Ero sivun ”Palomuuri” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(28 välissä olevaa versiota 15 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
= Mikä on palomuuri? =
{{Perustietoa}}
Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai
'''Palomuuri''' (englanniksi firewall) tarkoittaa ohjelmistoa tai laitetta joka suodattaa tietoliikennettä kahden verkon välillä. Palomuuri asetetaan kotikoneessa yleensä kieltämään yhteydenotot ulkoverkosta (Internet) paitsi erikseen avattuihin portteihin ja sallimaan yhteydet sisäverkosta (kotiverkosta) ja yhteydet ulkomaailmaan.
laitetta joka estää luvattoman tietoliikenteen ulkopuolelta
tietokoneelle. Peruskäyttöön riittää yksinkertainen asetus, joka estää
kaikki ulkoapäin tulevat yhteydenotot.


Linux-ytimessä on palomuurin tarvitsema toiminnallisuus valmiina.
Linuxin [[Kernel|ytimeen]] on sisäänrakennettu monipuolinen palomuuri ja sen säätämiseen löytyy useita helppokäyttöisiä ohjelmia, mm. [[Firestarter]]. On myös mahdollista käyttää ulkoista palomuuria tämän sijasta tai lisäksi. Ulkoisena palomuurina voi käyttää normaalia tähän käyttöön otettua tietokonetta tai varta vasten valmistettua laitetta (jossa saattaa olla Linux käyttöjärjestelmänä). Monessa ADSL-modeemissa on myös palomuuriominaisuus.
Tarvitaan vain käyttöliittymä jolla palomuurin asetukset
tehdään ja palomuuri käynnistetään ja sammutetaan.


= Toimintaperiaate =
Ulkoisen palomuurin ("rautapohjainen palomuuri") etu on että siinä on vain muutamia ohjelmia joista hyökkääjä voisi löytää turva-aukkoja, jolloin riski että siihen pääsisi murtautumaan (ja siten muokkaamaan palomuuriasetuksia) on pieni. Toisaalta omalla koneella oleva palomuuri saattaa olla helpommin monipuolisesti muokattavissa. Ulkoisessa palomuurissa ei myöskään voi rajoittaa liikennettä käyttäjäkohtaisesti.
Linuxissa kaikki verkkoliikenne kulkee [http://www.netfilter.org/ netfilter]-nimisen rajapinnan kautta.
Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.


Suodattamisen säännöt asetetaan '''iptables'''-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.
== Yleistä ==
Useimmissa kotikäyttöön tarkoitetuissa [[jakelu]]issa ei oletuksena ole mitään ulkoapäin tulevia pyyntöjä kuuntelevia palveluita käytössä, mikä vähentää oleellisesti palomuurin tarvetta. Usein palomuuri kannattaa silti varmuuden vuoksi kytkeä päälle, erityisesti mikäli on epävarma siitä, saako erilaiset jälkeenpäin asentamansa verkkopalvelut säädettyä oikein. Kotikäytössä riittää yleensä palomuurisääntö, joka estää kaikki ulkoapäin (Internetistä) tulevat yhteydenotot ja sallii ulospäin suuntautuvan liikenteen, sekä mahdollisesti yhteydenotot kotiverkosta.
 
Linuxissa kaikki verkkoliikenne kulkee [[Netfilter]]-nimisen rajapinnan kautta. Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.
 
Suodattamisen säännöt asetetaan [[iptables]]-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.


Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''.
Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu [[iptables]]ia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento '''/etc/init.d/iptables save'''.


Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän, jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.
Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän (tai useita vaihtoehtoisia liittymiä), jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.
 
= Jakelukohtaiset ohjeet =


== Jakelukohtaiset ohjeet ==
Seuraavassa on ohjeet yksinkertaisen palomuurin käyttöönottoon eri jakeluissa:
Seuraavassa on ohjeet yksinkertaisen palomuurin käyttöönottoon eri jakeluissa:
* [[SUSEn palomuuriohje|SUSE Linux]]
* [[SUSEn palomuuriohje|SUSE Linux]]


= Muita valmiita ratkaisuja =
== Muita valmiita ratkaisuja ==
Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten [[Guarddog]], [[firestarter]], [http://kmyfirewall.sourceforge.net/ KMyFirewall], [[fwbuilder]], [[system-config-firewall]], [[Gufw]] ja [[lokkit]]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [[Firehol]] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [[asetustiedosto]]ihin pohjautuvaa [[shorewall]]-palomuuria, joka yksinkertaistaa monimutkaistenkin palomuuri- ja [[kaistanrajoitus]]sääntöjen tekemistä.


Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia, kuten [http://www.simonzone.com/software/guarddog/ Guarddog], [http://www.fs-security.com firestarter] ja [http://www.fwbuilder.org fwbuilder]. On olemassa jopa [http://easyfwgen.morizot.net/gen/ nettipalvelu] joka generoi skriptin parin kysymyksen pohjalta. [http://firehol.sf.net Firehol] pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla [http://www.shorewall.net/] shorewall palomuuria jolla iptablejen ohjailu on todella kätevää, shorewall:ssa on oletuksena mukana saapuvan ja lähtevän liikenteen "torppaaminen".
Jos Linux-kone huolehtii verkon jakamisesta muille kotiverkon koneille tarvitaan [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a].


Ominaisuuksia, joita peruskäyttäjät tarvitsevat, ovat yleisesti [[NAT]] (eng. network address translation) ja porttien ohjaus ([http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.2 DNAT]). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html#ss6.1 SNAT:a.]
On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall] ja ClarkConnect.
 
On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi [http://www.smoothwall.org Smoothwall]


Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi [http://www.astaro.de/ Astaro].
Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi [http://www.astaro.de/ Astaro].


= Erilliset palomuurilaitteet =
== Erilliset palomuurilaitteet ==
Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin [http://www.solutions.fi/page_view?t=1&l=1&s=12&p=12 Sec] tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko.
Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin [http://www.solutions.fi/page_view?t=1&l=1&s=12&p=12 Sec] tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko.


Rivi 45: Rivi 40:
Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa.
Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa.


[http://www.linksys.com Linksysin] WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. [http://openwrt.org/ OpenWRT-projekti] on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin.
Joissain [http://www.linksys.com Linksysin] WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. [http://openwrt.org/ OpenWRT-projekti] on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin.
 
== VPN/IPSEC-laitteet ==


=== VPN/IPSEC-laitteet ===
Ciscon halpamerkki, Linksys valmistaa Linux-pohjaisia ratkaisuja palomuureiksi. Kotireittittimeksi nämä laitteet ovat edullisia ja erittäin hyviä.
Ciscon halpamerkki, Linksys valmistaa Linux-pohjaisia ratkaisuja palomuureiksi. Kotireittittimeksi nämä laitteet ovat edullisia ja erittäin hyviä.


Rivi 62: Rivi 56:
== Katso myös ==
== Katso myös ==
*[[NAT]]
*[[NAT]]
*[[tcpwrappers|TCP wrappers]]
*[[MAC-osoite]]


[[Luokka:Verkko]][[Luokka:Järjestelmä]][[Luokka:Tietoturva]]
[[Luokka:Verkko]]
[[Luokka:Järjestelmä]]
[[Luokka:Tietoturva]]

Versio 6. marraskuuta 2015 kello 15.18

Linux.fi-wikissä artikkelit käsittelevät yleensä aihettaan siltä osin, kuin se koskee Linuxia ja avoimia/vapaita ohjelmistoja. Yleisluontoisemman artikkelin tästä aiheesta löydät tietosanakirja Wikipediasta.

Palomuuri (englanniksi firewall) tarkoittaa ohjelmistoa tai laitetta joka suodattaa tietoliikennettä kahden verkon välillä. Palomuuri asetetaan kotikoneessa yleensä kieltämään yhteydenotot ulkoverkosta (Internet) paitsi erikseen avattuihin portteihin ja sallimaan yhteydet sisäverkosta (kotiverkosta) ja yhteydet ulkomaailmaan.

Linuxin ytimeen on sisäänrakennettu monipuolinen palomuuri ja sen säätämiseen löytyy useita helppokäyttöisiä ohjelmia, mm. Firestarter. On myös mahdollista käyttää ulkoista palomuuria tämän sijasta tai lisäksi. Ulkoisena palomuurina voi käyttää normaalia tähän käyttöön otettua tietokonetta tai varta vasten valmistettua laitetta (jossa saattaa olla Linux käyttöjärjestelmänä). Monessa ADSL-modeemissa on myös palomuuriominaisuus.

Ulkoisen palomuurin ("rautapohjainen palomuuri") etu on että siinä on vain muutamia ohjelmia joista hyökkääjä voisi löytää turva-aukkoja, jolloin riski että siihen pääsisi murtautumaan (ja siten muokkaamaan palomuuriasetuksia) on pieni. Toisaalta omalla koneella oleva palomuuri saattaa olla helpommin monipuolisesti muokattavissa. Ulkoisessa palomuurissa ei myöskään voi rajoittaa liikennettä käyttäjäkohtaisesti.

Yleistä

Useimmissa kotikäyttöön tarkoitetuissa jakeluissa ei oletuksena ole mitään ulkoapäin tulevia pyyntöjä kuuntelevia palveluita käytössä, mikä vähentää oleellisesti palomuurin tarvetta. Usein palomuuri kannattaa silti varmuuden vuoksi kytkeä päälle, erityisesti mikäli on epävarma siitä, saako erilaiset jälkeenpäin asentamansa verkkopalvelut säädettyä oikein. Kotikäytössä riittää yleensä palomuurisääntö, joka estää kaikki ulkoapäin (Internetistä) tulevat yhteydenotot ja sallii ulospäin suuntautuvan liikenteen, sekä mahdollisesti yhteydenotot kotiverkosta.

Linuxissa kaikki verkkoliikenne kulkee Netfilter-nimisen rajapinnan kautta. Kaikki verkkoliikenteen suodattaminen tapahtuu sen avulla.

Suodattamisen säännöt asetetaan iptables-työkalulla. Iptables purkaa tämänhetkiset säännöt ytimestä, muuttaa niitä tai lisää niihin uusia, ja pakkaa säännöt takaisin ytimeen.

Kaikissa jakeluissa on mahdollista luoda palomuuri kirjoittamalla skripti, joka kutsuu iptablesia useita kertoja asettaen joka kerralla yhden säännön. Tämän jälkeen tallennetaan säännöt antamalla komento /etc/init.d/iptables save.

Yleensä jakelut tarjoavat kuitenkin myös graafisen liittymän (tai useita vaihtoehtoisia liittymiä), jolla on helppo ottaa käyttöön yksinkertainen ja peruskäyttöön täysin riittävä palomuuri.

Jakelukohtaiset ohjeet

Seuraavassa on ohjeet yksinkertaisen palomuurin käyttöönottoon eri jakeluissa:

Muita valmiita ratkaisuja

Palomuuriskriptin kirjoittamiseksi on kehitetty useita helppokäyttöisiä ohjelmia kuten Guarddog, firestarter, KMyFirewall, fwbuilder, system-config-firewall, Gufw ja lokkit. On olemassa jopa nettipalvelu joka generoi skriptin parin kysymyksen pohjalta. Firehol pohjautuu tekstipohjaiseen asetustiedostoon, jonka syntaksi on helppotajuinen ja kotisivuilta löytyy hyvä esimerkkitiedosto yksityiskohtaisesti selitettynä. Suositeltavaa on myös kokeilla asetustiedostoihin pohjautuvaa shorewall-palomuuria, joka yksinkertaistaa monimutkaistenkin palomuuri- ja kaistanrajoitussääntöjen tekemistä.

Jos Linux-kone huolehtii verkon jakamisesta muille kotiverkon koneille tarvitaan NAT (eng. network address translation) ja porttien ohjaus (DNAT). Jos käytössä on kiinteä verkko-osoite, kannattaa käyttää MASQUERADE:in sijasta SNAT:a.

On myös olemassa erikoistuneita palomuurilevityksiä, joissa on palomuuriasennus ja www-pohjainen työkalu tähän tarkoitukseen. Hyvänä esimerkkinä on esimerkiksi Smoothwall ja ClarkConnect.

Myös kaupallisia levityksiä palomuuritekniikan suhteen on olemassa esimerkiksi Astaro.

Erilliset palomuurilaitteet

Linux on tullut myös laitteistopohjaisiin palomuureihin. Kotimaisen Online Solutionsin Sec tuoteperhe on Linux-pohjaisista ratkaisuista rakennettu kokonaisuus, jolla voidaan suojata erillisiä palvelimia tai koko lähiverkko.

Secwall on modulaarinen tilallinen muuri, jolla voidaan joustavasti säännöstön avulla määrittää mitä liikennettä sallitaan työasemille sekä työasemilta internetiin. Laitteesta löytyy myös VPN-keskitin, jonka avulla voidaan rakentaa turvallinen etäkäyttöympäristö.

Smoothwall distribuution tekijät myyvät omaa tuotettaan erillisenä laitteena nimeltä Smoothwall Rack-Mount Network Appliance. Smoothwallia voidaan laajentaa erillisillä softalisäosilla, jolloin siihen saadaan lisää toimintoja.

Ero rautamuurien ja normaalin iptables-muurin välillä ei ole suuri. Rautamuurikoneissa on vain jätetty pois suurin osa palveluista ja ohjelmista joita ei laitteessa tarvita, jolloin järjestelmästä tulee mahdollisimman pelkistetty. Turhien osien karsimisella lisätään laitteen tietoturvaa.

Joissain Linksysin WRT-sarjan reitittimissä on Linux-käyttöjärjestelmä, jota voi avoimen lähdekoodin ansiosta muokata. OpenWRT-projekti on erikoistunut Linksysin WRT-reitittimen Linux-pohjaisen firmwaren muokkaamiseen, jolla saadaan helposti toteutettua kotiverkkoon soveltuva NAT-palomuuri. Valitettavasti WRTn reititysteho ei riitä yli 10Mbit uplinkin käsittelyyn, joten se ei sovellu nopeimpiin saatavilla oleviin kuluttajaliittymiin.

VPN/IPSEC-laitteet

Ciscon halpamerkki, Linksys valmistaa Linux-pohjaisia ratkaisuja palomuureiksi. Kotireittittimeksi nämä laitteet ovat edullisia ja erittäin hyviä.

Linksys-tuotevalikoima sisältää myös VPN-palvelimia kohtuulliseen hintaan.

  • Linksys BEFVP41 on 70 vpn tunneloinnin mahdollistava laitteisto
  • Linksys BEFSX41 on 2 vpn tunneloinnin mahdollistava laitteisto
  • Ohje vpn-tunnelin rakentamiseen

Näiden laitteiden etuna on ipsec/freeswan ilman lisenssikustannuksia.

Myös Snapgear tarjoaa edullista Linux-rautaa palomuurikäyttöön.

Katso myös