0.1 Internet-verkon perustoiminta



Samankaltaiset tiedostot
Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tikon ostolaskujen käsittely

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Tikon ostolaskujen käsittely

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

1. päivä ip Windows 2003 Server ja vista (toteutus)

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

TCP/IP-protokollat ja DNS

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kymenlaakson Kyläportaali

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Foscam kameran asennus ilman kytkintä/reititintä

HOW-TO: Kuinka saan yhdistettyä kaksi tulospalvelukonetta keskenään verkkoon? [Windows XP]

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

TW- EAV510 / TW- EAV510 AC: OpenVPN

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

Tietoturva. opettaja Pasi Ranne Luksia, Länsi-Uudenmaan koulutuskuntayhtymä Pasi Ranne sivu 1

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

Linux palomuurina (iptables) sekä squid-proxy

Tikon Ostolaskujenkäsittely versio SP1

Tietokoneet ja verkot. Kilpailupäivä 2, torstai Kilpailijan numero. allekirjoitus. nimen selvennys. Sivu 1

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

VMU-C EM. Asennus ja käyttö

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Visma GATEWAY INSTALLER. asennusopas

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X

Kytkimet, reitittimet, palomuurit

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

TW- EAV510 v2: WDS- TOIMINTO KAHDEN TW- EAV510 V2 LAITTEEN VÄLILLÄ

OpenVPN LAN to LAN - yhteys kahden laitteen välille

TW- LTE REITITIN: GRE- OHJEISTUS

Työsähköpostin sisällön siirto uuteen postijärjestelmään

Tietokoneet ja verkot. Kilpailupäivä 1, keskiviikko Kilpailijan numero. Server 2003 Administrator. XP pro Järjestelmänvalvojan

Autentikoivan lähtevän postin palvelimen asetukset

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

Internetin hyödyt ja vaarat. Miten nettiä käytetään tehokkaasti hyväksi?

Sähköposti ja uutisryhmät

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

TIETOTURVA. Miten suojaudun haittaohjelmilta

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

Luottamuksellinen sähköposti Trafissa

Yleinen ohjeistus Linux-tehtävään

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Yleinen ohjeistus Windows tehtävään.

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Tikon Ostolaskujenkäsittely versio 6.2.0

SSH Secure Shell & SSH File Transfer

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows XP

Office ohjelmiston asennusohje

Antti Vähälummukka 2010

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Javan asennus ja ohjeita ongelmatilanteisiin

Windows Server 2012 asentaminen ja käyttöönotto, Serverin pyörittämisen takia tarvitaan

Tietokoneverkon luomiseen ja hallintaan

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Asenna palvelimeen Active Directory. Toimialueen nimeksi tulee taitajax.local, missä X on kilpailijanumerosi

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows Vista

Useimmin kysytyt kysymykset

Lemonsoft SaaS -pilvipalvelu OHJEET

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

TW- EAV510/TW- EAV510AC: PPTP- OHJEISTUS

PPTP LAN to LAN - yhteys kahden laitteen välille

DNS- ja DHCPpalvelut. Linuxissa. Onni Kytönummi & Mikko Raussi

Sähköpostilaatikoiden perustaminen

Sähköpostitilin käyttöönotto

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Mikä on internet, miten se toimii? Mauri Heinonen

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

TW-EAV510AC mallin ohjelmistoversio

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Itseasennusohje. Elisa ADSL. M1122-verkkopääte ADSL

Transkriptio:

8100000 Tietotekniikan peruskurssi 1 0.1 Internet-verkon perustoiminta LAN INTERNET NIMIPALVELIN ( Nameserver, DNS) REITITIN 130.230.24.10 ressu.cc.tut.fi REITITIN REITITIN 130.230.1.22 ariel gw.cc.tut.fi 130.230.1.249 surf gw.cc.tut.fi REITITIN (Router, Gateway) PC 130.230.2.18 ear.cs.tut.fi PC 130.230.2.1 coral gw.cs.tut.fi PC PC PC 130.230.2.21 130.230.2.19 130.230.2.20 pc2 21.cs.tut.fi130.230.2.22 urpiainen.cs.tut.fi pc2 20.cs.tut.fi pelikaani 2.cs.tut.fi PAIKALLISVERKKO ( LAN, local area network) TCP UDP 1 2 3... 65535 1 2 3... 65535 ICMP muut PC

8100000 Tietotekniikan peruskurssi 2 Jotta liikennöinti verkossa onnistuisi, täytyy koneella olla tiedossa ainakin oma IP-osoite (IP address, IP-numero) aliverkon peite (subnet mask) oman reitittimen IP-numero ( gateway, router ) nimipalvelimen IP-numero ( nameserver, DNS )

8100000 Tietotekniikan peruskurssi 3 Kullakin verkossa olevalla koneella on oma IP-osoite eli IP-numero. Tämän avulla kyseiselle koneelle menevä tietoliikenne ohjataan perille. Koneen täytyy tietää ja osata kertoa verkolle oma IP-osoitteensa jotta se voi käyttää verkkoa. Kuvan mukaisesti samassa paikallisverkossa oleviin koneisiin saa yhteyden suoraan, kunhan vain tietää halutun koneen IP-osoitteen. Niihin koneisiin jotka eivät ole suorassa yhteydessä tapahtuu liikennöinti reitittimien kautta. Tietopaketit lähetetään sille reitittimelle missä ollaan kiinni, reititin osaa välittää ne eteenpäin. Kunkin koneen tulee tietää oman reitittimensä IP-osoite jotta tämä olisi mahdollista. Aliverkon peite kertoo millä IP-osoite varustettuihin koneisiin saadaan yhteys suoraan ja mille mennään reitittimen kautta. Lähes kaikilla verkossa olevilla koneilla on IP-osoitteen lisäksi myös kirjaimuodossa oleva nimi, joka on ihmisille helpompi muistaa. Kun kirjainmuodossa olevaa nimeä käytetään käy kone kysymässä vastaavan IP-osoitteen nimipalvelimelta. Jotta tämä onnistuisi täytyy myös nimipalvelimen IP-osoite olla koneen tiedossa. <nörttilogo> Jos nimipalvelin ei ole toiminnassa ei verkon koneisiin saa yhteyttä kirjainnimillä,

8100000 Tietotekniikan peruskurssi 4 mutta jos koneen IP-osoitteen sattuu tietämään voi sen yleensä kirjoittaa kirjainnimen tilalle ja yhteydenotto onnistuu. Virhetilanteiden varalta voi nimipalvelimia määritellä useampia, jolloin jos ensimmäinen ei vastaa kokeillaan seuraavaa jne. Koska internetissä on valtavasti koneita ja tilanne muuttuu jatkuvasti ei millään yksittäisellä nimipalvelimella voi olla tietoa koko Internetin kaikista nimistä. Tämän takia nimipalvelimet joutuvat usein kyselemään tietoja toisiltaan, ja saattaa joskus kestää kohtuullisen kauankin ennen kuin halutun tiedon sisältävä palvelin löytyy. <nörttilogo> Verkon rakennetta voi tutkia traceroute-nimisellä ohjelmalla, joka näyttää minkä kaikkien koneiden kautta liikennöinti halutulle kohdekoneelle kulkee. 0.1.1 Automaattinen verkkoasetusten haku (DHCP) Mikäli verkossa on DHCP-palvelin (dynamic Host Configuration Protocol), voi kone hakea verkkoasetukset automaattisesti. Tätä käytetään etenkin silloin, kun kone liittyy verkkoon väliaikaisesti, kuten esim. soitettaessa modeemilla palveluntarjoajalle. <nörttilogo> Otettaessa yhteyttä DHCP-palvelimeen verkkoasetuksia ei vielä tiedetä. Miten yhteydenotto on mahdollista? 0.1.2 Asiakas - palvelinmalli (client-server) Hyvin monissa verkon toiminnoissa toinen koneista lähettää toiselle koneelle tehtäviä ja saa paluuliikenteenä tehtävien tulokset. Tehtäviä antavia koneita sanotaan asiakkaiksi (client) ja suorittavia koneita palvelimiksi (server). Tuttu esimerkki on seittisivujen katselu selainohjelmalla. Selainohjelma (asiakas) lähettää seittipalvelimelle (palvelin) pyytöjä lähettää haluttuja seittisivuja katseltaviksi.

8100000 Tietotekniikan peruskurssi 5 0.1.3 Tietoturvauhat verkoissa Verkkoliikennettä voidaan helposti kuunnella. Verkossa kulkevia sanomia voidaan muutella tai väärentää. Toiseksi henkilöksi tai palveluksi tekeytyminen on suhteellisen helppoa, jolloin saadaan ihmiset paljastamaan luottamuksellisia asioita. Verkon tai sen palveluiden toiminta voidaan estää. Ohjelmien virheitä käyttäen voidaan kone saada tekemään aivan mitä tunkeutuja haluaa. Erityisesti verkkoa kuuntelevissa palvelinohjelmissa tällaiset virheet ovat vaarallisia. Internet-verkko sinällään ei edes pyri estämään verkkoliikenteen kuuntelua. Mikään ei estä konetta ottamasta vastaan muille kuin sille itselleen suunnattua liikennettä. Tämä tarkoittaa kaikkea mitä koneella verkon kanssa tekee, esim. kaikki katsotut seittisivut, käytetyt käyttäjätunnukset ja salasanat, sähköpostit jne. Kuuntelua ei yleensä pyritäkään estämään, vaan tarvittaessa viestit salataan jotta mahdollinen kuuntelija ei niitä ymmärtäisi tai pääsisi muuttelemaan. Internetin yleimipiä salakirjoitusta hyödyntäviä tekniikoita ovat SSH ja SSL/TLS. SSH:ta käytetään pääteyhteyksiin, tiedostojen siirtoon ja salaamattomien verkkoyhtyksien kuljettamiseen salatun "tunnelin" läpi.

8100000 Tietotekniikan peruskurssi 6 SSL (nykyään TLS) on yleiskäyttöinen salaus- ja varmennepalvelun tarjoava verkkoprotokollakerros, jonka suojassa voidaan kuljettaa lähes mitä tahansa verkkoliikennettä. WWW-selailussa käytettävä http-protokolla yhdistettynä SSL-salaukseen tunnetaan nimellä https. WWW-selaimissa on yleensä SSL-salauksen käyttöä osoittava kuvake (lukko). Sähköpostiviestien ja näytettävien seittisivujen yms. alkuperä ei ole välttämättä itsestäänselvyys. Sähköpostiviesteihin voidaan helposti laittaa lähettäjän nimeksi ja lähetysosoitteeksi aivan mitä tahansa. Myöskin alkuosa sähköpostiviestin kulkureitistä (joka tallettuu viestin otsikkokenttiin) voidaan väärentää. Salausmenetelmiin perustuvalla digitaalisella allekirjoituksella varustetusta viestistä voi vastaanottaja tarkistaa viestin alkuperäisyyden. Murtautumalla seittipalveluun voidaan palvelun ohjelma korvata salasanankeräilijällä, tai murtautumalla nimipalvelimelle tai reitittimille voidaan yhteydynotto palvelimeen siirtääkin meneväksi valepalvelun sisältävälle koneelle. verkkoyhteyden alussa palvelin esittää digitaalisesti allekirjoitetun varmenteen (certificate), jolla se osoittaa olevansa oikea palvelin eikä teeskentelijä. asiakas (selain) yleensä todistaa henkilöllisyytensä salasanan avulla. Salasanat voivat olla kertakäyttöisiä.

8100000 Tietotekniikan peruskurssi 7 Salattua yhteyttä avattaessa selain tai SSH-pääteohjelma voi varoittaa, että palvelimen esittämä varmenne on ennestään tuntematon. Tällöin ei voida varmistua siitä, ollaanko todella yhteydessä oikeaan palvelimeen.

8100000 Tietotekniikan peruskurssi 8 Verkon toiminnan estäminen tapahtuu usein generoimalla verkkoon niin paljon turhia viestejä että verkon ja palvelinkoneiden kapasiteetti ei enää riitä normaaliin toimintaan. Tätä kutsutaan DoShyökkäykseksi (Denial of Service, palvelun esto). Tällaista toimintaa ei voi etukäteen estää estämättä verkon normaalia käyttöä. Tällaisen toiminnan pysäyttäminen vaatii toimenpiteitä joko hyökkääjän palveluntarjoajalta tai runkoverkon ylläpidolta. Tietynlaisia ohjemointivirheitä hyödyntäen voi tunkeutuja sotkea joidenkin ohjelmien toiminnan antamalla niille käsiteltäväksi tahallaan sopivalla tavalla rikotun datatiedoston. Esimerkiksi sopivasti vialliselle seittiselaimelle voitaisiin antaa näytettäväksi tällainen seittisivu tai kuvienkatseluohjelmalle kuva. Usein tällaisissa tilanteissa tunkeutuja saa ohjelman suorittamaan ohjelmakoodinsa sijaan kyseistä datatiedostoa koodina, toisinsanoen saa tietokoneen ajamaan haluamaansa ohjelmaa. Tällöin tunkeutuja voi vaikkapa avata itselleen verkosta pääsyn koneelle. Ohjelman käyttäjä ei välttämättä huomaa mitään kummallista, sillä avattuaan pääsyn tunkeutujalle ohjelman toiminta voi jatkua normaalisti. Tunkeutuja saa näin koneelle samat oikeudet kuin mitä rikkinäistä ohjelmaa käyttäneellä käyttäjällä oli. Tämän takia ohjelmia ei pidä tarpeettomasti ajaa ylläpitäjän (root, administrator, järjestelmänvalvoja) käyttäjätunnuksella. Tällainen tunkeutuminen edellyttää että koneessa käytetään juuri tiettyä ohjelmaa (esim. seittiselainta), muissa vastaavissa ohjelmissa ei varmastikaan täysin samanlaista vikaa

8100000 Tietotekniikan peruskurssi 9 ole.valitettavasti tällaisia vikoja löytyy myös käyttöjärjestelmistä. Vian ollessa käyttöjärjestelmässä tunkeutuja saa yleensä ylläpitäjän oikeudet. Tällaisia hyökkäyksiä estetään päivittämällä ohjelmat versioihin jossa kyseisen hyökkäyksen mahdollistava vika on korjattu. Tämä koneeseen murtautumistapa ei suoraan liity verkkoon, mutta tuollaisia tiedostoja on helpoin levittää verkon kautta. Päivitä käyttöjärjestelmä ja ohjelmat (useissa ohjelmissa on nykyään automaattinen päivitys verkon kautta). Tämä EI tarkoita sitä että ohjelmista olisi ostettava uusimmat versiot, turvallisuuspäivitykset pitäisi saada vanhoihinkin versioihin jos ohjelmaa tuetaan asianmukaisesti. Tee ylläpitäjän käyttäjätunnuksella vain tarvittavat ylläpitotoimenpiteet, normaalikäytössä käytä jotain muuta käyttäjätunnusta. Suosituimpia ohjelmia vastaan tehdään eniten murtoyrityksiä, mutta toisaalta vähän käytetystä ohjelmasta turvallisuusaukkoja ei ehkä korjata niin nopeasti. Useat käyttöjärjestelmät käynnistävät oletuksena koneelle erilaisia palvelimia. Edellisessä kappaleissa mainittujen mahdollisten vikojen takia turhat palvelimet ovat turvallisuusriski, ja ne kannattaa sammuttaa. Edelleen päivityksistä huolehtiminen. Tarpeettomien palvelinohjelmien poisto koneelta. <nörttilogo>joihinkin ohjelmavirheiden aiheuttamiin turvallisuusongelmiin voidaan kehittää ratkaisuja käyttöjärjestelmän ja kääntäjän puolella, hakusanoina esim. "security hardened linux".

8100000 Tietotekniikan peruskurssi 10 0.1.4 Esimerkkitilanteita kun otat uuden koneen käyttöön Ovatko käyttöjärjestelmä ja verkkoa käyttävät ja täten riskialtteimmat ohjelmat ajantasalla? kun kirjaudut salasanaa vaativaan verkkopalveluun Voiko joku kuunnella salasanan käyttämäsi päätteen ja palvelimen välillä? Oletko varmasti yhteydessä oikeaan palvelimeen vai täsmälleen samaksi palveluksi naamioituneeseen salasanojen keräilijään? kun saat sähköpostitse laskun, joka sisältää maksettavan summan ja tilinumeron Onko viestiä muutettu matkalla? maksatko varmasti oikealle tilille? kun olet lähettämässä luottamuksellisia tietoja sähköpostilla Voiko joku lukea sähköpostin matkan varrella tai jopa muuttaa sen sisältöä? kun olet antamassa luottokorttitietojasi verkkokauppaan Voiko joku salakuunnella luottokortin numeron verkkoliikenteestä? Missä verkkokauppias säilyttää kaikkia keräämiään luottokorttinumeroita? kun annat verkkopankille määräyksen suorittaa tilisiirron Voiko joku muuttaa maksumääräystä sen matkalla pankin palvelimelle?

8100000 Tietotekniikan peruskurssi 11 0.1.5 Kannattaako murtoyrityksiltä suojautua? "Kukaan ei varmasti ole kiinnostunut minun tunnukselleni tai kotikoneeseeni murtautumisesta." Kyllä on. Jokaiseen Internetiin kytkettyyn koneeseen tulee useita murtoyrityksiä tai murtokohdetta etsiviä koeyhteydenottoja (port scan) päivässä. "Ei minulla ole salaisuuksia tietoverkossa." Vaikka salaisuuksia ei olisikaan, niin käyttäjätunnuksen tai kokonaisen tietokoneen haltuunsa saanut murtautuja alkaa esiintymään nimelläsi mm. edelleen muualle suuntautuvissa murtoyrityksissä tai tietoliikenteen häirinnässä. Kotihakemistoasi/kotikonettasi voidaan käyttää myös mm. roskapostin jakeluun tai piraattikopioiden talletukseen ja jakeluun. Koneelle väkisin tunkevat mainos-ohjelmat saattavat olla erittäin häiritseviä. Windowssista mainos-ohjelmia voi poistaa kotikäyttöön ilmaisella Ad-Aware-ohjelmalla. Jotkut mato-ohjelmat leviävät näitä murtautumismenetelmiä käyttäen.

8100000 Tietotekniikan peruskurssi 12 0.1.6 Palomuurit Palomuurin tehtävänä on estää ei-toivottua liikennettä palomuurin läpi. Palomuureja on kahta päätyyppiä. Ensimmäinen eristää paikallisverkkoa Internetistä, ja sijoittuu verkon topologian kannalta reitittimen ja paikallisverkon väliin. Reititin voi myös hoitaa palomuurin tehtäviä, jolloin erillistä laitetta ei tarvita. Toinen on työasemassa ajettava ohjelma, joka siis pyrkii kontrolloimaan yksittäisen työaseman verkkoliikennettä. Jos kaikki on kunnossa, palomuuri on tarpeeton. Käytännössä kuitenkin ohjelmissa on vikoja ja koneen ylläpito ei aina ole erehtymätön, joten palomuurin antamaa ylimääräistä suojakerrosta tarvitaan. Palomuurin toiminta Tietokoneessa on yleensä vain yksi verkkokortti, mutta on mukavaa jos useat ohjelmat pääsevät verkkoon yhtaikaa. Tämä aiheuttaa ongelman: Kun verkosta tulee datapaketti, mille ohjelmalle se on menossa? Ongelma on ratkaistu lisäämällä datapaketteihin id-numero, jota sanotaan porttinumeroksi. Verkkoa kuunteleva ohjelma odottelee saapuvaksi tietyllä id-numerolla saapuvia datapaketta, sanotaan että ohjelma kuuntelee tätä porttia. Jotta ohjelmat osaisivat etsiä palveluja oikeista porteista, on monille palveluille sovittu oletusarvoisesti käytettävät portit. Tätä listaa ylläpitää IANA (Internet Assigned Numbers Authority). Porttinumerolista: http://www.iana.org/assignments/port-numbers.

8100000 Tietotekniikan peruskurssi 13 Palomuuri poistaa läpimenevistä datapaketeista jonkin säännön mukaan halutut. Tätä sanotaan liikenteen suodattamiseksi (packet filtering). Sääntöjä voi olla Kone jolta paketti on merkitty lähetetyksi Kone jolle paketti on menossa Portti johon paketti on menossa Esimerkiksi lähiverkossa käytetään Windowssin levynjakoa, ja halutaan palomuurilla lisävarmistus että levynjako ei leviä lähiverkosta ulos. Asiaa tutkimalla selviää että kyseinen toiminto käyttää sekä TCP- että UDP-portteja 135-139 ja 445. Laitetaan palomuuri estämää kaikki liikenne näihin portteihin kumpaankin suuntaan. Parempi lähestymistapa olisi estää ensin kaikki yhteydet ja sitten erikseen sallia liikennöinti haluttuihin portteihin tarpeen mukaan. Usein lähiverkon palomuuri suodattaa vain sisäänpäin tulevaa liikennettä. Työaseman palomuuriohjelma pystyy saamaan itse liikenteen lisäksi myös tiedon siitä, miltä ohjelmalta ulospäin lähetettävä liikenne on tulossa. Näin voidaan verkon käyttöä säädellä ohjelmakohtaisesti (henkilökohtainen palomuuri, personal firewall). Tämä antaa jonkin verran suojaa jos koneelle pääsee livahtamaan jokin murtautumisohjelma, mahdollisesti estäen tämän

8100000 Tietotekniikan peruskurssi 14 ohjelman pääsyn verkkoon. Ohjelmakoodista laskettavien tarkistussummien avulla palomuuri yrittää varmistaa, että verkkoon pyrkivä ohjelma on sama kuin edellisellä kerralla eikä saman nimiseksi naamioitunut toinen ohjelma. Monet työasemakohtaiset palomuuriohjelmat ovat kotikäyttöön ilmaisia. Tällainen kannattaa koneelle hankkia. Windows XP:ssä on mukana palomuuriohjelma, se ei kuitenkaan ole sovellustason vaan suodattaa paketteja vain IP-osoitteiden ja porttinumeroiden mukaan. Myös nykyisissä Linuxeissa on palomuuri vakiona. Palomuuri ilmoittaa pysäyttäneensä yhteydenottoyrityksen, mitä teen? Totea tyytyväisenä että palomuuri toimii Etsi asetus josta saat kyseisen ilmoituksen pois häiritsemästä

8100000 Tietotekniikan peruskurssi 15 0.1.7 NAT (network address translation) Joskus tulee tilanteita, jolloin pitäisi saada useita koneita verkkoon, mutta käytössä on vain yksi IP-osoite. Tällöin voidaan käyttää verkon osoitemuunnosta. Ulkoverkkoon (Internet) liikennöinti menee yhden koneen läpi (joka usein tekee myös paketinsuodatusta), ja kaikki liikennöinti näyttää ulospäin tulevan tältä koneelta (tapahtuu tämän koneen IP-osoitteella). Sisäverkon (paikallisverkko) koneille annetaan paikalliset IP-osoitteet, jotka eivät näy NATlaitteen taakse ulkoverkkoon. Sisäverkoille varattuja osoitesarjoja ovat 10.0.0.0-10.255.255.255 (10/8 prefix) 172.16.0.0-172.31.255.255 (172.16/12 prefix) 192.168.0.0-192.168.255.255 (192.168/16 prefix) Kun paikallisverkossa oleva kone ottaa NATin läpi yhteyttä ulkoverkossa olevaan koneeseen, laittaa NAT muistiin mikä sisäverkon kone otti yhteyttä ja mihin ulkoverkon osoitteeseen. Tällöin ulkoverkossa olevan koneen vastatessa NAT osaa ohjata vastauksen oikealle sisäverkon koneelle. Ulkoverkossa oleva kone ei voi ottaa yhteyttä sisäverkon koneeseen, ellei NATiin ole etukäteen määritelty mihin sisäverkon koneeseen ulkoverkosta tuleva yhteydenottoyritys tulee ohjata. Yleisessä tapauksessa NAT ei voi tietää onko joku yhteys sen läpi vielä auki vai ei. Tämän takia NAT hukkaa tiedot yhteyksistä joiden läpi ei määräaikana (timeout) ole tapahtunut liikennettä. Tämä saattaa näkyä yhteyksien katkeilemisena, mikäli tämä aika ei ole riittävän pitkä.