Export page to Open Document format View page as slide show

Lisämateriaalia

Palomuurit

  • Laite tai ohjelma
  • Määrittelee sisääntulijat
  • … ja ulosmenijät
  • Suojaa joko verkkoa tai yksittäistä konetta.

Yleinen toiminta

  • Älykäs portinvartija joka valvoo liikennettä
  • Verkkopalomuuri
    • Kone, joka suojaa sisäisen verkon ulkoisen verkon uhilta
    • Kontrolloi liikennettä kahden verkon välillä tarkasti valitussa pisteessä
    • Piilottaa sisäverkon rakenteen
  • Henkilökohtainen palomuuri
    • Suojaa yksittäistä konetta verkosta tulevilta uhilta
  • Ei kuitenkaan
    • takaa datan eheyttä tai luottamuksellisuutta
    • varmista datan lähdettä
    • suojaa sisäisiltä uhilta
  • Suojaa ainoastaan hyökkäysyrityksiltä ulkoapäin

Palomuurit - Pakettisuodatin

  • Store and forward
    • Paketti saadaan yhteen rajapintaan
    • Paketin otsikkotieto tarkistetaan ja verrataan suodatus konfiguraatioon
    • Tietojen pohjalta päätetään jatketaanko pakettia eteenpäin vai hylätäänkö se
  • Perus suodatuskriteerit
    • Liikenteen suunta (rajapinta johon paketti saapuu, sisään vai ulos)
    • Protokollan tyyppi (IP,TCP,UDP,ICMP….)
    • Lähtö ja kohde IP-osoite
    • Lähde ja kohde TCP/UDP portti
      • Portti määrittelee paketin lopullisen kohteen koneessa (mikä ohjelma vastaanottaa)
      • Palveluilla omat porttinsa (telnet 23, http 80) (portit määritelty rfc:ssä)
      • Portit alle 1024 on luottamuksellisille palveluille (Palveluilla enemmän oikeuksia) (jaettelua ei windows maailmassa)
      • Asiakasprosessit yleensä porteissa > 1024 (Oikeudet käyttäjän mukaan)
      • Asiakasprosesseja on vaikea yksilöidysti suodattaa
      • Palvelinportit ovat vakioita ja liikenne niihin on helppo suodattaa
    • TCP tilainformaatio
  • Konfigurointi esimerkki: estetään kaikki telnet-yhteydet, jotka eivät tule osoitteesta 128.8.30.2
ToimiProtokollaLähdeKohde
Hylkäätcpkaikkisisäverkko portti 23
Hyväksytcp128.8.30.2sisäverkko portti 23
  • Missä järjestyksessä säännöt suoritetaan
    • Kielletään kaikki, jonka jälkeen sallitaan halutut
    • Kielletään vain tietyt yhteydet, muut sallitaan
  • Väärä järjestys johtaa väärään toimintaan

Suodattamisen ongelmia

  • Vaikea konfiguroida
    • Kuinka tietää mitä suodatetaan ja mitä ei?
  • Palomuurin suojauksia pystytään kiertämään asentamalla palveluita sallittuihin portteihin
    • Esimerkiksi tiedostonjako palvelin verkkopalvelimen paikalla
  • Pakettifiltteri ei pysty tutkimaan paketin sisältöä.
    • Multimedialiikenne, appletit, ladattavat ohjelmat
    • Läpi pääsevät paketit tekevät mitä haluava
    • Vrt. vartija, jonka pitää poistaa vaaralliset kirjeet pelkästään kirjekuoren perusteella

Modernit pakettisuodattimet

  • GUI konfigurointiin (graafinen käyttöliittymä)
  • Heuristiikkaa sääntöjen tulkinnassa
  • Usean tason pakettilogit
    • Pakettilaskurit
    • Ilmoitukset tietyntyyppisistä paketeista
  • Sisäänrakennettua älykkyyttä esim. ftp ongelmaan
    • Ei tarvitse kaikkea tehdä itse
  • UDP tilatarkkailu
  • Autentikointituki

Välipalvelin (Proxy) palomuurit

  • Välitettäviä paketteja katsotaan sovellustasolla
  • Muodostaa 2 erillistä yhteyttä: lähteestä palvelimelle ja palvelimelta kohteeseen
    • vrt. kaksi vartijaa… toinen muurin ulkona toinen sisällä. Ulkopuolen vartija ei tiedä mitään muurin sisäpuolesta, sisäpuolen vartija ei tiedä mitään ulkomaailmasta
    • esim. käyttäjän ohjelma pyytää proxyltä verkkosivun (sisävartija). proxy (ulkovartija) hakee sivun ja toimittaa sen sitten käyttjälle (sisävartijan kautta).
  • Vaativat esikonfiguroinnin
    • Käyttäjän täytyy määritellä ohjelmalle proxyn sijainti
    • Asiakas ohjelman täytyy muokkautua proxylle sopivaksi
  • Hidastavat toimintaa
  • Pakettifilttereitäkin vaikeampia konfiguroida
  • Sovellus proxy tarvitaan jokaiselle sovellukselle erikseen
  • Läpinäkyvä määrittelyjen jälkeen
  • Piilottaa sisäisen verkon rakenteen
    • Ulospäin näkyy vain välityspalvelin (proxy)
  • Sovellus spesifinen proxy
    • Rajoittuu vain tiettyihin sovelluksiin (esim. http)
    • Voi rajoittaa sovelluksen toimintaa
  • Geneerinen proxy
    • Yksinkertainen pakettilinkki
    • Konfiguraatio tiedon pohjalta muodostaa lopullisen yhteyden kohde koneeseen
    • Osana muuta palomuurikokonaisuutta
    • Mahdollistaa palvelun käytön, mutta ei spesifistä palvelupaikkaa
    • NAT
  • Piiri proxy (circuit proxy)
    • Asiakasohjelman tulee tietää proxyn olemassaolosta
    • Käytössä lähes näkymätön asiakkeelle ja palvelimelle
    • Luo päästä-päähän virtuaalipiirin
    • Molempien osapuolten tulee tukea
    • SOCKS
      • Vaatii SOCKS modifioidun soketti-kirjaston

Palomuurin asetukset

  • Tulee tukea tietoturva politiikkaa
  • Mikä ei ole erikseen kielletty on sallittu vs. mikä ei ole erikseen sallittu on kielletty
  1. Käytä yksinkertaisia selkeästi määriteltyjä komponentteja
    • Palomuurissa useita osia joiden kaikkien toimintaa pitää pystyä tarkasti määrittelemään erikseen
    • Modulaarinen lähtökohta
  2. Käytä luotettavia tunnettuja työkaluja
    • Varo ihmelääkkeitä (snake oil), mikään palomuuri ei turvaa verkkoa täydellisesti

3. Käytä useaa suojaustapaa

  • Verkko jaettu osiin
  • Suojaukseen käytetty eri valmistajien tuotteita

4. Tarkkaile vikatiloja

  • Crash, reboot, muu virhetila
    • Palomuuri ei virhetilassa saa päästää mitään paketteja läpi

5. Päivitä palomuuria

Hyökkäykset palomuuria vastaan

1. Kierto

  • Ei tulla sisäverkkoon palomuurin kautta
    • Käyttäjät usein jättävät omille koneilleen keinon päästä kotoa sisään töitä tehdäkseen.
  • Verkossa on monia laitteita. Niissä voi olla omat sisääntulo keinonsa

2. Palomuurin huijaus

  • Naamioidaan paketti niin että palomuuri luulee sitä hyödylliseksi ja ystävälliseksi
  • Toisen protokollan sisälle wrapattu toisen protokollan paketti

3. Valloitus

  • Murtaudutaan itse palomuuri koneeseen
  • Voidaan valita itse minkä sääntöjen mukaan paketteja päästetään eteenpäin

4. Kaataminen

  • Kaadettu palomuuri ei toimi, jolloin joko kaikki paketit tai ei mitkään paketit kulkee sen läpi.
    • Käyttäjät etsivät muita teitä ulos. vrt. linnan piiritys.

Palomuurin testaus

  • Noudattaako yleistä turvapolitiikkaa
  • Toimiiko halutulla tavalla ( eli onko konfiguroitu oikein)
  • Pääsynvalvonta reitittimiin ja palomuureihin
    • Kellä oikeudet muokata tietoja
  • Palvelujen konfigurointi
    • Joskus otettava palomuuri huomioon
  • Ulkopuolinen testaus
    • Valitse luotettava konsultti, joka myös osaa asiansa
    • Määrittele testauksen rajat
    • Määritä ajankohta jolloin testaus tehdään
      • Hyvä olla joku omasta organisaatiosta mukana testauksen aikana
    • Sovi järjestelyt todisteiden tuhoamisesta
      • Konsultille ei tule jäädä tietoa verkon ja palvelujen sijainnista testauksen jälkeen
  • Muista seurata palomuurin liikennettä ja tarkistaa ajoittain palomuurin toiminta
Last modified: 2013/07/01 14:42