Henkilökohtaiset palomuurit

TKK | Tietoverkkolaboratorio | Opetus

Henkilökohtaiset Palomuurit

Etusivu

Mikä on palomuuri?

Kenelle & Miksi

Tuotteet

Lähteitä ja linkkejä

Tekijät:
Valter Rönnholm
Oskar Lindfors
Robert From

Kenelle & Miksi

Näiden tuoteryhman potentiaaliset asiakkaat voi yleisesti jakaa seuraaviin ryhmiin: kotikäyttäjät, pienyritykset ja suuryritysten yksittäiset työntekijät.

Kotikäyttäjät

Uusien kiinteiden internet-yhteyksien yleistyessä yhä useampi tietokone on suuremassa vaarassa joutua ulkopuolisen hyökkäysksen kohteeksi. Modeemin/isdn:n käyttäjätkään eivät ole aivan turvassa, heidän koneensa eivät vain ole yhtämittaan kytkettynä verkkoon ja mikä tärkeintä näillä modeemiyhteyksien takana olevilla koneilla ei ole kiinteää IP-osoitetta. Kun tunkeutuja löytää koneen johon on helppo tunkeutua hän varmasti pistää kyseisen koneen IP-osoitteen muistiin ja tunkeutuu toistuvasti samaan paikkaan. Modeemikoneen IP-osoite vaihtuu jokaisella yhteyskerralla(osalla xDSL-liittymistä myös) joten tunkeutuja ei löydäkään uudestaan tätä konetta johon on houkuttelevan helppo tunkeutua.

Suuressa osassa Windows-koneista joiden tietoturvaan ei ole paneuduttu on ammottava aukko tietoturvassa. Oletuksena kaikissa Windows-käyttöjärjestelmällä toimivissa koneissa on Windowsin lähiverkkoprotokolla NetBIOS ja sen versio joka toimii internetin yli "NetBIOS over TCP" käytössä. Tämä käyttöjärjestelmän oletusarvo on ehkä mailman yleisin tietoturvaaukko. Tämä oletusarvo jättää näet NetBIOS-protokollan käyttämän portin 139 auki ja jollei käyttäjä ole suojannut konettaan salasanalla kuka tahansa vähänkin aiheeseen voi perehtynyt voi päästä käsiksi käyttäjän tiedostoihin. Salasanakaan ei tuo kuin pienen parannuksen tietoturvaan, hyvinkin yksinkertaisella salasananmurtoohjelmalla suurin osa yleisistä salasanoista on murrettavissa. Suurin osa koti-käyttäjistä ei koskaan tarvitse tätä NetBIOS-protokollaa. Suuren parannuksen tietoturvaan saa täten sulkemalla kyseisen portin kokonaan. Koneen minkään portin ei tarvitse olla auki ellei käyttäjä halua pitää tiedostoja ulkopuolisten saatavilla.

Jos käyttäjä haluaa pitää tiedostoja toisten saatavilla hänen koneensa on hyvin haavoittuvainen. Eräs ja ehkä paras tapa suojata tietokone joka tarjoaa palveluita internetin kautta(esim. pitää tiedostoja yleisesti saatavilla) on palomuuriohjelmisto. Nämä henkilökohtaiset palomuurit eivät yleensä vain suojaa tunkeutujilta vaan rekisteröivät kaikki epäilyttävät yhteydenottoyritykset.

Ulkopuolisten hyökkäysten lisäksi palomuurit voivat hallinoida ulospäin suuntautuvaa liikennettä. Ainakin lasten webbiseikkailuja tämä tominto voi ohjata, tuskin löytyy montakaan lasten isää tai äitiä joka pitää ajatuksesta että perheen pienemmät seikkailevat aikuisviihteen, huumesivujen tai pomminrakennusohjeiden parissa.

Pienyritykset

Pienyrityksillä ei ole ollut mahdollisuutta hankkia palomuurilaitteistoja tai ohjelmia niiden korkean hinnan takia. Nyt markkinoille tulleiden kevyiden palomuuriratkaisujen myötä muutaman tietokoneen yritykset voivat suojata liiketoimensa tietoliikenteen kohtuullisin kustannuksin sekä mitä tärkeintä pientä ylläpitoa vaativilla ratkaisuilla. Yrityksiä uhkaa suurelta osin samat tietoturvariskit kuin kotikäyttäjääkin, ero on lähinnä siinä että yritysten liikesalaisuudet ovat tyypillisesti arkaluontoisempia kuin kotikäyttäjän tiedostot.

Suurempien yritysten työntekijät

Suurten yritysten lähiverkon ja ulkopuolisen verkon välinen tietoturva on lähes poikkeuksetta kunnossa, oli palomuuriratkaisu mikä hyvänsä tunkeutuminen on vaikeaa tai lähes mahdotonta. Mihin suuret yritykset voivat tarvita henkilökohtaisia palomuureja?

Lähiverkon suojaaminen ulkopuolisesta verkosta suojaa toki ulkopuoliselta tunkeutumiselta mutta useimmiten yritysten liikesalaisuudet ovat vaarassa oman lähiverkon sisältä tapahtuvan urkkimisen takia. Ulkopuolinen työvoima, juuri työnantajaa vaihtaneet/vaihtavat työntekijät sekä ilkeät yritysvakoilijat pääsevät lähiverkon kautta paljon helpommin työntekijöiden tiedostoihin käsiksi kuin ulkoa murtautuva pahantekijä.

Henkilökohtaiset palomuurit antavat yrityksen sisäisiä iskuja vastaan suojan, työntekijöiden työasemille asennettuna ne hallinoivat työaseman ja lähiverkon välistä liikennettä.

Etätyöntekijät

Yhä suuremmissa määrin työtä tehdään muualla kuin itse työpaikalla, työntekijät joutuvat ottamaan yhteyden työnantajan serveriin/verkkoon milloin minkäkin yhteyden kautta. Vaikka yrityksen päässä olisi vaikka kuinka hurjat palomuurit se ei estä tunkeutumista etäkoneelle. Tämän etäkoneen tiedostot voivat olla kuin vapaata riistaa puhumattakaan etäkoneen käyttämisestä takaporttina yrityksen verkkoon. Taas kerran etäkoneen palomuurilla voi saada tietoturvaihmeitä aikaan.

<< Etusivu Eteenpäin >>

Tämä sivu on tehty Teletekniikan perusteet -kurssin harjoitustyönä.
Sivua on viimeksi päivitetty 12.12.2000 14:00
URL: http://www.netlab.tkk.fi/opetus/s38118/s00/tyot/44/kenelle.shtml

	Henkilökohtaiset Palomuurit
Etusivu Mikä on palomuuri? Kenelle & Miksi Tuotteet Lähteitä ja linkkejä Tekijät: Valter Rönnholm Oskar Lindfors Robert From	Kenelle & Miksi Näiden tuoteryhman potentiaaliset asiakkaat voi yleisesti jakaa seuraaviin ryhmiin: kotikäyttäjät, pienyritykset ja suuryritysten yksittäiset työntekijät. Kotikäyttäjät Uusien kiinteiden internet-yhteyksien yleistyessä yhä useampi tietokone on suuremassa vaarassa joutua ulkopuolisen hyökkäysksen kohteeksi. Modeemin/isdn:n käyttäjätkään eivät ole aivan turvassa, heidän koneensa eivät vain ole yhtämittaan kytkettynä verkkoon ja mikä tärkeintä näillä modeemiyhteyksien takana olevilla koneilla ei ole kiinteää IP-osoitetta. Kun tunkeutuja löytää koneen johon on helppo tunkeutua hän varmasti pistää kyseisen koneen IP-osoitteen muistiin ja tunkeutuu toistuvasti samaan paikkaan. Modeemikoneen IP-osoite vaihtuu jokaisella yhteyskerralla(osalla xDSL-liittymistä myös) joten tunkeutuja ei löydäkään uudestaan tätä konetta johon on houkuttelevan helppo tunkeutua. Suuressa osassa Windows-koneista joiden tietoturvaan ei ole paneuduttu on ammottava aukko tietoturvassa. Oletuksena kaikissa Windows-käyttöjärjestelmällä toimivissa koneissa on Windowsin lähiverkkoprotokolla NetBIOS ja sen versio joka toimii internetin yli "NetBIOS over TCP" käytössä. Tämä käyttöjärjestelmän oletusarvo on ehkä mailman yleisin tietoturvaaukko. Tämä oletusarvo jättää näet NetBIOS-protokollan käyttämän portin 139 auki ja jollei käyttäjä ole suojannut konettaan salasanalla kuka tahansa vähänkin aiheeseen voi perehtynyt voi päästä käsiksi käyttäjän tiedostoihin. Salasanakaan ei tuo kuin pienen parannuksen tietoturvaan, hyvinkin yksinkertaisella salasananmurtoohjelmalla suurin osa yleisistä salasanoista on murrettavissa. Suurin osa koti-käyttäjistä ei koskaan tarvitse tätä NetBIOS-protokollaa. Suuren parannuksen tietoturvaan saa täten sulkemalla kyseisen portin kokonaan. Koneen minkään portin ei tarvitse olla auki ellei käyttäjä halua pitää tiedostoja ulkopuolisten saatavilla. Jos käyttäjä haluaa pitää tiedostoja toisten saatavilla hänen koneensa on hyvin haavoittuvainen. Eräs ja ehkä paras tapa suojata tietokone joka tarjoaa palveluita internetin kautta(esim. pitää tiedostoja yleisesti saatavilla) on palomuuriohjelmisto. Nämä henkilökohtaiset palomuurit eivät yleensä vain suojaa tunkeutujilta vaan rekisteröivät kaikki epäilyttävät yhteydenottoyritykset. Ulkopuolisten hyökkäysten lisäksi palomuurit voivat hallinoida ulospäin suuntautuvaa liikennettä. Ainakin lasten webbiseikkailuja tämä tominto voi ohjata, tuskin löytyy montakaan lasten isää tai äitiä joka pitää ajatuksesta että perheen pienemmät seikkailevat aikuisviihteen, huumesivujen tai pomminrakennusohjeiden parissa. Pienyritykset Pienyrityksillä ei ole ollut mahdollisuutta hankkia palomuurilaitteistoja tai ohjelmia niiden korkean hinnan takia. Nyt markkinoille tulleiden kevyiden palomuuriratkaisujen myötä muutaman tietokoneen yritykset voivat suojata liiketoimensa tietoliikenteen kohtuullisin kustannuksin sekä mitä tärkeintä pientä ylläpitoa vaativilla ratkaisuilla. Yrityksiä uhkaa suurelta osin samat tietoturvariskit kuin kotikäyttäjääkin, ero on lähinnä siinä että yritysten liikesalaisuudet ovat tyypillisesti arkaluontoisempia kuin kotikäyttäjän tiedostot. Suurempien yritysten työntekijät Suurten yritysten lähiverkon ja ulkopuolisen verkon välinen tietoturva on lähes poikkeuksetta kunnossa, oli palomuuriratkaisu mikä hyvänsä tunkeutuminen on vaikeaa tai lähes mahdotonta. Mihin suuret yritykset voivat tarvita henkilökohtaisia palomuureja? Lähiverkon suojaaminen ulkopuolisesta verkosta suojaa toki ulkopuoliselta tunkeutumiselta mutta useimmiten yritysten liikesalaisuudet ovat vaarassa oman lähiverkon sisältä tapahtuvan urkkimisen takia. Ulkopuolinen työvoima, juuri työnantajaa vaihtaneet/vaihtavat työntekijät sekä ilkeät yritysvakoilijat pääsevät lähiverkon kautta paljon helpommin työntekijöiden tiedostoihin käsiksi kuin ulkoa murtautuva pahantekijä. Henkilökohtaiset palomuurit antavat yrityksen sisäisiä iskuja vastaan suojan, työntekijöiden työasemille asennettuna ne hallinoivat työaseman ja lähiverkon välistä liikennettä. Etätyöntekijät Yhä suuremmissa määrin työtä tehdään muualla kuin itse työpaikalla, työntekijät joutuvat ottamaan yhteyden työnantajan serveriin/verkkoon milloin minkäkin yhteyden kautta. Vaikka yrityksen päässä olisi vaikka kuinka hurjat palomuurit se ei estä tunkeutumista etäkoneelle. Tämän etäkoneen tiedostot voivat olla kuin vapaata riistaa puhumattakaan etäkoneen käyttämisestä takaporttina yrityksen verkkoon. Taas kerran etäkoneen palomuurilla voi saada tietoturvaihmeitä aikaan. << Etusivu Eteenpäin >>