TKK | Tietoverkkolaboratorio | Opetus  


Berliinin muuri kaatui, mutta palomuurit nousevat

 

 

Johdanto

Palomuuri

Palomuurityypit

Palomuurin käyttötarkoitus

Palomuurin suojaavuudesta

Pääsy internettiin

Tiedonvapaus internetissä

Laki, ihmisoikeudet ja internet

Internetin tuomat laillisuusongelmat

Yksityisyys viestinnässä

Ei-toivottu sisältö

Yhteystiedot & lähteet

 

 

Palomuurityypit

 

Palomuureja on kolmea eri tyyppiä:

1. Pakettisuodattimet

2. Yhteyssuodattimet

3. Sovellustason yhdyskäytävät (Proxy)

Tehokkaimmat palomuurit sisältävät kaikki kolme tasoa. Yleensä kaupalliset palomuurit ovat hybridijärjestelmiä, joissa verkkotason perussuodatusta lisätään vielä sovellustason yhdyskäytäväominaisuuksilla.

 

1. Pakettisuodattimet

IP-pakettien suodattaminen tapahtuu yleensä kahden verkon välisessä reitittimessä. Pakettien erotus sallii tietyt ehdot täyttävien pakettien mennä läpi, jos ehdot eivät täyty paketit suodatetaan pois.

Pakettisuodattimet eivät ole yhtä turvallisia kuin sovellustason palomuurit, niiden paras ominaisuus onkin nopeus. Pakettisuodatin saattaa päästää jotkin hyökkäykset läpi, ne voidaan kuitenkin eliminoida sovellustason yhdyskäytäväratkaisuilla.

Pakettisuodattimen kannalta tärkeät IP-paketin kentät:

IP-PAKETIN KENTTÄ

TARKOITUS

Vastaanottajan IP-osoite Palveluntarjoajan host-osoite
Lähettäjän IP-osoite Lähettäjän host-osoite
Ylemmän tason protokolla (UDP tai TCP) Palvelut riippuvat protokollasta
Vastaanottajan UDP- tai TCP- porttinro Ilmoittaa palvelun, esim. HTTP tai Telnet
Lähettäjän UDP- tai TCP- porttinro Normaalisti satunnaisluku > 1024

Taulukossa on esitettyjen paketin kenttien arvoja verrataan pakettisuodattimessa etukäteen määriteltyihin referenssiarvoihin. Jos ko. kentän arvo on sallituissa rajoissa paketti päästetään läpi, muuten ei.

(OSI-mallia tarkasteltaessa pakettisuodatin-tyyppinen palomuuri sijaitsee tasolla 3, verkkokerroksessa)

 

2. Yhteyssuodattimet

Yhteyssuodattimet valvovat liikennettä koko istunnon ajan ja estävät yhteyden sisään mikäli liikenne ei ole sallittua. Palomuuri käyttää tähän erillisiä yhteyden tilatietoja. Yhteyssuodattimista käytetään joskus myös nimitystä älykkäät pakettisuodattimet ja istuntosuodattimet.

Yhteyssuodatin toimii nimensä mukaisesti arvioiden koko yhteyttä eikä vain yksittäistä pakettia.

Yhteyssuodattimet, toisin kuin pakettisuodattimet, ovat rajoittavia palomuureja. Ne eivät salli paketin päästä läpi, mikäli paketti ei kuulu hyväksyttyyn istuntoon. Koko TCP/IP -liikenne siten kielletään. Pakettisuodatuksella toimivat palomuurit ovat sen sijaan sallivia palomuureja, sillä sellainenkin paketti voi päästä joskus palomuurin läpi, mikä ei kuulu sallittuun istuntoon. Tämä onkin pakettisuodattimen suurin tietoturvaongelma.

(OSI-mallia tarkasteltaessa yhteyssuodatin-tyyppinen palomuuri sijaitsee tasolla 5, yhteyskerroksessa)

 

3. Sovellustason yhdyskäytävä (Proxy)

Usein palomuurit tarvitsevat ohjelmistosovelluksen suodattamaan yhteyksiä palveluihin, kuten FTP ja Telnet. Näitä sovelluksia kutsutaan proxy-palvelimiksi, ja tietokone, jossa proxy toimii, kutsutaan sovellusyhdyskäytäväksi. Sovellusyhdyskäytävän avulla voidaan poistaa joitakin paketteja suodattavan reitittimen ongelmia.

Palomuurina toimiva proxy-palvelin toimii tutkimalla läpikulkevaa liikennettä sisäisen verkon palveluihin. Proxy-palvelin tarjoaa korkeamman tason suojauksen sisäiselle verkolle, koska ratkaisussa pystytään mm. hyödyntämään käyttäjän autentikointia, datan salausta
päästä päähän sekä tiedoston nimen ja kellonajan perusteella tapahtuvaa suodatusta.

Jokaista sisäisen ja ulkoisen verkon välillä toimivaa sovellusta varten on palomuuripalvelimessa oma sovellus nimeltään proxy. Esimerkiksi FTP- ja WWW-proxyja käytetään vastaavien sovellusprotokollien yhteyksien hallintaan. Kun verkon sisältä halutaan ottaa FTP-yhteys ulkoisen verkon koneeseen muodostetaan tätä yhteyttä varten oma ftp-proxyn esiintymä, jonka tehtävän on tarkkailla vain näiden kahden koneen välistä yhteyttä. Samalla proxy-sovelluksella voi siis olla useampia prosesseja yhtä aikaa käynnissä. Kaikki liikenne kulkee proxyn kautta niin, että suora kommunikaatio sisäisen ja ulkoisen verkon koneiden välillä on mahdotonta. Tästä johtuen proxy-ratkaisua hyödyntävät palomuurit ovat turvallisempia verrattuna pakettisuodattaviin palomuureihin.

 

Tärkeimmät kaupalliset proxy-sovellukset: 

Kaupalliset sovellusyhdyskäytävät tarjoavat yleensä laajan paketin sovellus-proxyja. Eri versiot mahdollistavat erilaista valvontaa, joten sovellusyhdyskäytävätuotteet on käytävä tarkoin läpi ennen hankkimista.

 

Kaupalliset sovellusyhdyskäytäväratkaisut toteuttavat yleensä seuraavia proxyja:

  • Telnet-proxy

  • FTP-proxy

  • web-proxy

  • Internetin sähköposti-proxy

  • Internetin palveluprotokollat

  • uudet multimediaprotokollat

(OSI-mallia tarkasteltaessa sovellustason yhdyskäytävä-tyyppinen palomuuri sijaitsee tasolla 7, sovellustasolla) 

 

Seuraava

 


Tämä sivu on tehty Teletekniikan perusteet -kurssin harjoitustyönä.
Sivua on viimeksi päivitetty 08.12.2000 16:07
URL: http://www.netlab.tkk.fi/opetus/s38118/s00/tyot/30/ptyypit.shtml