Søg

Luk dit netværk ned - del 1

Hvis man forstår de 65.000 porte bag tcp/ip, kan man
styrke sit forsvar.

11. januar 2010 kl. 12.57
Artikel top billede

(Foto: Computerworld)

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Tcp/ip-protokollen, der ligger bag alt, hvad vi laver på internettet, blev udviklet dengang, man lagde større vægt på styrke end på sikkerhed. Det betød, at trafik altid ankom til det rigtige bestemmelsessted, men svagheder i den måde hvorpå tcp/ip er blevet implementeret, og i den software, hvortil den leverer data, betyder, at vi alle skal være forberedt på at blive angrebet, når vi er online. I denne guide lægger vi ud med at forklare, hvordan internettet begyndte, og hvordan det grundlæggende fungerer.

I begyndelsen

Det, vi i dag betragter som internettet, begyndte i slutningen af 1960’erne med det amerikanske forsvarsministeriums ARPANET. En central idé var, at ”pakker” af data kunne sendes mellem computere på det samme net.

Disse pakker blev sendt på den måde, at de blev leveret fra maskine til maskine langs et net af forbindelser, indtil de nærmede sig deres bestemmelsessted.

Computere, de såkaldte Interface Message Processors (IMP’er) afgjorde, hvordan pakkerne skulle leveres ved hvert forbindelsespunkt. I dag kalder vi disse apparater routere.

I modsætning til telefonsystemer, der dengang brugte en enkelt fysisk linje til at sende en enkelt samtale ad gangen, sendte pakkenettene flere pakker af information til forskellige bestemmelsessteder ad den samme linje - en efter en.

Det var langt mere effektivt. Hvis en del af nettet ikke kunne nås, kunne IMP’erne vælge at sende en pakke udenom, så den alligevel kunne nå frem.

Fordelene ved netforbundne computere blev indlysende i 1970’erne, og antallet af forskellige netprotokoller begyndte at blive en alvorlig flaskehals. Det store gennembrud for internettet, som vi i dag kender det, kom i 1973, da forskerne Vint Cerf og Robert E. Kahn opdagede, at man ved at lade hver værtscomputer bruge en fælles protokol kunne sende og modtage datapakker til og fra en hvilken som helst anden maskine, uanset hvilket fysisk netværk den brugte.

Pludselig kunne ethvert net, der brugte Cerf og Kahns tcp/ip (der står for Transmission Control Protocol/Internetworking Protocol), tale med et andet netværk nemt og driftssikkert. Alt, hvad producenten skulle gøre, var at programmere protokollen ind i operativsystemet.

Sådan virker tcp/ip

Afhængig af de data, der bliver transporteret, bliver pakkerne sendt ikke kun til bestemmelsesstedet, men også til en specifik software-”port”. Hver port håndterer forskellig applikationstrafik. Port 80, for eksempel, håndterer normal HTTP-webtrafik, mens port 443 håndterer HTTPS-krypteret webtrafik. E-mail bliver altid sendt over port 25, mens modtagelse finder sted over port 110.

Det tcp/ip-system, der kører på internettet i dag, bruger en serie af håndtryk, der sikrer, at data altid kommer igennem til den rigtige maskine. Og hvis det ikke sker, kan fejlen nemt rettes. Når computeren sender en pakke, sker der dette:

Først sender computeren til destinationscomputeren en pakke, der indeholder dens adresse, adressen på den maskine, den forbinder sig med, og nummeret på den port, som den vil have forbindelse med. Dette kaldes en SYN-pakke, og det står for synkronisering.

Pakken indeholder også et vilkårligt tal, der kaldes sekvenstallet. Hvis softwaren på den modtagende port accepterer forbindelsen, kvitterer den med en pakke, der kaldes SYN-ACK (synchronisation acknowledgement).

Denne pakke indeholder også et vilkårligt sekvenstal. Nu sender din pc en ACK-pakke tilbage til serveren. Denne teknik kaldes ”håndtryk”.

Når der er opnået forbindelse, begynder datatransmissionen. De pakker, der bliver sendt af ens computer, bliver mærket med det sekvenstal, den brugte, da den begyndte at skabe kontakt med destinationsmaskinen. Din computer inkluderer og øger dette tal i hver pakke, der bliver sendt.

Kombinationen af kilde- og destinations-ip-adresse, portnummeret og øgningssekvensen sikrer, at alle pakker kan identificeres. For hver pakke man sender, sender destinationscomputeren en kvitteringspakke, der fortæller, at den nåede sikkert frem. Hvis der ikke kommer en kvittering efter et bestemt tidsrum, skal pakken sendes igen. Næste gang kigger vi nærmere på, hvor sårbarhederne er, og hvordan du kan beskytte dig.

Test din sårbarhed

Når man vil vurdere sin onlinesikkerhed, kan det betale sig at se, hvordan andre ser ens netværk. Der er flere onlinetjenester til det formål. En af dem kommer fra T1shopper: www.tshopper.com/tools/port-scanner.

På denne side kan man se sin IP-adresse. Man kan indtaste en enkelt port for at se, om den er tilgængelig, og man kan scanne en række portnumre. Man kan også klikke ud for de hyppigst brugte porte i en tospaltet liste.

Hver port, der er lukket (det vil sige, at der ikke er tilknyttet software, og den er derfor ikke sårbar over for angreb), kvitterer med en linje, der fortæller, at den ikke svarer. Hvis ens firewall virker og er konfigureret rigtigt, burde alle disse test svigte.

En mere omfattende test – der viser, om der er et botnet eller anden form for malware, der lytter ved en bestemt port på computeren – får man ved at skrive et start- og slutportnummer, så scanner tjenesten dem individuelt og leder efter åbne porte.

Lad være med at misbruge denne tjeneste ved at skrive ”1” og ”65.535” (det højeste portnummer). Opfør dig pænt og skriv kun blokke med et maksimum på 500. Scanningen tager tid, så man skal være tålmodig. Til sidst burde man have et omfattende overblik over, hvor sårbart systemet er.

En dybdeborende beskrivelse af, hvordan tcp/ip virker, herunder indholdet af hver pakke: www.bit.Ly/akZzJ.

En online-portscanner, foruden andre værktøjer, der kan fortælle, om ens firewall slipper data ud: www.t1shopper.com/tools.

En mere avanceret portscanner, der bygger på den professionelle Nmap-scanner, kan findes her: www.nmap-online.com.

En beskrivelse af den syvlagsmodel, der bliver brugt af netsoftware: www.webopedia.com/quick_ref/OSI_Layers.asp.

En komplet liste over alle de porte, der er tildelt af Internet Assigned Numbers Authority, plus deres funktioner: www.bit.ly/Kn5lk.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge...

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Atomhistorier

[/themepacific_accordion_section]
[/themepacific_accordion]

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    IT-Universitetet i København

    IT-infrastrukturspecialist

    Københavnsområdet

    Capgemini Danmark A/S

    IGNITE Graduate Program 2026

    Midtjylland

    Qpurpose ApS

    Hiring talented and senior software engineers

    Fyn

    Netcompany A/S

    Linux Operations Engineer

    Nordjylland

    Se flere it-stillinger
    Årets CIO 2026

    Event: Årets CIO 2026

    Andre events | København

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    4. juni 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    netIP har pr. 19. januar 2026 ansat Jonas Grønbæk Pedersen som Datacenterkonsulent ved netIP's kontor i Herning. Han kommer fra en stilling som Netværksspecialist og Projektleder hos EFIF. Han er uddannet Datatekniker i 2016. Nyt job

    Jonas Grønbæk Pedersen

    netIP

    netIP har pr. 20. januar 2026 ansat Darnell Olsen som Datateknikerelev ved netIP's kontor i Herning. Han har tidligere beskæftiget sig med diverse opgaver omkring biludlejning, da han har været ansat hos Europcar. Nyt job

    Darnell Olsen

    netIP

    Idura har pr. 1. januar 2026 ansat Lars Mørch, 54 år, som VP of Sales. Han skal især beskæftige sig med Iduras salgsorganisation, implementere en ny go-to-market-model og sikre udviklingen af virksomhedens identitetsplatform. Han kommer fra en stilling som Regional Vice President hos Avallone. Han er uddannet på CBS og har en BA i Organization & Innovation. Han har tidligere beskæftiget sig med internationalt SaaS-salg og forretningsudvikling fra både scale-ups og globale teknologivirksomheder. Nyt job

    Lars Mørch

    Idura

    Mark Michaelsen, teknisk systemejer og projektleder hos Aarhus Kommune, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Mark Michaelsen

    Aarhus Kommune

    Se mere fra navnenyt

    Mest læste

    1 Microsoft Danmark indsætter ny direktør: To direktører forlader selskabet
    2 Overvåger medarbejderes AI-brug: Logger du ikke ind, kan du gå glip af forfremmelse
    3 Fejl har i flere uger fået Copilot til at snuse i følsomme emails
    4 Har udviklet helt ny teknik: Data lagret i almindeligt glas kan holde i 10.000 år - kan løse stort og dyrt problem
    5 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    6 Dansk top-profil: Den danske stat vil inden længe blive nødt til at overtage ejerskabet af vigtige it-teknologier
    7 Morgen-briefing: Opsigtsvækkende foto: Er der iskold luft mellem de to AI-topchefer? / Bill Gates aflyser stor keynote / Nu begynder etableringen af nyt søkabel mellem Danmark og Sverige
    8 Stjernen fra Reacher skal i kamp med en dræberrobot fra rummet

    Se seneste uge