Ero sivun ”Palomuuri” versioiden välillä
p (→Toimintaperiaate: wikilinkki) |
(→Mikä on palomuuri?: Viilattu määritelmää) |
||
| Rivi 1: | Rivi 1: | ||
= Mikä on palomuuri? = | = Mikä on palomuuri? = | ||
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai | Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai | ||
laitetta joka estää luvattoman | laitetta joka suodattaa tietoliikennettä kahden verkon välillä. | ||
Palomuuri siis estää luvattoman liikenteen ja sallii vain sen | |||
mikä on määritetty palomuurin asetuksissa (säännöissä) | |||
Normaalin kotikäyttöön riittää asetus, joka estää | |||
kaikki ulkoapäin tulevat yhteydenotot. | kaikki ulkoapäin tulevat yhteydenotot. | ||
Palomuuri kuluu Linuxin [[Kernel|ytimeen]] ja sen säätämiseen löytyy | |||
useita helppokäyttöisiä ohjelmia. | |||
= Toimintaperiaate = | = Toimintaperiaate = | ||
Versio 22. marraskuuta 2006 kello 20.48
Mikä on palomuuri?
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai laitetta joka suodattaa tietoliikennettä kahden verkon välillä. Palomuuri siis estää luvattoman liikenteen ja sallii vain sen mikä on määritetty palomuurin asetuksissa (säännöissä)
Normaalin kotikäyttöön riittää asetus, joka estää kaikki ulkoapäin tulevat yhteydenotot.
Palomuuri kuluu Linuxin ytimeen ja sen säätämiseen löytyy useita helppokäyttöisiä ohjelmia.
Toimintaperiaate
Linuxissa kaikki verkkoliikenne kulkee netfilter-nimisen rajapinnan kautta. Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.
Suodattamisen säännöt asetetaan iptables-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.
Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu iptablesia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento /etc/init.d/iptables save.
Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän, jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.
Jakelukohtaiset ohjeet
Seuraavassa on ohjeet yksinkertaisen palomuurin käyttöönottoon eri jakeluissa:
Muita valmiita ratkaisuja
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten Guarddog, firestarter, fwbuilder, redhat-config-securitylevel/system-config-securitylevel ja lokkit. On olemassa jopa nettipalvelu joka generoi skriptin parin kysymyksen pohjalta. Firehol pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [1] shorewall palomuuria jolla iptablejen ohjailu on todella kätevää, shorewall:ssa on oletuksena mukana saapuvan ja lähtevän liikenteen "torppaaminen".
Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti NAT (eng. network address translation) ja porttien ohjaus (DNAT). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta SNAT:a.
On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi Smoothwall ja ClarkConnect.
Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi Astaro.
Erilliset palomuurilaitteet
Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin Sec tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko.
Secwall on modulaarinen tilallinen muuri, jolla voidaan joustavasti säännöstön avulla määrittää mitä liikennettä sallitaan työasemille sekä työasemilta internetiin. Laitteesta löytyy myös VPN-keskitin, jonka avulla voidaan rakentaa turvallinen etäkäyttöympäristö.
Smoothwall distribuution tekijät myyvät omaa tuotettaan erillisenä laitteena nimeltä Smoothwall Rack-Mount Network Appliance. Smoothwallia voidaan laajentaa erillisillä softalisäosilla, jolloin siihen saadaan lisää toimintoja.
Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa.
Joissain Linksysin WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. OpenWRT-projekti on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin.
VPN/IPSEC-laitteet
Ciscon halpamerkki, Linksys valmistaa Linux-pohjaisia ratkaisuja palomuureiksi. Kotireittittimeksi nämä laitteet ovat edullisia ja erittäin hyviä.
Linksys-tuotevalikoima sisältää myös VPN-palvelimia kohtuulliseen hintaan.
- Linksys BEFVP41 on 70 vpn tunneloinnin mahdollistava laitteisto
- Linksys BEFSX41 on 2 vpn tunneloinnin mahdollistava laitteisto
- Ohje vpn-tunnelin rakentamiseen
Näiden laitteiden etuna on ipsec/freeswan ilman lisenssikustannuksia.
Myös Snapgear tarjoaa edullista Linux-rautaa palomuurikäyttöön.