TKK | Tietoverkkolaboratorio | Opetus
| |||||||||||||
Laki, ihmisoikeudet ja internet Internetin tuomat laillisuusongelmat
|
Palomuurityypit
Palomuureja
on kolmea eri tyyppiä: 1. Pakettisuodattimet 2.
Yhteyssuodattimet 3.
Sovellustason yhdyskäytävät (Proxy) Tehokkaimmat palomuurit sisältävät kaikki kolme tasoa. Yleensä kaupalliset palomuurit ovat hybridijärjestelmiä, joissa verkkotason perussuodatusta lisätään vielä sovellustason yhdyskäytäväominaisuuksilla.
1.
Pakettisuodattimet IP-pakettien
suodattaminen tapahtuu yleensä kahden verkon välisessä reitittimessä.
Pakettien erotus sallii tietyt ehdot täyttävien pakettien mennä läpi, jos
ehdot eivät täyty paketit suodatetaan pois. Pakettisuodattimet
eivät ole yhtä turvallisia kuin sovellustason palomuurit, niiden paras
ominaisuus onkin nopeus. Pakettisuodatin saattaa päästää jotkin hyökkäykset
läpi, ne voidaan kuitenkin eliminoida sovellustason yhdyskäytäväratkaisuilla. Pakettisuodattimen kannalta tärkeät IP-paketin kentät:
Taulukossa on esitettyjen paketin kenttien arvoja verrataan pakettisuodattimessa etukäteen määriteltyihin referenssiarvoihin. Jos ko. kentän arvo on sallituissa rajoissa paketti päästetään läpi, muuten ei. (OSI-mallia tarkasteltaessa pakettisuodatin-tyyppinen palomuuri sijaitsee tasolla 3, verkkokerroksessa)
2.
Yhteyssuodattimet Yhteyssuodattimet
valvovat liikennettä koko istunnon ajan ja estävät yhteyden sisään mikäli
liikenne ei ole sallittua. Palomuuri käyttää tähän erillisiä yhteyden
tilatietoja. Yhteyssuodattimista käytetään joskus myös nimitystä älykkäät
pakettisuodattimet ja istuntosuodattimet. Yhteyssuodatin
toimii nimensä mukaisesti arvioiden koko yhteyttä eikä vain yksittäistä
pakettia. Yhteyssuodattimet, toisin kuin pakettisuodattimet, ovat rajoittavia palomuureja. Ne eivät salli paketin päästä läpi, mikäli paketti ei kuulu hyväksyttyyn istuntoon. Koko TCP/IP -liikenne siten kielletään. Pakettisuodatuksella toimivat palomuurit ovat sen sijaan sallivia palomuureja, sillä sellainenkin paketti voi päästä joskus palomuurin läpi, mikä ei kuulu sallittuun istuntoon. Tämä onkin pakettisuodattimen suurin tietoturvaongelma. (OSI-mallia tarkasteltaessa yhteyssuodatin-tyyppinen palomuuri sijaitsee tasolla 5, yhteyskerroksessa)
3. Sovellustason yhdyskäytävä (Proxy) Usein
palomuurit tarvitsevat ohjelmistosovelluksen suodattamaan yhteyksiä
palveluihin, kuten FTP ja Telnet. Näitä sovelluksia kutsutaan
proxy-palvelimiksi, ja tietokone, jossa proxy toimii, kutsutaan sovellusyhdyskäytäväksi.
Sovellusyhdyskäytävän avulla voidaan poistaa joitakin paketteja suodattavan
reitittimen ongelmia. Palomuurina
toimiva proxy-palvelin toimii tutkimalla läpikulkevaa liikennettä sisäisen
verkon palveluihin.
Proxy-palvelin tarjoaa korkeamman tason suojauksen sisäiselle verkolle, koska
ratkaisussa pystytään mm. hyödyntämään käyttäjän autentikointia, datan
salausta Jokaista
sisäisen ja ulkoisen verkon välillä toimivaa sovellusta varten on
palomuuripalvelimessa oma sovellus nimeltään proxy. Esimerkiksi FTP-
ja
WWW-proxyja käytetään vastaavien sovellusprotokollien yhteyksien hallintaan.
Kun verkon sisältä halutaan ottaa FTP-yhteys ulkoisen verkon koneeseen
muodostetaan tätä yhteyttä varten oma ftp-proxyn esiintymä, jonka tehtävän
on tarkkailla vain näiden kahden koneen välistä yhteyttä. Samalla
proxy-sovelluksella voi siis olla useampia prosesseja yhtä aikaa käynnissä.
Kaikki liikenne kulkee proxyn kautta niin, että suora kommunikaatio sisäisen
ja ulkoisen verkon koneiden välillä on mahdotonta.
Tästä johtuen proxy-ratkaisua hyödyntävät palomuurit ovat turvallisempia
verrattuna pakettisuodattaviin palomuureihin.
Tärkeimmät
kaupalliset proxy-sovellukset: Kaupalliset
sovellusyhdyskäytävät tarjoavat yleensä laajan paketin sovellus-proxyja. Eri
versiot mahdollistavat erilaista valvontaa, joten sovellusyhdyskäytävätuotteet
on käytävä tarkoin läpi ennen hankkimista.
Kaupalliset
sovellusyhdyskäytäväratkaisut toteuttavat yleensä seuraavia proxyja:
(OSI-mallia tarkasteltaessa sovellustason yhdyskäytävä-tyyppinen palomuuri sijaitsee tasolla 7, sovellustasolla)
|
||||||||||||
|