DOC

Linux-palomuurit

By Gladys Perry,2014-08-10 16:22
11 views 0
Linux-palomuurit

    Linux-palomuurit

     Ylönen Mikko

     Tompuri Arto

     EL2

Sisällys

    Sisällys ________________________________________________________________________ 2 Palomuurit yleisesti ______________________________________________________________ 3 Linux palomuurina ______________________________________________________________ 3 Smoothwall ____________________________________________________________________ 4 Iptables / Netfilter _______________________________________________________________ 4 Firestarter _____________________________________________________________________ 5 Omia kokemuksia _______________________________________________________________ 5 Lähteet ________________________________________________________________________ 5

Palomuurit yleisesti

    Palomuurin tehtävänä on pitää sisäverkko (tai tietty osa verkosta) suojattuna ulkopuolisilta hyökkäyksiltä. Muuri voidaan toteuttaa joko erillisellä siihen tarkoitetulla laitteella (ns. kovopalomuuri) tai PC-koneella jossa on asian hoitava palomuuriohjelmisto (softapalomuuri). Ohjelmistopohjaisen toteutuksen kanssa on koneen käyttöjärjestelmään kiinnitettävä huomiota. Hyökkäyksille altis järjestelmä on huono valinta palomuurille. Laitteistopohjaisella toteutuksella tätä ongelmaa ei normaalisti ole. Palomuuri ei suojaa verkkoa viruksilta, vaan sitä varten on hankittava oma ohjelmistonsa.

    Palomuuri sijoitetaan tavallisesti sisä-, sekä ulkoverkon ns. solmupisteeseen. Näin saadaan kaikki verkkojen välinen liikenne kulkemaan palomuurin läpi. Se käsittelee lähtevät, sekä tulevat paketit, ja päättää niiden läpipäästämisestä yleensä lähde-, ja kohdeosoitteiden, sekä porttien perusteella. Palomuurilaite voi tarjota myös muita palveluita, kuten DHCP-, ja DNS-serverin. Myös osoitteenmuunnos (NAT) on mahdollista toteuttaa samalla laitteella.

Linux palomuurina

    Linux-pohjaisen järjestelmän valitseminen palomuurin alustaksi on perusteltua mm. hyvän tietoturvan takia. Mahdolliset tietoturva-aukotkin korjataan nopeasti päivityksillä. Järjestelmänä Linux on lisäksi kevyt, joten palomuurin saa hyvin vanhemmastakin tietokoneesta. Jo 486-tasoinen PC voi toimia pienen verkon palomuurina. Liikennemäärän kasvaessa kuitenkin myös laskentatehon vaatimus kasvaa. Useimmat distribuutiot ovat myös ilmaisia kotikäyttäjälle.

    Linux-palomuuri voidaan toteuttaa kahdella tavalla, helpolla ja vähemmin helpolla. Helppo tapa on asentaa valmis palomuuridistribuutio, kuten Smoothwall tai Stinghorn SIF lite. Hieman monimutkaisempi, mutta myös monipuolisempi tapa, on asentaa jokin yleiskäyttöön tarkoitettu distribuutio, ja konfiguroida palomuuri sen päälle. Tällaisia distribuutioita ovat mm. Debian, Fedora Core ja Mandrake. Yleisin tapa toteuttaa palomuuri tällaisen distribuution päälle, on käyttää Iptablesia.

Smoothwall

    Alunperin vuonna 2000 esitelty Smoothwall keräsi nopeasti suosiota halpana ja helppona ratkaisuna kotikäyttäjille.

    Smoothwall on ilmaiseksi palomuuriohjelmaksi monipuolinen ja sisältää paljon lisäominaisuuksia, kuten VPN:n, Squid HTTP-välityspalvelimen ja dynaamisen DNS tuen. Smoothwallista on myös tarjolla lähinnä yrityskäyttöön suunniteltu maksullinen versio SmoothWall corporate server 3.0, mikä tarjoaa vielä monipuolisempia ominaisuuksia, mitä ei välttämättä kotiverkossa tarvitse, kuten esimerkiksi IP-kohtaisen kaistanrajoittamisen.

    Smoothwallin asennus tyhjentää koko kovalevyn, joten Smoothwallia ei voi asentaa toisen käyttöjärjestelmän rinnalle. Käyttöönotto on helppoa ja suoraviivaista, eikä käyttäjän tarvitse välttämättä tietää Linuxista mitään järjestelmän käyntiin saamiseksi.

    Perusasennuksen jälkeen Smoothwallia käytetään pääasiassa etäyhteydellä SSL:lla tai HTTP:llä, koska smoothwall-koneelta ei voi säätää kuin perusasetukset että etäyhteys saadaan aikaiseksi. Etäkäyttöliittymästä pääsee optimoimaan palomuurin toimintaa ja haluttaessa lisäämään palveluita. Toiminnot on jaoteltu välilehtiin ja käyttöliittymä on muutenkin aika käyttäjäystävällisen näköinen.

    Smoothwall on tehty myös aloittelevia käyttäjiä varten, joten oletusasetuksissa on valmiiksi avattu yleisimmät portit ja sisäverkosta lähtevien ohjelmien paluuliikenne sallitaan. Tämä ei ole tietoturvallisin ratkaisu, mutta helpottaa käyttöönottoa.

Iptables / Netfilter

    Netfilteriä käytetään palomuurin toteutukseen Linuxin kernelin 2.4 sekä uudemmissa versioissa. Iptables puolestaan on työkalu Netfilterin konfigurointiin. Sitä käytetään säätämään ytimen suodatussääntöjä paketeille. Sääntöjen perusteella valitaan paketille tehtävä toimenpide. Näitä ovat ACCEPT, DROP sekä REJECT. ACCEPT päästää paketin läpi ja yhteys voi jatkua. DROP hylkää paketin ja yhteys katkeaa. REJECT ei myöskään päästä pakettia läpi. Se kuitenkin palauttaa paketin lähettäjälle virheilmoituksen. Netfilteriä hallitaan oletuksena kolmella taululla; FILTER, NAT ja MANGLE.

Firestarter

    Firestarter on erittäin käyttäjäystävällinen, ja helppokäyttöinen palomuuriohjelma. Ohjelman velhon(Wizzard) avulla aloittelijakin saa asetukset kuntoon, ja palomuurin toimimaan. Käyttöliittymä on lisäksi täysin graafinen, ja se on saatavilla 40 eri kielellä, suomi mukaan luettuna. Lisäksi Firestarterissa on sisäänrakennettu DHCP-serveri, sekä välityspalvelin. Oman lähiverkon pystyttäminen on näin tehty helpoksi. Ilmaisista Windows-palomuureistä näitä ominaisuuksia ei löydy.

Omia kokemuksia

    Smoothwall asennettiin laboratoriotyönä ja myöhemmin myös kotiin. Kotikoneena toimi Compaq P233MHz 128M muistilla. Smoothwall tunnisti hyvin kaikki vanhemmatkin laitteet. Verkkokortteja kokeiltiin muutamaa eri tyyppiä Realtekiltä ja 3comilta. Compaqin integroitu verkkokortti tunnistui, mutta se ei ainakaan ilman säätämistä toiminut, joten integroituihin kortteihin kannattaa suhtautua varauksella.

    Fedora core 3:n päälle rakennettua palomuuria ei aluksi saatu toimimaan, koska koko järjestelmää ei saatu yhdistämään verkkoon. myöhemmin syyksi paljastui fedoran bugiset graafiset verkkotyökalut. verkkoasetusten poistamisen ja uudelleenohjelmoimisen jälkeen asensimme kyseisen järjestelmän päälle Firestarter-palomuuriohjelman. Se on tehty aloittelijoita ja peruskäyttäjiä silmälläpitäen ja sen käyttöönotto oli helppoa, eikä ongelmia esiintynyt.

Lähteet

www.howstuffworks.com

    www.fs-security.org

    www.smoothwall.org

    www.linux-firewall-tools.com/linux/

    www.faqs.org/docs/linux_network/x-087-2-firewall.future.html

    Tietokone 10/2004

Report this document

For any questions or suggestions please email
cust-service@docsford.com