TKK | Tietoverkkolaboratorio | Opetus

Tietoturva Internetissä

Internet, TCP/IP ja tietoturva

Käyttäjän tietoturva

Verkon tietoturva Kommetteja ja linkkejä

Sivut tehnyt Pekka Savola
11.11.1999 22:03

Valid HTML 3.2!

[Edellinen sivu] [Seuraava sivu]

Verkon tietoturva

Palomuurit

[Kuva Palomuuri-topologiasta]
Vasemmalla on punaisella muurilla (palomuuri) Internetistä (sinertävä pilvi) eristetty yrityksen sisäinen verkko. Lisäksi jokainen osasto on eristetty sisäisellä palomuurilla (CheckPoint Firewall-1)
Palomuurista on tullut yleisnimike tekniikoille, joilla pyritään sallimaan vain tietoturvapolitiikan mukainen verkkoliikenne sisään- ja ulos omasta verkosta. Näin pyritään pitämään asiaankuulumattomat henkilöt poissa sisäisistä järjestelmistä sekä saavuttamaan hyvä tasapaino käytettävyyden ja tietoturvan välillä.

Tavallisenkin käyttäjän on hyvä tietää mitä palomuurit ovat - ne saattavat rajoittaa päivittäistä käyttöä merkittävästi. Parempi tietää kuin valittaa että "Internet on rikki".

Kaikille palomuurityypeille olennainen luonteenpiirre on välitön raportointi verkkoyhteyksissä tapahtuvasta epäilyttävästä toiminnasta. Kaikista tietoturvapolitiikan vastaisista yhteysyrityksistä jää yleensä varsin kattavat tiedot palomuurin kirjanpitoon.

Palomuurien kolme perustyyppiä ovat:

Filtteröivä palomuuri suodattaa sen läpi menevästä TCP/IP-liikenteestä pois kaiken, mikä on palomuurin asetuksissa määritelty kielletyksi. Se on sallitulle liikenteelle läpinäkymätön eikä vaadi käyttäjien tietokoneisiin mitään muutoksia asetuksiin. Tätä tyyppiä olevia palomuureja tapaa yleensä reitittimissä ("laite joka välittää verkkoliikennettä Internetissä"). Vaikka tämän toimintaperiaate onkin yksinkertainen, siitä kyllä saa riittävän suojan suurinpaan osaan verkkoja.

Proxy Server -tyyppinen palomuuri antaa astetta tiukemman suojan. Tyypillisesti jokainen ohjelma (WWW, Telnet, FTP, ym.) on erikseen konfiguroitava käyttämään kyseistä palvelinta. Yhteyksiä muodostettaessa vastapää ottaa yhteyden Proxy-palvelimeen (joka toimii "välikätenä"), ei varsinaiseen käyttäjän koneeseen. Tälläinen tietoturvapolitiikka hankaloittaa merkittävästi myös hyötykäyttöä, ja vain harvalle yritykselle lisäturva on vaivan arvoista.

Stateful Inspection -tyyppiset "älykkäät" palomuurit pyrkivät lisäämään tietoliikenteen sisällöntarkistuksen filtteröivään palomuuriin ja silti säilyttämään yhteyksien tarkistuksen läpinäkymättömyyden. Tämän tekniikan perusidea on se, että palomuuri osaa itse päätellä, pitäisikö tietty liikenne päästää läpi. Jos sisäverkon kone A liikennöi Internetiin koneeseen B, osaa palomuuri itse päästää liikenteen B:ltä A:lle esimerkiksi 60 sekunnin ajan. Myös esimerkiksi tiedonsiirtojen virus-tarkistukset ovat mahdollisia. Stateful Inspection -palomuurit ovat varsin kalliita ja monimutkaisia, ja niitä käytetään usein vain isommissa organisaatioissa kun pelkkä pakettisuodatus (filtteröinti) ei riitä.

Esimerkki palomuurikonfiguraatiosta

Seuraavaa esitystä ei ole tarpeen ymmärtää. Jos kiinnostus palomuureihin kuitenkin heräsi, saa näistä säännöistä mielikuvan siitä, mitä on mahdollista tehdä erittäin yksinkertaisilla välineillä.

  1. hyväksytään vain liikenne minkä lähdeosoite on Internetissä - estää suurimman osan vaarallisista osoitteiden väärennyksistä
  2. hyväksytään ns. paluupaketit tietyin rajoituksin
  3. hyväksytään SSH-liikenne yrityksen etäkäyttöpalvelimelle
  4. hyväksytään WWW-liikenne yrityksen julkiseen WWW-palvelimelle
  5. hyväksytään tietty ICMP-liikenne ("Internetissä välittyvät virheilmoitukset ja liikenteenohjausviestit")
  6. hyväksytään tietty liikenne muutamalta aikapalvelimelta yrityksen omaan aikapalvelimeen
  7. hyväksytään tietty liikenne muutamalta nimipalvelimelta yrityksen omaan nimipalvelimeen; lisäksi yleiset nimipalvelukyselyt
  8. kielletään kaikki muu ja pidetään yhteydenottoyrityksistä kirjaa

Miltä kyseiset säännöt saattaisivat asetuksissa näyttää?

Näillä säännöillä palomuuri on lähes näkymätön, mutta silti käytännössä mahdoton murtautua läpi. Seuraavaksi onkin tukittava ne muut tietoturvareiät..

Ja lopuksi: ainoa keino saavuttaa 100% tietoturva on valitettavasti tämä; kompromisseja on tehtävä.


[Edellinen sivu] [Seuraava sivu]

Tietoverkkolaboratorio on nyt osa Tietoliikenne- ja tietoverkkotekniikan laitosta. Tällä sivulla oleva tieto voi olla vanhentunutta.

Kurssien ajantasainen tieto on MyCourses-palvelussa.

Tämä sivu on tehty oppilaiden harjoitustyönä. Tietoverkkolaboratorio ei vastaa sivun oikeellisuudesta, ajantasaisuudesta tai ylläpidosta. Vakavissa tapauksissa yhteyshenkilöinä toimivat ja Webmaster.
Sivua on viimeksi päivitetty 11.11.1999 22:03.
URI: http://www.netlab.tkk.fi/opetus/s38118/s99/htyo/64/palomuurit.shtml
[ TKK > Sähkö- ja tietoliikennetekniikan osasto > Tietoverkkolaboratorio > Opetus ]