för att även använda programvaruomkopplare. En "heavy-hitter" -modul detekterar vidarebefordringsreglerna som transporterar större delen av trafiken och installerar dem i hårdvaruomkopplaren. De återstående spolningsreglerna installeras i programvaruomkopplarna.Vi utvärderade prototypen i en emulerad testbädd med hjälp av virtuella nätverksmiljö Mininet. Vi analyserade säkerheten för vårt system med hjälp av statiska verifieringsprov, vilket bekräftade överensstämmelse med säkerhetspolicyerna. Resultaten visar att med bara 10% av de regler som installerats i hårdvaruomkopplaren filtrerar hårdvaruomkopplaren direkt 95% av trafikvolymen med ojämn Internetliknande trafikfördelningsarbete. Vi utvärderade också latensoch genomströmningsomkostnaderna för systemet, även om resultaten begränsas av noggrannheten hos den emulerade miljön. Skalbarhetsexperimenten visar att med 10K-vidarebefordringsregler tar systemet cirka 40 sekunder för att installera och uppdatera dataplanet. Detta beror på inneboende långsamma emulerade miljöer och begränsningar av POX-kontrollern, som kodas i Python.

Paketfiltrering är en av nyckelfunktionerna i de flesta av dagens brandväggar, vilket gör paketfiltrering till en viktig del av det dagliga arbetet för många systemadministratörer. Sedan uppkomsten av paketfiltrering har nätverkskomplexiteten ökat drastiskt, Många av dagens tjänster har behov av olika protokoll för att kommunicera. I kombination med detta måste brandväggen bearbeta en större mängd data än tidigare för att tillgodose dagens nätverkstopologier.Denna studie syftar till att undersöka om det finns någon skillnad i prestanda mellan två moderna iterationer av de populära UNIX-brandväggarna IPtables och FreeBSD PF. Detta sker genom att de två brandväggarna utsätts för olika antal regler, samtidigt som de genomströmmas av olika stora paketflöden.De båda brandväggarna kommer att jämföras baserat på tre attribut, CPU, genomströmning och latens. tre olika bandbredder testas. 100, 500 och 1000Mbit/s. Testet omfattar längre tester som upprepas flera gånger för att öka studiens giltighet. Testerna som utförs görs på ursprungliga operativsystemet för varje brandvägg. Linux Ubuntu 16 för IPtables och FreeBSD 11 för FreeBSD PF.Studien kom fram till att brandväggarnas prestanda är likvärdiga i genomströmning och latens vid lägre regelmängder. Vid högre regelmängder skiljer sig prestandan och PF är bättre anpassad för stora regeluppsättningar. IPtables anses vara den bättre brandväggen för låga regeluppsättningar på grund av dess låga CPU-användning.<br>Packetfiltering is one of the key features in most of today’s firewalls. With many packetfilters being used daily in a system administrator’s work. Over the years since founding of the packetfilter technology the complexity of the network has increased drastically, where many of today’s services relies on different protocols to communicate, combined with a much larger amount of data that the firewall must process to satisfy todays network topologies.This study aims to explore if there is any difference in performance between two modern iterations of popular UNIX firewalls, IPtables and FreeBSD PF. By submitting them to different number of rulesets while at the same testing them under a series of different packet flows through the firewall.Both firewalls will be compared based on three attributes, CPU, throughput and latency, and three different bandwidths will be tested. 100, 500 and 1000Mbits/s. The test include longer tests that is repeated multiple times to increase the validity of the study. The tests were performed on the native operating system of each firewall. Linux Ubuntu 16 for IPtables and FreeBSD 11 for FreeBSD PF.The study concluded that the performance of the firewalls is equal in throughput and latency at lower volumes. At higher amounts of rulesets, performance is different between the firewalls and PF is considered better for large rules, while IPtables are considered to be a better firewall for low rulesets due to its low CPU usage.