Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Linux palomuurina Kimmo Karhu, EL0A

JulkaistuHeli Mäkinen Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Linux palomuurina Kimmo Karhu, EL0A"— Esityksen transkriptio:

1 Linux palomuurina Kimmo Karhu, EL0A
MIKÄ ON PALOMUURI? PALOMUURITYYPIT RED HAT LINUX PALOMUURIN OHJELMISTOT PALOMUURIN YLLÄPITO Seminaarityö: Linux palomuurina, Kimmo Karhu KYAMK EL0AT

2 MIKÄ ON PALOMUURI? Suojaa paikallisverkkoa Internetistä tai muista verkoista tulevilta hyökkäyksiltä Rajoittaa ja valvoo verkkoon tulevaa ja verkosta lähtevää liikennettä Palomuurin tärkeimpinä tehtävinä on suojata yrityksen tai yhteisön lähiverkko ulkoapäin tulevilta yhteydenotoilta sekä suodattaa ja valvoa verkosta ulospäin suuntautuvaa liikennettä. Palomuurien käyttö on yleistynyt huomattavasti Internetin räjähdysmäisen kasvun vuoksi, eikä lähiverkkojen kytkemistä Internetiin ilman palomuurisuojausta voi enää hyväksyä lainkaan. Palomuuri toimii yksinkertaistettuna niin, että kaikkeen liikenteeseen kohdistetaan säännöt, joiden mukaisesti liikenne joko sallitaan tai estetään. Voidaan esim. määrätä millä protokollilla ja mistä IP osoitteista tulevat yhteydet ohjataan omassa verkossa johonkin tiettyyn IP osoitteeseen.

3 PALOMUURITYYPIT Ohjelmallinen palomuuri suojaa yksittäisen tietokoneen
Automaattiset päivitykset Valvovat myös sovelluksia Ovat ohjelmistoja -> mukana ohjelmistojen ongelmat Helppokäyttöisiä Ohjelmalliset palomuurit ovat tällä hetkellä suosituin palomuuriryhmä. Niiden käyttöä puoltaa edullisuus ja helppokäyttöisyys. Suurimpana puutteena ohjelmallisissa palomuureissa on juuri niiden ohjelmallisuudessa, eli mikäli palomuuriohjelmisto kaatuu tai ei muuten toimi, esim. levyvirheen takia on suojaus poissa ja tietokone on avoinna hyökkäyksille. Hyvänä ominaisuutena useimmissa ohjelmallisissa palomuureissa on niiden kyky estää eri ohjelmien pääsy ulos omasta koneesta, eli esim. vakoiluohjelmat tai troijalaiset eivät voi lähettää tietojaan ulos ilman käyttäjän hyväksyntää.

4 Liikkuvat käyttäjät on suojattava palomuurilla !!
Yritysverkkojen suojauksessa ohjelmallisia palomuureja ei yleensä käytetä, mutta kannettavissa tietokoneissa ne puoltavat paikkaansa. Erityisesti jos kannettavat koneet ottavat yhteyksiä yritysverkkoon VPN yhteyksillä, on laitteet syytä suojata ohjelmallisilla palomuureilla. VPN yhteys otetaan useimmiten siten, että käyttäjä soittaa Internet-operaattorin soittosarjaan ja muodostaa yhteyden Internetiin. Tämän jälkeen käyttäjä avaa yhteyden VPN ohjelmistoa käyttäen yritysverkon VPN yhdyskäytävään tai palomuuriin ja yhteyden muodostuttua Internetistä on käyttäjän koneen kautta yhteys myös yritysverkkoon.

5 PALOMUURILAITTEET Tavallinen PC Valmistajan oma ratkaisu
Vähintään 2 verkkokorttia Toimivat jopa sovellustasolla Tehokkaita Monimutkaisia Paljon ominaisuuksia: tilallisuus hälytykset kuormantasaus DMZ vyöhyke Kalliita Laitteistopohjaiset palomuurit on rakennettu juuri palomuurina toimimista varten. Ne voivat olla aivan tavallisia PC laitteita. Palomuuri voi olla myös toteutettu valmistajan omilla rautaratkaisuilla, jolloin varsinaiseen rautaan ei pääse itse vaikuttamaan. Tyypillisesti palomuurilaite sisältää vähintään kaksi, mieluummin useammankin verkkokortin, riittävästi keskusmuistia ja vikasietoiset virtalähteet katkottoman toiminnan varmistamiseksi. Kaupallisissa palomuureissa on lukuisia muita ominaisuuksia, kuten DDoS hyökkäysten tunnistamisen, kuormantasauksen ja rajapinnat kolmansien osapuolien sovelluksille, kuten virusten tarkistukselle. Ehdottomasti tärkein hyöty em. palomuurien käytössä on se, että ne ovat tyypillisesti myös sovellustasolla toimivia, eli tutkivat myös pakettien sisältöä ja antavat näin paremman suojan yksinkertaisen pakettisuodattimen sijasta.

6 RED HAT LINUX Vakaa Tietoturvallinen Tehokas TCP/IP pino
RedHat Inc. perustettu 1994 Vapaan levityksen versio on nykyisin Fedora Palomuurin käyttöjärjestelmän tulee olla vakaa ja tietoturvallinen eikä helppokäyttöisyyskään ole pahitteeksi. Valitettavasti nämä käsitteet eivät helposti esiinny samanaikaisesti nykyisissä käyttöjärjestelmissä. Käyttöjärjestelmää valitessa on usein tehtävä valinta Microsoft Windows 2000:n ja vapaan koodin Linux käyttöjärjestelmien välillä. Microsoftilla on tarjolla Windows 2000 ISA (Internet Security and Acceleration Server) palomuurituote. Vapaasti levitettävä ja lähdekoodiltaan avointa Linuxia pidetään yleisesti erittäin vakaana ja tietoturvaltaankin se on oikean asennuksen jäljiltä varsin luotettava. Pitää siis kuitenkin muistaa, että oletusasennuksena useimmat ainakin vanhemmista Linux distribuutioista ovat hyvinkin avoimia ja ajavat useita täysin turhia palveluita. Myös useat suorituskykymittaukset ovat osoittaneet Linuxin TCP/IP pinon olevan erittäin suorituskykyinen, ja muutoinkin sen hyödyntävän laitteiston resurssit tehokkaammin kuin Windows.

7 ASENNUS Levytilaa n. 1,5 GT Asennus expert tai tekstitilassa
Vain välttämättömät kirjastot ja ohjelmat asennetaan Valitse varmaa rautaa, jolle ajurituki on taattu Levytilaa kaikki Linux distribuutiot kuluttavat asennustavasta riippuen vähintään MT levytilaa ja tyypillinen asennus, jossa tarvittavat kirjastot ja kääntäjät on asennettu kuluttaa helposti 1,5 GT levytilaa. Varsinkin palomuuriasennuksessa asennustavaksi kannattaa aina valita teksipohjainen asennusohjelma, mieluiten expert tilassa. Tällä varmistetaan, että turhia ja mahdollisesti tietoturvariskejä sisältäviä paketteja ja ohjelmistoja ei asenneta, esim. X-ikkunointi ja selainohjelmistot tekstipohjaista Lynxiä lukuun ottamatta kannattaa jättää kokonaan pois. Asennuksen aikana annetaan myös pääkäyttäjän eli root -käyttäjän salasana ja samalla kysytään salasanojen suojauksen tasoa. Suojaustasoksi kannattaa aina valita MD5 kryptatut tiedostot ja shadow -salasanat, jolloin niiden murtaminen on erittäin vaikeaa.

8 ASENNUS Osiointi: /boot -osio: 50 MT / -osio: 500 MT
/usr -osio: 1,5 GT /home -osio: tarpeen mukaan, palomuurissa esim. 500 MT riittää hyvin /var -osio: riippuu suuresti lokitietojen keräystarpeesta, esim. 500 MT swap -osio, jolle keskusmuistin sivutustiedosto osoitetaan, vähintään saman suuruinen kuin asennettu keskusmuisti muita osioita tarpeen mukaan, esim. Squid proxy- palvelin toimii tehokkaim-min jos sille on varattu oma osio.

9 ASENNUS Asennuksen jälkeen kaikki turhat palvelut pois
Konfigurointiin on useita työkaluja: Linuxconf YAST Verkkokorttien toiminta IP osoitteet Lähes kaikki Linuxin vaatimat asennuksen jälkeiset asetukset on helpointa tehdä jollakin tarkoitukseen sopivalla työkalulla, joita ovat mm. Linuxconf ja Yast. Nämä ohjelmat tekevät tarpeelliset muutokset erilaisiin konfiguraatiotiedostoihin, joita on Linuxissa kuten muissakin Unixeissa lukuisia. Palomuurin toiminnan kannalta välttämättömät asetukset ovat esim. verkkokorttien IP-osoitteet ja host-nimi. Käyttäjätunnuksia voi myös ylläpitää Linuxconf -ohjelmalla, mutta palomuurin tapauksessa käyttäjätunnuksia on vain hyvin vähän, joten niiden ylläpito on helppoa myös komentotulkin kautta. Palomuurin ei tule ajaa mitään turhia palveluita, joten kaikki sellaiset karsitaan pois heti alussa. Unixeille tyypillisesti, myös Linux lukee käynnistyessään init -tiedostoja /etc/init -hakemistosta, ja valitusta runlevel -tasosta riippuen tiedostojen symboliset linkit sijaitsevat /etc/rcX.d -hakemistoissa. Vaihtamalla käynnistysskriptin S -kirjaimen K -kirjaimeksi tai muuttamalla skriptin järjestysnumeroa, saadaan palvelu pois käynnistyksestä tai muutettua sen käynnistysjärjestystä. Lisäksi /etc/xinetd.conf -tiedostossa on joitakin määrityksiä ns. internet superpalvelimen osalta, ja mikäli tätä palvelua käytetään, kannattaa myös varmistaa että turhia portteja / palveluita kuten telnet ei jää auki.

10 PALOMUURIN OHJELMISTOT
Kernel Iptables ProjectFiles Firewall Psionic Portsentry Squid Käyttöjärjestelmän ydintä kutsutaan kerneliksi, ja se on käyttöjärjestelmän tärkein komponentti. Kernel hoitaa mm. muistinhallinnan, tiedostojärjestelmän käsittelyn ja useita muita lähellä laitteistoa tapahtuvia toimintoja. Linuxin erikoisin piirre on kernelin muokattavuus. Koska kernel, kuten muutkin Linux ohjelmat, on vapaan lähdekoodin alaista tietoa, voi siihen lisätä omia piirteitään jos vain ohjelmoijan taidot riittävät. Myös Microsoftin Windows käyttöjärjestelmät sisältävät kernelin, mutta se on valmiiksi käännetty soveltuvaksi kaikkiin pc pohjaisiin tietokoneisiin, eikä sen toimintaan voi itse juuri vaikuttaa. Myös Red Hat Linux sisältää tällaisen valmiiksi käännetyn 'yleiskernelin' jossa on tuki useimmille tarvittaville laitteille. Tämä tekee kernelistä kuitenkin ison ja raskaan sekä altistaa tietoturvariskeille.

11 KERNEL Distribuution mukana tulee yleiskernel
Tietoturva-aukot paikattava säännöllisesti Lisää tehoa kääntämällä räätälöity kernel Tarvittaessa lisäominaisuuksia Patcheilla, esim. Netfilter Linux palomuurin toiminta perustuu useisiin eri ohjelmistoihin, joista tärkein on Linuxin ydin eli kernel. Muilla ohjelmilla saadaan palomuureille tyypillisiä ominaisuuksia, mutta kernel on vastuussa palomuurin tärkeimmistä toiminnoista, kuten reitityksestä.

12 IPTABLES Korvaa vanhentuneet ipfwadm ja ipchains -ohjelmat
Tilallinen toiminta Monipuoliset NAT/PAT muunnokset Vaatii 2.4 kernelin Valmiit skriptit helpottavat käyttöä! Iptables -ohjelmisto esiteltiin kernel version 2.4 julkaisun myötä. Iptables on joko kerneliin käännetty komponentti tai sitten se voidaan ladata kerneliin modulina. Iptables korvaa aiemmat ipfwadm ja ipchains pakettisuodattimet. Iptables ohjelmistoa ylläpitää ja kehittää Netfilter tiimi vetäjänään Paul Russel. Kuten muutkin Linux ohjelmistot, iptables julkaistaa GNU lisenssin alaisuudessa ja sen ominaisuuksia voi muokata kuka tahansa. Tärkein uudistus iptables ohjelmistossa on sen tilallisuus, eli iptables osaa valvoa liikennettä verkkokerroksella. Iptables parantaa myös tietoturvaa tarkkailemalla saapuvien ja lähtevien pakettien tilaa jo muodostetussa yhteydessä rakentamalla niistä taulukon, ja tunnistaa mikäli lähde- tai kohdeportteja yritetään muuttaa kesken jo avatun yhteyden. Iptables suojaa myös porttiskannereita vastaan, koska se pitää kaikki portit suljettuina ja avaa ne vasta kun kyseessä on jonkin sovelluksen, kuten SMTP:n todellinen yhteydenottopyyntö.

13 PROJECTFILES FIREWALL
Helppokäyttöinen ja selkeä Skripti, joka huolehtii iptables komentojen antamisesta Hyvin dokumentoitu Useita eri skriptejä iptablesin ylläpitoon kokeiltuani olen päätynyt Projectfiles sivustolla (projectfiles.com/firewall) kehitettyyn palomuuriskriptiin. Palomuuriskriptin käyttöön otto on erittäin helppoa: valmis skripti siirretään /etc/rc.d/init.d hakemistoon, nimetään uudelleen firewall nimelle ja kohdistetaan tiedostoon vielä luku-, kirjoitus- ja suoritusoikeudet root tunnukselle ja muille luku- ja suoritusoikeudet.

14 PSIONIC PORTSENTRY IDS eli Intrusion Detection System
Tunnistaa useita eri hyökkäyksiä Nykyisin Cisco Systemsin omistuksessa Psionic Portsentry on USA:ssa Texasissa toimiva Unix järjestelmien tietoturvaohjelmistoja kehittävä yritys. Lokakuussa 2002 Cisco Systems osti yrityksen lisätäkseen sentry ohjelmistojen ominaisuuksia omiin tuotteisiinsa. Psionicin muita ohjelmia ovat mm. Logsentry Unix järjestelmien lokien analysointiin ja Hostsentry kirjautumisien valvontaan. Portsentry on ohjelma, joka tarkkailee TCP/IP liikennettä ja tunnistaa erittäin luotettavasti kehittyneetkin porttiskannaukset. Kuvassa nMap skannerilla on yritetty saada tietoja Posrtsentryn suojaamasta Linux palomuurista.

15 SQUID Välimuisti eli proxy Vähentää ulospäin suuntautuvaa liikennettä
Voidaan valvoa HTTP liikenteen sisältöä Voidaan rajoittaa HTTP liikennettä Toimii myös Windows laitteissa Squid on vapaaseen lähdekoodiin perustuva proxy eli välimuistiohjelma. Välimuistiohjelman tarkoitus on vähentää ulkoista, Internetiin suuntautuvaa liikennettä, pitämällä jo luettuja www sivustoja lähempänä käyttäjää. Sivustot talletetaan välimuistipalvelimen kiintolevyille ja keskusmuistiin. Kun käyttäjä pyytää selainohjelmaa hakemaan jonkin www osoitteen tarjoamaa sivustoa, pysäyttää proxypalvelin tämän pyynnön ja tarkistaa, onko pyydettyä sivua jo välimuistissa ja jos on, proxy tarjoaa sivuston heti välimuistista käyttäjälle eikä sivuja lähdetä hakemaan uudelleen Internetistä. Välimuistia voidaan myös hyödyntää liikenteen valvonnassa ja estää esim. tietyille sivustoille pääsy kokonaan tai estää vaikkapa ajettavien ohjelmistojen lataaminen selaimen kautta.

16 PALOMUURIN YLLÄPITO Etähallinta SSH:n avulla Hallinta konsolista

17 SSH Turvallinen pääteyhteys Tunnelointi vahvalla salauksella
Suomalainen keksintö Uusin versio SSH2 Ylläpito jopa mobiilipäätteillä SSH on alunperin suomalaisen Tatu Ylösen kehittämä varsin turvallinen sovellus Unix järjestelmien etäkäyttöön. Perinteisestihän Unix laitteiden ylläpito on hoidettu Telnet protokollan / ohjelmiston avulla, mutta Telnetin heikkous on sen olematon tietoturva. SSH:n uusin versio on numeroltaan 2 eikä vanhempaa ykkösversiota voi enää käyttää, koska sen käyttämä tiedonsalaus on nykymenetelmin helppo murtaa. Palomuurin ylläpito sujuu kätevästi SSH2 protokollaa käyttäen jonkin SSH clientin avulla. Palomuurissa voidaan ajaa vapaan lähdekoodin OpenSSH palvelua joka on saatavilla osoitteesta OpenSSH on saatavilla lähdekoodin lisäksi myös valmiiksi käännettynä RPM pakettina.

18 KONSOLI Näyttö ja näppäimistö kiinni suoraan palomuurissa
Näppäimistö suojattava niin, että sitä ei voi käyttää kuka tahansa Vikatilanteissa välttämätön Kaikkia ylläpidon tehtäviä ei voi suorittaa etäyhteyksien kautta, vaan ne on hoidettava suoraan palvelimen näppäimistön ja näytön kautta eli konsolilla. Tällaisia toimenpiteitä ovat esim. järjestelmän elvytys, käynnistäminen single user moodiin tai vaihtoehtoisen kernelin valinta käynnistyksen yhteydessä. Tietoturva pitää muistaa myös konsolin osalta: näppäimistön käytön estäminen on Linux järjestelmissä ensisijaisen tärkeää, koska root tunnuksen salasanan muuttaminen onnistuu helposti konsolista.

19 KYSYMYKSIÄ ?

Lataa ppt "Linux palomuurina Kimmo Karhu, EL0A"

Samankaltaiset esitykset

Tutustu tablettiin (taulutietokone)

Tutustu tablettiin (taulutietokone)
Ohjelman ominaisuuksia: HÄKÄ Päätehälytys (Acemessage) Windows Vista ja - 7, Net Send poistettu siksi Acemessage Unicast- ja multicast lähetys mahdollisuus.

Ohjelman ominaisuuksia: HÄKÄ Päätehälytys (Acemessage) Windows Vista ja - 7, Net Send poistettu siksi Acemessage Unicast- ja multicast lähetys mahdollisuus.
Tietokoneen käyttöjärjestelmä

Tietokoneen käyttöjärjestelmä
Internetprotokollien pääsynvalvonta verkkolaitteissa Teemu Heino Työn valvoja: Professori Raimo Kantola Työn suorituspaikka: Elisa Internet Oy.

Internetprotokollien pääsynvalvonta verkkolaitteissa Teemu Heino Työn valvoja: Professori Raimo Kantola Työn suorituspaikka: Elisa Internet Oy.
Johdatus Linuxiin Mauri Heinonen

Johdatus Linuxiin Mauri Heinonen
Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi löytyy myös kannettavia.

Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi löytyy myös kannettavia.
Työskentely verkoissa Jaana Holvikivi EVTEK Tietojenkäsittelyn historiaa 1950 1960 1970-luku 2001 Ensimmäiset tietokoneet PC:t Suuret tietokoneet laskentaan,

Työskentely verkoissa Jaana Holvikivi EVTEK Tietojenkäsittelyn historiaa luku 2001 Ensimmäiset tietokoneet PC:t Suuret tietokoneet laskentaan,
Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy 23.2.2000.

Cruiser 75/150 Teknisiä neuvoja Rami Rajala EP-Engineering Oy
Kiintolevyn osiointi.

Kiintolevyn osiointi.
Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010

Carita, Kati ja Juuso OSAO Myllytulli ja Mytlpt09E 2010
Tietokoneen suojaaminen Juuso Juntunen Myllytulli Mytlpt09e 2010.

Tietokoneen suojaaminen Juuso Juntunen Myllytulli Mytlpt09e 2010.
Ohjelmistokehittäminen. Luku 1 – Mitä on ohjelmistokehittäminen?

Ohjelmistokehittäminen. Luku 1 – Mitä on ohjelmistokehittäminen?
Linux palomuurina (iptables) sekä squid-proxy

Linux palomuurina (iptables) sekä squid-proxy
Suse / OpenSuse Antti Hartikainen. Terminologiaa SUSE = Saksalainen monikansallinen yritys, asiakkaina yritykset. SUSE Linux Enterprise = SUSEn kehittämä.

Suse / OpenSuse Antti Hartikainen. Terminologiaa SUSE = Saksalainen monikansallinen yritys, asiakkaina yritykset. SUSE Linux Enterprise = SUSEn kehittämä.
 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.

 Eristävä moniosainen järjestelmä  Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä  Voidaan toteuttaa joko ohjelmistolla tai.
Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010

Valtteri, Simo, Mika Myllytulli, My-tlpt09E 2010
Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi on kannettavia tietokoneita.

Tietokone Koostuu keskusyksiköstä, näytöstä, näppäimistöstä, hiirestä sekä muista mahdollisista lisälaitteista. Pöytäkoneiden lisäksi on kannettavia tietokoneita.
Edusaimaa-opetusverkko HarjoitustyönHarjoitustyön esitys.

Edusaimaa-opetusverkko HarjoitustyönHarjoitustyön esitys.
Tietoturva Sami jarkko Henri Myllytulli mytlpt09e 2010.

Tietoturva Sami jarkko Henri Myllytulli mytlpt09e 2010.
Gentoo Linux Niina Salmi Oh5. Yleistä Línux levitysversio Gentoo alunperin kehitetty olemaan –nopea –luotettava –vakaa Kaikki sen ohjelmat asennetaan.

Gentoo Linux Niina Salmi Oh5. Yleistä Línux levitysversio Gentoo alunperin kehitetty olemaan –nopea –luotettava –vakaa Kaikki sen ohjelmat asennetaan.

Samankaltaiset esitykset

Iklan oleh Google