Palomuurit Turun yliopiston alueella

Palomuurin tarkoitus on suojata tietokonejärjestelmää luvattomalta verkkoliikenteeltä. Luvatonta liikennettä voi olla paitsi ulkopuolinen tunkeutumisyritys koneelle, myös koneessa olevan ohjelman suorittama luvaton lähetystoiminta.

Turun yliopistolla on ATK-keskuksen ylläpitämä palomuurijärjestelmä, joka estää luvattoman liikenteen verkon solmukohtien läpi. Tämä ei kuitenkaan pysty estämään liikennettä sisäistä liikennettä verkossa, jossa kaikki koneet on liitetty toisiinsa kuten ohut-Ethernet-verkossa. Kierretyn parin verkossa kukin kone voidaan erottaa toisista koneista siten, etteivät ne näe toisiaan. Tällöin myös keskitetyn palomuurin rakentaminen on helpompaa.

Yksittäisessä koneessa palomuuri voidaan toteuttaa ohjelmallisesti tai ns rautapalomuurilla eli erillisellä tähän tarkoitetulla laitteella.
Esimerkkejä softapalomuureista:
Kerio, joka aiemmin tunnettiin nimellä Tiny Personal Firewall. Nykyinen täysversio on kaupallinen, mutta ilmaisversiokin on toimiva.
Personal Firewall, josta myös löytyy ilmaisversio
MS Windows XP SP2 sisältää omat suojausmekanisminsa. Esimerkiksi sen palomuuriosuutta on parannettu SP1:n kokemusten jälkeen. Tätä kirjoitetaessa ATK-keskus suosittelee SP2:ta (ks. ATK epäviralliset ohjeet / PTM)

Lisää tietoa palomuurin virittämisestä löytyy esim IANA:n ja SANS:n sivuilta.

Softa-palomuuri kuluttaa tietenkin hieman koneen tehoa. Mikäli tästä on haittaa, voi kokeilla ulkoisia rautapalomuureja. Niidenkin toiminta perustuu kuitenkin omaan tietokoneeseensa, joten niiden nopeuksissa on huomattavia eroja.

ATK-keskus ei kykene tukemaan konekohtaisia palomuureja resurssipulan takia. Toinen ongelma tiedon julkaisemisessa on se, että tietoa voidaan käyttää myös murtauduttaessa Yliopiston verkkoon. Siksi tämäkään dokumentti ei käsittele asiaa täydellisesti.
Jokainen, joka asentaa itselleen palomuurin, joutuu vastaamaan itse sen toimivuudesta.
Yleisin ongelma palomuureissa on ollut niiden määrittelyissä. Käyttäjän pitää tietää, mitkä portit pitää sulkea ja mitkä jättää auki. Pitää myös tietää, miltä verkon laitteilta tuleva liikenne pitää sallia. Nämä määrittelyt voivat sitäpaitsi muuttua, joten ylläpitäjän pitää jatkuvasti tarkkailla muurinsa toimintaa. Tähän voidaan listata vain yleisiä suuntaviivoja, jotka ovat tätä kirjoitettaessa voimassa.

Tässä lyhyt ja tiivis kommentti ATK-keskuksen omien palomuurien ylläpitäjiltä:

    Pari näkökulmaa:
- Kannattaa tosiaan sallia liikenne yliopiston palvelimien
verkkoon eikä yksittäisille palvelimille.

- Kotipalomuurit mielellään ilmoittelevat kaikenlaisesta
liikenteestä näyttävästi. osaksi myös ihan asiallisesta.

- Osa hyökkäyksen näköisestä liikenteestä voi olla itse
aiheutettua. Jos on käyttänyt p2p (esim Kazaa) ohjelmaa ja 
lopettaa sen käytön, tulee verkosta monista osoitteista 
kyselyjä koneelle.

Ohje 1. Vain sellainen saapuva liikenne sallitaan, mikä on vastaus itse lähetettyyn kyselyyn.
Käynnistyessään kone tarvitsee tietoa DHCP, DNS ja WINS -palvelimilta, joten se lahettää näitä koskevan kyselyn.
Webbi-sivua avattaessa kone lähettää pyynnön saadakseen sivun ja saa vastauksena sivun
Tulostettaessa lähetetään työ tulostuspalvelimelle ja saadaan vastauksena tieto prosessin etenemisestä

Ohje 2. Peruskäyttäjälle riittää, jos sallii liikenteen ATK-keskuksen aliverkoista 1 ja 116 sekä unix.utu.fi -koneelta.
Turun yliopiston 130.232.yyy.xxx -verkko on jaettu siten, joista aliverkko yyy ilmoittaa laitoksen tai muun isomman yksikön osoitteen ja xxx osoitteen tälläisen yksikön sisällä. Tätä kirjoitettaessa palomuurille voidaan opettaa seuraavat tiedot:

Vaadittavat portit