1.1 Palomuuri suunnitelma

Samankaltaiset tiedostot
Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Yleinen ohjeistus Linux tehtävään

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Yleinen ohjeistus Linux-tehtävään

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Salausmenetelmät (ei käsitellä tällä kurssilla)

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

3. Laajakaistaliittymän asetukset / Windows XP

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

Yleinen ohjeistus Linux-tehtävään

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Sonera sovelluspalomuurin muutoshallintaohjeistus

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Kytkimet, reitittimet, palomuurit

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Linux palomuurina (iptables) sekä squid-proxy

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka. Joni Korjala APACHE WWW-PALVELIN Seminaarityö 2012

TCP/IP-protokollat ja DNS

Tietoliikenne II (2 ov)

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

Verkkolisenssin käyttöönotto

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA!

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Taitaja 2015 Windows finaalitehtävä

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

FuturaPlan. Järjestelmävaatimukset

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Ari Niemi YRITYSVERKON KEHITTÄMINEN JA PÄIVITYS

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

1. päivä ip Windows 2003 Server ja vista (toteutus)

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

TW-EAV510AC-LTE OpenVPN ohjeistus

TW-LTE REITITIN: INTERNET-YHTEYKSIEN KAISTANJAKO

PPTP LAN to LAN - yhteys kahden laitteen välille

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

TW- EAV510 / TW- EAV510 AC: OpenVPN

Sisältö. Työn idea Protokollat. Harjoitustyön käytäntöjä. Työn demoaminen. Etäisyysvektori Linkkitila. Palvelin Moodle SSH-tunnelit

WL54AP2. Langattoman verkon laajennusohje WDS

MITEN TARKISTAT TIETOKONEESI VERKKOKORTTIASETUKSET

T Tietokoneverkot kertaus

Tikon Ostolaskujenkäsittely versio SP1

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

OpenVPN LAN to LAN - yhteys kahden laitteen välille

Harjoitustyö. Jukka Larja T Tietokoneverkot

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows Vista

Järjestelmäarkkitehtuuri (TK081702)

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows 7

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

Sähköposti ja uutisryhmät

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Pertti Pennanen pepe.local 1 (38) EDUPOLI ICTPro

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows XP

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

IP asetus -harjoitus Tietojenkäsittelyn koulutusohjelma

Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet

Nettiposti. Nettiposti käyttöohje

Mikä on internet, miten se toimii? Mauri Heinonen

Tietokoneet ja verkot. Kilpailupäivä 1, keskiviikko Kilpailijan numero. Server 2003 Administrator. XP pro Järjestelmänvalvojan

Osaa käyttää työvälineohjelmia, tekstinkäsittelyä taulukkolaskentaa ja esitysgrafiikkaa monipuolisesti asiakasviestintään.

Enemmän voitonriemua. Vähemmän tylsiä hetkiä. Pelien ja sovellusten jakaminen Sonera Viihde -palvelussa

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Written by Administrator Saturday, 28 August :51 - Last Updated Tuesday, 22 February :45

Siirtyminen IPv6 yhteyskäytäntöön

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

TW- EAV510/TW- EAV510AC: PPTP- OHJEISTUS

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

Suoritustavat: Laboratoriotöitä 2.-3.periodi. Luennot 2h, Laboratorityöt 4h, itsenäinen työskentely 124 h. Yhteensä 130 h.

Asenna palvelimeen Active Directory. Toimialueen nimeksi tulee taitajax.local, missä X on kilpailijanumerosi

Tietokoneet ja verkot. Kilpailupäivä 2, torstai Kilpailijan numero. allekirjoitus. nimen selvennys. Sivu 1

PPTP LAN to LAN - yhteys kahden laitteen välille

VALOKUITU PALVELUKUVAUS

Transkriptio:

Työ oli osa IT-palveluiden hallinta ja tietoturva kurssia, joka on osa kolmannen vuoden moduuliopintoja. Työssä keskityttiin lähinnä ingress-filteröintiin, eli filteröidään liikenne sen tullessa sisäänrajapintaan. Työssä tuli aikarajoitteet vastaan, ja asetusten täydellinen testaaminen jäi kesken. 1.1 Palomuuri suunnitelma Palomuurin asentaminen alkoi poistamalla VyOS-reitittimeltä 10.100.0.0/24 ja 10.0.0.0/24-verkot, sekä 10.50.0.0/24 DMZ-verkko. Palomuuri otti nämä alirajapinnat hoidettavakseen. Palomuurille luotiin nämä edellä mainitut verkot. Lisäksi luotiin uusi 10.24.0.0/24 verkko VyOS-reitittimen ja palomuurin välille. VyOS-reitittimelle määritettiin staattinen reitti, jolla ohjattiin pyynnöt edellä mainittuihin verkkoihin palomuurille. Tätä kautta liikenne kulkee jatkossa aina palomuurin kautta. Poikkeuksena ovat sivutoimipisteet, joiden liikenne ulkoverkkoon kulkee ilman palomuurin suodatusta. Kuviossa x on todennettu, kuinka liikenne kulkee palomuurin 10.100.0.1-rajapintaan. Sen jälkeen se kulkee 10.24.0.0/24 verkkoa pitkin VyOS-reitittimelle, joka reitittää sen määränpäähänsä. Kuvio 1. tracert-komento Palomuurin konfiguroimista nopeuttaa huomattavasti aliaksien käyttö. Loimme aliaksen ns. asiakasyrityksille, eli muiden yrityksien julkisille IP-osoitteille. Jos uusi asiakasyritys ilmestyy, tarvitsee vain lisätä tämä yritys aliakseen. Sivutoimipisteiden serverien sekä työasemien osoitteet niputettiin yhteen, ja DMZ-aluetta varten nämä vielä yhdistettiin. Aliaksia luodessa kannattaa kuitenkin olla tarkkana, ettei osoitteen tai osoitteiden poisto aliaksesta vaadi suurta määrää lisätyötä.

Kuvio 2. IP alias-määritelmät Myös portteja voidaan niputtaa yhteen. Aliaksien luominen voi myös selkeyttää palomuurisääntöjen lukemista. DHCP-palvelun kohdalla IPv4 ja IPv6 käyttivät eri portteja, joten niputimme nämä portit yhteen. http-aliakseen voitaisiin jatkossa lisätä alternative http-portit kuten 8080, eikä tarvitsisi kirjoittaa lisäsääntöjä tätä porttia varten. Aliaksen muokkaaminen riittäisi tässä tapauksessa. Jos tiedetään ennalta hyvin, että mitä portteja jollakin alueella on käytössä, voidaan niputtaa nämä portit yhteen, kuten DMZ_services aliaksen tapauksessa on tehty. Täytyy vain olla tarkkana, ettei salli liikaa portteja. Kuvio 3. Portti alias-määritelmät

Työn toteutus alkaa ottamalla outbound NAT-palvelu pois käytöstä. Tämä siksi, koska VyOS-reititin hoitaa NAT-osoitemuunnoksen. Kuvio 4. NAT-asetukset palomuurissa WAN-rajapinta on se rajapinta, johon saapuu kaikki ulkopuolinen liikenne, sekä liikenne lähtee ulkoverkkoon sen kautta. WAN-rajapintaan sallitaan tulevaksi liikenne asiakasyrityksistä DMZalueelle. Ei ole tarvetta, että asiakasyritykset ottaisivat yhteyden logistiikkaa.fi sisäiseen verkkoon. Lisäksi sallitaan kaikki liikenne aliaksesta 24 rajapinta, jossa on siis vain 2 IP-osoitetta, 10.24.0.1 ja 10.24.0.2. Tämä rajapinta-ratkaisu siis sallii kaiken vyos:in lähettämän liikenteen. Julkisilla osoitteilla on lähdeosoitteinaan oma julkinen osoite, joten liikenne on todella harvoin lähtöisin 10.24.0.1-osoitteesta. Olisimme voineet tehdä baselinen tälle verkolla. On kuitenkin kyseenalaista, että kuinka paljon loppujen lopuksi liikennettä kulkee VyOS:lta sisäverkkoomme. Etenkin kun olemme konfiguroineet OSPF:n kautta servereille sekä työasemille menevät rajapinnat passiivisiksi rajapinnoiksi jotka eivät vastaanota OSPF-mainostusviestejä. Kuviossa 39 on esitetty WAN-rajapinnan säännöt

Kuvio 5. WAN-rajapinnan säännöt Yhden palomuurin ratkaisussa on vaikeata hahmottaa sivutoimipisteiden reititystä. Liikenne siis saapuu esimerkiksi 10.200.2.0/24-osoitteesta. Siitä se voi joko mennä esim. 10.100.0.0/24 sisäverkkoon, tai VyOS eth0-rajapinnan kautta ulkoverkkoon. Kaikki sivutoimipisteiden liikenne reitittyy HQ VyOS-reitittimen kautta, joten on haastavaa suunnitella kaiken kattavaa ratkaisua. Jos liikenne menee ulkoverkkoon, se ei kulje lainkaan palomuurin kautta. Tätä kompensoi se, että hyvin vähän liikennettä sallitaan brancheilta logistiikkaa.fi sisäverkkoon. Jos liikenne menee brancheilta sisäverkkoon, silloin liikenne kulkee palomuurin kautta eth4- rajapinnan 10.24.0.0/24-verkkoa pitkin. Kuviossa x on suunnitelma sille, miten palomuuraus brancheille toimii. Branch_SRV-alias verkosta sallitaan servereille tarpeellinen liikenne, eli LDAP (portit 389 ja 3268) sekä Kerberos-protokolla. Voi olla, että windows-serverit tarvitsevat vielä tätäkin enemmän protokollia käyttöönsä servereiden välistä viestintää varten. Sivutoimipisteiden työasemille sallitaan pääsy päätoimipisteen samba-palveluun, sekä mahdollisuus tiedostonsiirtoon. Lisäksi kaikista branchien verkosta sallitaan pääsy DMZ-alueen palveluihin.

Kuvio 6. Palomuurin säännöt DMZ:lle Kuviossa 39 on esitetty palomuurin säännöt DMZ-rajapinnalle. Yhteys voitaisiin periaatteessa sallia kaikkialta internetistä määriteltyihin palveluihin, mutta tietoturvasyistä sallimme yhteydet julkisista osoitteista vain asiakasyritykset-ryhmästä. Suunnitelmassa on ehkä hieman toistoa, mutta siitä ei ole periaatteessa haittaa. Sääntöjen kirjoittaminen kahteenkin kertaan auttaa ymmärtämään palomuurausta sekä kehittämään rutiinia. Jos sisääntuleva liikenne on jo kerran filteröity, ei sitä tarvitse enää uudelleen filteröidä kun se saapuu ulostulevaan rajapintaan DMZ-rajapinnalle. Kaikki sisääntuleva liikenne siis saapuu ensiksi VYOS:n kautta 10.24.0.0/24 WAN-rajapintaan, josta liikenne ohjataan DMZ:lle. Jotta DMZ voi lähettää vastausviestit, eikä palomuuri oletuksena kiellä sitä, sallitaan kaikki liikenne 10.50.0.0/24-verkosta kaikkiin osoitteisiin. Rajausehdoksi määritetään se, että näiden palveluiden lähdeportin on oltava niitä palveluita, joita DMZ tarjoaa. Palvelin vastaa aina ns. perinteisellä portilla. http-pyyntöön vastataan 80-porttiin. Destination port on taas usein jotain 1000-65000 väliltä. Ja jos DMZ:n toiminta laajennetaan julkiseksi kaikkialle internettiin, myös vastausosoite voi olla mitä vain IPv4-osoitealueelta.

Kuvio 7. DMZ-rajapinnan asetukset HQSRV-rajapinnalle määriteltiin iso määrä sallittuja protokollia, jotka nähtiin tarpeelliseksi toimivalle palvelinympäristölle. Yhteydet sallitaan ulkoverkkoon, kunhan lähtöosoitteena on HQSRV-rajapinnan 10.100.0.0/24-osoite. Toisaalta taas yhteydet jotka sallitaan tähän verkkoon, ovat paljon enemmän rajoitetummat. Kohdeosoitteistusta voisi vielä tarkemmin rajoittaa. Yksi esimerkki tästä voisi olla se, että sallitaan 3268 eli global catalog-portin käyttö vain 10.100.0.0/24 ja 10.200-server verkkojen välillä. Kuviossa 42 ja 43 on esitetty HQSRV-rajapinnalle luodut säännöt.

Kuvio 8. HQSRV-rajapinnan säännöt Kuvio 9. HQSRV-rajapinnan säännöt 2

Työssämme täytyy lisäksi määrittää, että mikä liikenne sallitaan HQ työasemilta HQ servereille. Olennaisimpia ovat DNS, NTP, Samba, Kerberos sekä windows NetBIOS-palvelut. Myös LDAP ja global catalog-haut sallitaan varmuuden vuoksi. Jotta työasema-rajapinnan käyttäjät eivät pääse suorittamaan ldapsearch-hakuja, täytyy istuntojen kovennuksien olla kunnossa serverien puolella. Saattaa olla, että windows tarvitsee vielä näitä enemmän protokollia omiin palveluihinsa. Kuvio 10. HQSRV-rajapinnan palomuurisäännöt WS-rajapinnan säännöt muistuttavat hyvin pitkälti edellä määritettyä SRV-rajapinnan sääntöjä. Lisäksi täytyy määrittää yhteydet DMZ-alueelle, sekä sallia palveluita kuten http ja FTP ulkoverkkoon. Harjoituksen vuoksi yhdelle työasemalle lisättiin mahdollisuus muodostaa SSHyhteys servereille. Vastaavanlaisia erikoistapauksia täytyisi määrittää johtajille tai ITtukihenkilöille. WAN-rajapinnalle täytyy sallia http-liikenne ulkoverkosta WS-sisäverkkoon, ja miksei myös serveriverkkoon. http-liikenteen salliminen ulkoverkosta on tietenkin tietoturvariski. Tätä varten voitaisiin ottaa käyttöön palomuurin edistyneempiä ominaisuuksia, kuten deep inspection, joka siis tutkii pakettien sisältöä laajemminkin, kuin vain osoitteistuksen ja portin perusteella. Nämä ongelmat selittävät myös hyvin sen, että miksi tilallinen palomuuri on kätevä.

Koska SRV-rajapinnalle määritettiin niin tiukat ehdot sille, että mitä liikennettä päästetään läpi WSrajapinnasta, WS-rajapinnalle määritettiin löysät ehdot. Kaikki liikenne sallitaan SRV-rajapintaan, ja SRV-rajapinta filteröi mikä liikenne pääsee lävitse. Näin ollen ei tarvitse määrittää samoja sääntöjä kahta kertaa. On kuitenkin oltava tietoinen siitä, että missä vaiheessa liikenne suodattuu. Vastaavaa ajatustapaa voidaan soveltaa siinä, että mitä liikennettä sallitaan tulevaksi WSrajapinnasta lävitse. Koska kaikki liikenne on jo kerran suodatettu ennen kuin se saapuu WSrajapinnalle, määritämme että kaikki liikenne tähän verkkoon sallitaan. Kuvio 11. WS-rajapinnan säännöt 1.2 pfsense palomuurin toteutus ja todennus pfsense palomuuri on helppo asentaa. Laitteelle pitää määrittää hallinta-osoite, jonka jälkeen pääsemme konfiguroimaan laitetta verkon ylitse GUI:n kautta. Alla olevassa kuviossa 341 on kuvattu palomuurin IP-osoitteistuksen perusasetukset. Palomuuria varten luotiin uusi verkko VyOS-reitittimen ja palomuurin välille. Sille annettiin osoitealue 10.24.0.0/24, joista.1 on VyOS:ille ja.2 on palomuurille. Tämä verkko toimii WAN-rajapintana. Sitten määritetään muut verkot LANalueiksi. Kaikille näille annamme.250 päätteen. Yhdelle rajapinnoista annettiin ulkoverkon osoite, jotta pystyimme lataamaan ja asentamaan snort-paketin.

Kuvio 12. pfsense-palomuurin komentorivi Kuviossa 342 on kuva pfsense:n graafisesta käyttöliitymästä verkon ylitse. Kuvio 13. pfsense graafinen käyttöliittymä Jotta palomuuri toimii oikein, täytyy ottaa NAT pois käytöstä. Tämä on kuvattu kuviossa 343.

Kuvio 14. Firewall NAT-välilehti Firewall todennus tehtiin lisäämällä Labranetin transit-rajapintaan virtuaalinen workstation. Liikenne työasemalta kulkee VyOS-reitittimen eth0-rajapintaa pitkin, joten NAT-käännös toteutuu tämän kautta. NAT-käännös ei onnistu sisäverkosta, koska liikenne ei kulje mainittua eth0- rajapintaa pitkin, joka toteuttaa NAT-käännöksen. Kuviossa 344 on esitetty tietokoneen IPasetukset. Kuvio 15. Transit-rajapinnan tietokoneen IP-asetukset

Palomuurin asetukset pistettiin päälle, ja yhteydet testattiin http- sekä sähköpostipalvelimiin. Kuviossa 345 on todennettu http-yhteys DMZ-verkon WWW-palvelimeen. Kuvio 16. www-sivuston testaus Kuviossa 346 on testattu sähköpostin lähettäminen käyttämällä www-osoitteena julkista IPosoitetta, sekä kuviossa on vielä kertaalleen IP-asetukset. Sähköpostien selailu, sekä lähettäminen molemmat toimivat.

Kuvio 17. squirrelmail sähköposti-kansio Transit-rajapinnan kautta voidaan myös testata yhteyttä kielletyillä protokollilla. Yksi näistä protokollista on SSH, jolle ei tällä hetkellä ole tarvetta ulkoverkosta. Kuviossa 347 on testattu SSHyhteys sähköpostipalvelimelle. Koska erillistä sallimis-sääntöä ei ole luotu, palomuuri kieltää yhteyden. SSH käyttää pääsääntöisesti TCP-protokollaa.

Kuvio 18. Putty-yhteydenmuodostus Lisäämällä palomuuriin erillissääntö SSH-yhteydelle, johon määritetään lähtöosoitteeksi tietokoneen IP-osoite, kuviossa 348 huomataan että tätä kautta SSH-yhteyden muodostus onnistuu. Kuvio 19. Onnistunut SSH yhteys

UDP-protokollan toimivuus voidaan testata yksinkertaisesti lähettämällä DNS-kyselyjä palomuurin ollessa päällä. Kuviossa 349 on haettu sähköpostipalvelimia asiakasyritys-verkoista, joten voimme todeta, että DNS, joka toimii UDP:n kautta, on toiminnassa. Kuvio 20. Sähköpostipalvelimia TCP-protokollan toimivuus voidaan todeta esimerkiksi käymällä asiaskasyrityksen julkisella sähköposti-palvelimella. Kuviossa 350 on todennus http-protokollan, ja TCP:n toimivuudesta. Kuvio 21. http- sekä TCP-todennus Alla on vielä todennus, jossa on kielletty DC1-palvelinta pingaamasta 10.50.0.25 osoitteessa sijaitsevaa sähköpostipalvelinta. Kuviosta 351 huomataan, että DC1-palvelin lähettää ping requestpyyntöjä, mutta joihin vastataan Destionation unreachable -viestillä.

Kuvio 22. ping-pyyntö DC1-palvelimelta Tilannen palomuuri todennus PFsense-palomuurista näkee tilat States -valikosta Diagnostics -valikon alta. Alla kuviossa 352 on esimerkki tilasta, jossa 10.100.0.12 osoite on muodostanut TCP-yhteyden 10.50.0.25 palvelimen 80-porttiin. Kuvio 23. TCP-yhteyden tila Tilallisen palomuurin toiminnallisuus voidaan vielä testata SSH-yhteyttä käyttäen. Ideana on, että DC2-palvelin voi jatkaa SSH-yhteyttä TCP:n yli, vaikka palomuurin säännöt sen kieltävät. Samaan aikaan, DC1-palvelin ei voi muodostaa yhteyttä SSH:n ylitse juuri tästä säännöstä johtuen. Kuviossa 353 on todennettu SSH-yhteyden ESTABLISHED-tila. Kuvio 24. SSH-yhteys Kuviossa 354 on todennettu, että muutokset ovat otettu käyttöön. SSH-yhteys DC-palvelimilta kielletään 10.50.0.25 osoitteeseen, mutta samaan aikaan DC2-palvelin voi jatkaa SSH-yhteyden käyttöä, koska TCP-yhteys on muodostettu. Kuvaa varten on otettu netstat-komennolla todennus TCP-yhteyden tilasta, palomuurin säännöistä, sekä alalaidassa on tuoretta wireshark-liikennettä.

Kuvio 25. tilallisen palomuurin todennus Jos yritämme muodostaa yhteyttä DC1-palvelimelta, saamme virheilmoituksen. Testiä varten kannattaa tietenkin sulkea ensin SSH-yhteys DC2-palvelimelta. Yhteyden epäonnistuminen on todennettu kuviossa 355.

Kuvio 26. Putty virheilmoitus

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute