PALOMUURI SUOJAA TIETOSI



Samankaltaiset tiedostot
TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

TeleWell TW /100 Mbps laajakaistareititin palomuuri, hakkerisuoja DHCP palvelin/reititin

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Mikä on internet, miten se toimii? Mauri Heinonen

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

TeleWell TW /100 Mbps laajakaistareititin palomuuri, hakkerisuoja DHCP palvelin ja reititin. Ohjekirja. Versio 3 Copyright Easytel Oy Finland

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Kotitalouksien kiinteät internet - liittymät. Tero Karttunen Oy Mikrolog Ltd

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

SURFFAA MEGABITTI- LAUDALLA NETISSÄ. (fiber distributed data interface) verrattuna.

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

SIIRTYY VERKKOON. deoleikkeet jopa satoja megatavuja kappaleelta.

DNA LAAJAKAISTA TUOTEKUVAUS

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Langattoman kotiverkon mahdollisuudet

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

FuturaPlan. Järjestelmävaatimukset

DFL-200 Network Security Palomuuri

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Directory Information Tree

Javan asennus ja ohjeita ongelmatilanteisiin

Multi Tech rcell, HSPA+ reititin MTCBA H5 EN2 EU

Linux palomuurina (iptables) sekä squid-proxy

TOSIBOX RATKAISU. »TOSIBOX:n avulla yhteys muodostuu automaattisesti internettiä hyödyntäen eri toimilaitteiden välille

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Maailman ensimmäinen Plug & Go etäyhteyslaite

TeleWell TW-646. Palomuuri, Kytkin, VPN. LAN 8 x 10/100 Mbps WAN 1 x 10/100 Mbps. Ohjekirja

Foscam kameran asennus ilman kytkintä/reititintä

Taitaja 2015 Windows finaalitehtävä

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Yhteydensaantiongelmien ja muiden ongelmien ratkaisuita

Aina päällä oleva eli kiinteä

TW-EAV510AC mallin ohjelmistoversio

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Dahua NVR4104/4108-P-4KS2

Elisa Oyj Palvelukuvaus 1 (5) Elisa Yrityskaista Yritysasiakkaat versio 2.1. Elisa Yrityskaista

Tekniset vaatimukset Tikon 6.4.1

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

VISUAALINEN TIETOTURVASUUNNITELMA PENTTI LIIKANEN

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Edulliset VPN-PALOMUURIT MPC-TESTI

Antti Vähälummukka 2010

Kustannuslaskelma taloyhtiön kiinteistä Internet-yhteyksistä

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Tietoturva-kurssit: kryptografian perusteet IPSec

Tikon Ostolaskujenkäsittely versio SP1

1. Itse IP-kamera Ulkoiset kytkennät. IP kameran asennus v0.1.

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Tutkimus web-palveluista (1996)

Harjoitus 3 Antti Hartikainen

ERICSSON HM410DP ASENNUSOHJE

Toshiba EasyGuard käytännössä: Portégé M300

Työpöytävirtualisointi

1. päivä ip Windows 2003 Server ja vista (toteutus)

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Turvallinen etäkäyttö Aaltoyliopistossa

3. IP-kerroksen muita protokollia ja

DI-624+ AirPlus G+ 2.4GHz langaton

Taloyhtiön huippunopeat laajakaistayhteydet

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

TIETOKONE JA VERKOT IT PC & NETWORK SUPPORT TAITAJA 2001 LAHTI KÄYTTÖJÄRJESTELMIEN JA OHJELMISTOJEN ASENTAMINEN SEKÄ KONFIGUROINTI

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

Elotec Ajax. Aloitus

Markkinoiden helpoin ja käytännöllisin IP Kamera

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

Kattava tietoturva kerralla

Turva-asiantuntijallekin on

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

ZYXEL PRESTIGE 660H-61 ASENNUSOHJE

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

BandRich BandLuxe R300 3G/WLAN-reititin

Transkriptio:

KATSAUS K A T S A U Spalomuurit TEKSTI: ARI HAAPALAINEN KUVITUS: ERIC LERAILLEZ Viisas huolehtii tietoturvasta ajoissa ja edullisemmin PALOMUURI SUOJAA TIETOSI Kun lähiverkosta avataan internet-yhteys, avautuu asiattomille tunkeilijoille samalla portti yrityksen tietovarastoon. Tietovuotoa voidaan tehokkaimmin paikata palomuurilaitteella tai -ohjelmalla. Palomuurin keskeinen tehtävä on suojata lähiverkkoa ulkoverkosta tulevia tunkeutujia vastaan. Ulkoisella verkolla tarkoitetaan yleensä internetiä, mutta se voi olla esimerkiksi yrityksen kumppaniverkko (extranet) tai tytäryrityksen lähiverkko. Myös suojaamaton datayhteys yrityksen johonkin verkon osaan voi tarjota helpon takaportin urkkijalle, vaikka yrityksen oma lähiverkko olisikin suojattu palomuurilla. Pienimmillään palomuuri on levykkeeltä ladattava ohjelmisto, joka toimii lähes millaisessa mikrossa tahansa. Toista ääripäätä edustavat yksinomaan suojaustarkoitukseen pyhitetyt laitteistot, joiden hintaskaala liikkuu jopa sadoissa tuhansissa markoissa. Ratkaisuhaitarin väliin mahtuu monenkirjavia vaihtoehtoja asiakkaan tarpeesta, tuotteen ominaisuuksista ja suorituskyvystä riippuen. Palomuureja käyttävät sekä liikeyritykset että internet-operaattorit. Toivottavasti myös enemmistö kotitoimistoista. Kotikäyttäjien ja pienyritysten kiinnostus palomuureihin on lisääntynyt kiinteiden dsl-yhteyksien (digital subscriber line) ja kaapelimodeemien yleistymisen myötä. Toisaalta usein käy niin, että työnantaja suosittelee tiettyä palomuuriratkaisua, jos työtä tehdään esimerkiksi ulkomailla tai kotona etänä. AITO OSOITE ON AVOIN Kaikilla internetissä näkyvillä resursseilla, kuten reitittimillä, palomuureilla ja palvelimilla, on kullakin oma yk- 62 MikroPC 6 / 2001

silöllinen 32-bittinen numerosarja eli iposoite. Koska esimerkiksi yrityksen www-palvelimen ip-osoite on julkinen, voi palvelimeen kuka tahansa yrittää tunkeutua. Luvaton käyttö vaikeutuu olennaisesti, jos palvelin suojataan palomuurilla. Modeemi- ja isdn-yhteyttä käytettäessä tietokoneen ip-osoite vaihtuu yleensä jokaisella yhteyskerralla. Vaikka dynaaminen ip-osoite hankaloittaakin tunkeutumista, tietokone on silti yhteysaikana tunkeutumisille altis. Toisaalta murtautujien ensisijainen mielenkiinto kohdistuu yritysten sisäisiin palvelimiin yksittäisten käyttäjien sijaan. Joskus tunkeutujan tavoitteena on pelkkä haitanteko, toisinaan tietojen väärinkäyttö. Ulkopuolisten uhkien rinnalla palomuurien merkittäväksi ominaisuudeksi on kohonnut yrityksestä ulospäin lähtevän liikenteen tarkkailu ja rajoitukset. Jotkin yritykset rajoittavat työntekijöiden surffausta uhkapelisivuilla, ja koulut taas oppilaiden pääsyä seksisivuille. Lähes kaikissa palomuuritoteutuksissa on tarjolla erilaisia www-sisällön suodatustapoja. RAUDAN PÄÄLLE SOFTAA Palomuuria ei tarvitse enää mieltää pelkästään suuryritysten apuvälineeksi, vaikka laajaverkoissa suojattavaa tietomassaa onkin enemmän. Palomuurimarkkinoilla yleistyvänä tuoteluokkana kohoaa pienten yritysten, kotitoimistojen ja etäkäyttäjien ratkaisut, joissa hinta- haitari alkaa muutamasta tuhannesta markasta. Järeissä palomuuriratkaisuissa yleistyvät valmiiksi konfiguroidut ratkaisut, missä jokin tunnettu palomuurisovellus on integroitu riittävän suorituskykyiseen laitealustaan. Toinen vaihtoehto on hankkia pelkkä ohjelmisto ja tehdä asennustyö omin voimin, mutta tällaista erikoisosaamista ei yritysten sisältä välttämättä löydy. Raskaan sarjan palomuuriohjelmistoissa valtikkaa on pitkään heilutellut CheckPointin FireWall-1, jonka pohjalle rakennettuja ratkaisuja tarjoaa useampikin valmistaja. Tunnetuin Suomessa myytävä palomuuritoteutus pohjautuu FireWall-1:n ja Nokian IP-sarjan räkkiasennettavaan rautaan. Näitä tarjoavat muun muassa IPChannel sekä palomuuripeliin mukaan heittäytynyt internet-operaattori Uunet. PALOMUURI MAHTUU UNIX-MIKROON Toisessa suositussa ratkaisussa Checkpointin ohjelmisto asennetaan johonkin Sunin työasemaan suorituskykytarpeesta riippuen. FireWall-1:een pohjautuvia ratkaisuja on myös Nortel Networksin palomuuriksi laajennettava vpn-kytkin (virtual private network). Suurten yritysten palomuuri- ja vpnratkaisuja löytyy edellisten lisäksi IBM:ltä, Sunilta, Ciscolta, NetScreeniltä sekä Network Associatesilta (NAI) ja 3Comin SuperStack-perheestä. Periaatteessa raskaan sarjan ohjelmistolla voi hyvin rakentaa myös pk-yrityksen tai yritysryppään suojauksen. Toimintojen riittävyys ei ole ongelma, mutta kustannukset saattavat äkkiä nousta korkeiksi. Muutaman kymmenen työntekijän yrityksen kannattaa hakea palomuuriratkaisujaan näitä edullisemmista vaihtoehdoista. PIKKUYRITYKSET KIINNOSTAVAT Pienyritysten maaginen kipuraja palomuuri-investoinnissa tulee vastaan kymppitonnin paikkeilla. Onneksi markkinoilla on tarjolla useampia ratkaisuja 5 000 10 000 markan hintaluokassa. Nämä hankinnat joustavat ylöspäin yrityksen työntekijämäärän kasvaessa. Halvimpiin kotikäyttäjän ulottuvilla oleviin palomuuriksi laskettaviin toteutuksiin kuuluu D-Linkin 701 Residental Gateway, joka turvaa xdsl- ja kaapelimodeemiyhteyksiä. Hintaa tällä nat-osoitemuunnokseen (network address translation) perustuvalla palomuurilla on 1 500 markkaa. Samantyyppinen ratkaisu löytyy myös SMC:ltä. Edullisia palomuuritoteutuksia löytyy edelleen NAI:n PGP:stä, 3Comin OfficeConnectperheestä sekä SonicWallin, WatchGuardin ja NetScreenin valikoimista. Myös Nokialta on tulossa pientoimistoille soveltuvaa turvalaitteistoa. Kymppitonnin toiselle puolelle kivutessa tarjolle tulee palomuurituotteita edellisten lisäksi ainakin Ciscolta ja IBM:ltä. Palomuuri suojaa lähiverkkoa (vas.) internetistä (oik.) tulevilta hyökkäyksiltä. Palomuuriin voidaan kytkeä esimerkiksi www-palvelin ns. harmaalle alueelle (dmz). MikroPC 6 / 2001 63

K A T S A U S palomuurit Palomuurit ovat yleensä kiinteitä pikkupurkkeja, mutta esimerkiksi GNAT Box tarjoaa erikoisempaa ratkaisua, jossa alustaksi kelpaa mikä tahansa 486-mikro. Kiintolevyä ei tarvita, sillä perusratkaisussa palomuuri käynnistetään yksinkertaisesti levykkeeltä. Tarvittaessa levykkeille voi tallentaa erilaisia asetusvaihtoehtoja. Levykeversiolla on rinnakkaismalli, jossa flashkortti liitetään mikron ide-väylään. YRITYSKOKO VAIKUTTAA HINTAAN Verkkoratkaisuiden hinta sidotaan yleensä käyttäjämäärään ja lisenssirajoihin eikä kiinteään ohjehintaan. Palomuurihankinnan lopullinen hinta määräytyy siten yrityskoon mukaan. Lisäksi kustannuksia laskettaessa kannattaa huomioida mahdollinen kon- HALVALLA ALKUUN Palomuurien valtaisaa hintahaitaria ei kannata kotikäyttäjän pelästyä, sillä tarjolla on myös edullisia ja jopa maksuttomia tuotteita. Lisäksi joistakin palomuuriohjelmistoista on saatavilla demoversio koekäyttöön. Silloin ohjelmiston voi aktivoida esimerkiksi vain lyhyeksi aikaa kerrallaan. Maksuttomissa tuotteista on luonnollisesti karsittu ominaisuuksia niin, etteivät ne kunnolla sovellu yrityskäyttöön. Käyttäjät ovatkin lähinnä yksityisiä harrastajia sekä opiskelijoita, joille rajoitetutkin ominaisuudet riittävät. Rajoituksena voi olla käyttäjämäärä ja mahdollisesti myös tekniset ominaisuudet. Maksuttomia palomuuriohjelmia on muun muassa GNAT Boxin kotisivuilta osoitteesta www.gnatbox.com imuroitava GNAT Box Light. Viidelle käyttäjälle rajoitettu tuote löytyy myös osoitteesta www.pcprotech.fi. Zone Alarm 2.1 -sovellus, joka löytyy osoitteesta www.zonelabs.com, on vapaa tuote yksityiskäyttöön, mutta yrityskäytöstä rokotetaan vain reilut sata markkaa vuodessa. Ilmainen tuote yksityiskäytössä on myös esafe Desktop osoitteessa www.ealaddin.com. Muutaman kymmenen dollarin vuosimaksua vastaan käyttöoikeudet saa ainakin seuraaviin tuotteisiin: Symantecin Norton Personal FireWall (www.symantec.com), Network Icen valmistama Blackice Defender (www.networkice.com) sekä Network Associatesin McAfee FireWall ja McAfee Internet Guard Dog osoitteessa www.mcafee-at-home.com. LAITTEISTOPOHJAISET PALOMUURIT PK-YRITYKSILLE Cisco D-Link GNAT NetScreen OfficeConnect Malli Secure PIX 506 DI-701 Box GB1000 V3.1 5 ja 10 FireWall 25 / DMZ Valmistaja Cisco Systems D-Link GTA NetScreen Technologies 3Com Maahantuoja Cisco Systems Finland Wintel Finland Intero Oy / PC Pro-Tech Täyttöpää Heltel - puhelin (09) 878 061 (09) 804 6151 (014) 445 1790 (09) 7250 4411 010-26 003 - www-osoite www.cisco.com www.wintel.fi www.pcprotech.fi www.tayttopaa.fi www.3com.com Toimintatapa statefull inspection nat-palomuuri statefull inspection pakettisuodatus ja pakettisuodatus ja sisältörajoitukset sisältörajoitukset Hallinta konsoli, java (PDM), selain, RS-232 Selain, konsoli, selain, CLI, keskitetysti selain hallintasovellus hallintasovellus NetScreen Global Manager Käyttöjärjestelmätuki PIX IOS kaikki - Win NT kaikki Verkkoliitäntätuki 2x10 Mbps ethernet 1x10BaseT, 10/100/1000Mbps ethernet, 10BaseT 10BaseT 1x10/100BaseT Token-Ring, FDDI Protokollatuki 1) tcp/ip ip ip ip Suodatustavat pääsylistat, java-applet, on Cyber NOT, aika websense, java, activex osoite, käyttäjä, java, activex websense activex, avainsanat, nimi, sisältöseuranta Lokit ja hälytykset oma loki, tuki ulkoiselle on loki, sposti, loki, sposti loki, sposti loki-palvelimille hakulaite, snmp Salausmenetelmä des, 3des, rsa, md-5, - nat, des, blowfish, cast128 nat, ipsec, 56-bit des, nat diffie-hellman, sha-1 triple des Virustorjunta - - - - - Etäkäyttö on on on on on Vpn-tuki on on on on alkaen 3 450 mk Hinta - 1 290 mk/työasema 24 400 mk (rajoittamaton) - 9 990 mk/100 työasemaa - alle 10 ip-osoitetta 25 450 mk - - 4 800 mk - - alle 25 ip-osoitetta - - - 9 700 mk 4 990 mk - alle 50 ip-osoitetta - - 38 900 mk (10-malli) - Muuta Tietoturvaan optimoitu Ilmaiset ICSA-sertifikaatti FCC, UL, CUL ja ICSA-sertifikaatti käyttöjärjestelmä ohjelmistopäivitykset ICSA-sertifikaatit Suositeltu Pk-yrityksiin ja Kaapelimodeemi- ja Suurille ja keskisuurille Kaapelimodeemi- ja Kaapelimodeemi- ja käyttökohde vpn-yhteyksiin. adsl-yhteyksiin. yrityksille. adsl-kotitoimistot. adsl-yhteyksiin. Maks. 32 käyttäjää. Nopeat vpn-tunnelit. Helppokäyttöinen. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. 1) tcp/ip, arp, archie, bootp, dns, ftp, gre, gopher, http, icmp, ip, netbios over ip, pptp, snmp, sql*net, rpc, telnet, tftp, udp 64 MikroPC 6 / 2001

[ ] Palomuuri voi olla laite- tai ohjelmapohjainen. NetScreen -5-laite edustaa yksinkertaista peruspalomuuria, joka kytketään internetin ja lähiverkon väliin. sultoinin tarve ennen palomuuriratkaisun hankintapäätöstä ja asennusta. Usein asiakasyritys kouluttaa yhden työntekijöistään palomuurin ylläpitoon. Laitteistopuolella lisähankinnan tarvetta voi tulla erillisestä reitittimestä, jollei se jo kuulukin palomuuriin. Lisäksi tarvitaan verkkosovittimia, joita parhaimmillaan voi olla parikymmentä. Tyypillisesti perusratkaisussa riittää kaksi verkkokorttia. Kolmas sovitin otetaan käyttöön, jos yritys tarjoaa ulkopuolelle tarjottavia web- ja extranet-palveluja puoliturvallisen dmz-verkon (demilitarized zone) välityksellä. AUKKOJA TURVASSA Palomuuri on tehokas, muttei suinkaan lopullinen ja aukoton turva ulkopuolisia hyökkäyksiä vastaan. Virhemahdollisuuksia luovat jo palomuurien moni- PGP firewall SMC SonicWALL SuperStack 3 WatchGuard Malli ja intrusion detection Barricade 7008BR SOHO2/10 ja SOHO2/50 Crypto 168 bit SOHO Valmistaja Network Associates SMC SonicWALL 3Com WatchGuard Maahantuoja Heltel Wintel Finland BetechData Heltel Netmedia Finland - puhelin 010-26 003 (09) 804 6151 (09) 825 4140 010-26 003 (06) 3181 300 - www-osoite www.nai.com www.wintel.fi www.betechdata.fi www.3com.com www.netmedia.fi Toimintatapa pakettisuodatus nat-palomuuri statefull inspection pakettisuodatus ja Dyn. Statefull sisältörajoitukset Packet Filtering Hallinta konsoli, PGP Admin selain, RS-232 selain selain selain Käyttöjärjestelmätuki Windows ja MacOS kaikki oma käyttöjärjestelmä kaikki - Verkkoliitäntätuki - 1x10BaseT, 2x10/100BaseT 3x10/100BaseT 1+4 (HUB) ethernet 8x10/100BaseT-kytkin Protokollatuki ip tcp/ip tcp/ip (tcp, udp, icmp, ipsec) ip ip Suodatustavat - on CyberPatrol, domainit, osoite, käyttäjä, nimi, tcp/ip, Real Audio/Video, url-sanat, aika, NAT avainsanat, activex, NetMeeting, Video Phojava, sisältöseuranta ne, icq, socks5, NAT Lokit ja hälytykset on on www-liittymään, sposti, loki, sposti on syslog trat, diagnostiikka, viikottain, hakkeroitaessa Salausmenetelmä - - ipsec 3des, des, nat ipsec, ike, md5, sha1, arc4 (ike, pki) des, 3des (sohotc) Virustorjunta - - optio - - Etäkäyttö - on on on on Vpn-tuki - on 5 940 mk on on Hinta 2 490 mk/työasema - 31 133 mk (rajoittamaton) - - alle 10 ip-osoitetta 1 273 mk / työasema - 5 940 mk - 3 800 5 000 mk - alle 25 ip-osoitetta 1 273 mk / työasema - - - 5 500 6 700 mk - alle 50 ip-osoitetta 1 038 mk / työasema - 11 940 mk - 7 600 8 800 mk Muuta Yksinkertainen 8-porttinen kytkin ja ICSA-sertifikaatti, ICSA-sertifikaatti, - asennus kirjoitinpalvelin ilmaiset päivitykset helppokäyttöinen Suositeltu Kaapelimodeemi-, Kaapelimodeemi- ja Pk-yritykset ja Lähiverkon palomuuri Pientoimistoon ja käyttökohde adsl- ja isdn-yhteydet adsl-yhteyksiin. vpn-tunnelit. ja vpn-yhteydet. kotiverkkoon. Maks. 253 käyttäjää. Helppo asentaa. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. MikroPC 6 / 2001 65

K A T S A U S palomuurit mutkaiset ja helposti ristikkäisiksi muotoutuvat säännöstöt. Silloin kaikkia mahdollisia yhdistelmiä ei välttämättä osata ottaa etukäteen huomioon. Palomuurin tueksi onkin tarjolla esimerkiksi virustutkia ja tietoliikenneanalysaattorin kaltaisia torjuntaeli IDS-järjestelmiä (Intrusion Detection System). Toisaalta hyökkäyksiin kehitettyjä porttiskannereita voi käyttää myös oman verkon mahdollisten suojausaukkojen selvittämiseen ennen kuin hämäräheput ehtivät asialle samoilla välineillä. Tunkeilijoiden havainnoimisohjelma analysoi liikennettä kaiken aikaa etsien merkkejä tunkeilijoista. Jos tutkain havaitsee hyökkäysyrityksiä, voi suojaus sulkea tietyt portit joksikin aikaa käytöstä. Tällainen hakkeriblokkeri-toiminto on mukana muu- Palomuurisäännöstön periaate on yksinkertainen: ensin kielletään kaikki liikenne, minkä jälkeen sallitaan yksitellen halutut tietovirrat protokol- ]lien, ip-osoitteiden ja liikennesuunnan perusteella. tamissa palomuureissa. Vpn- eli yksityisverkkotunnelointi voi kuulua palomuurisovellukseen jo vakiona tai sen saa hankittua erillisenä tuotteena. Vpn-ominaisuutta tarvitsevat yritykset, joilla on konttoreita eri puolilla maata tai etätyöntekijöitä, joille täytyy järjestää turvattu yhteys yrityksen verkkoon. Yksityisverkon idea on yksinkertaisuudessaan tehokas. Verkkoyhteyttä varten luodaan internetin läpi oma kanava tunneliperiaatetta käyttäen. Salakielelle koodatut datapaketit kulkevat tätä tunnelia pitkin määränpäähän, missä ne jälleen avataan selkokielelle. Kaikki keskeiset vpn-ratkaisut pohjautuvat standardiksi vakiintuneeseen IP- Seciin. Palomuureihin tarjotaan luotetta- PALOMUURIOHJELMISTOT KESKISUURIIN JA SUURIIN YRITYKSIIN Check Point Cisco IBM SunScreen Malli FireWall-1 Secure Integrated Software SecureWay Firewall Secure Net 3.1 Valmistaja CheckPoint Cisco Systems IBM Sun Microsystems Maahantuoja/edustaja Stonesoft Cisco Systems Finland IBM Finland Sun Microsystems Oy - puhelin (09) 4767 11 (09) 878 061 (09) 4591 (09) 525 561 - www-osoite www.stonesoft.com www.cisco.fi www.fi.ibm.com www.sun.fi Toimintatapa statefull inspection Palomuuri Proxy ja socks statefull inspection Cisco-reitittimeen käyttäjätunnistuksella Hallinta etäkonsoli konsoli, hallintasovellus Java-sovellus tai selain Tivoli-konsoli Käyttöjärjestelmätuki NT, Solaris, AIX, HP-UX Cisco IOS Windows NT, IBM AIX Solaris 2.6, 7, 8 ja Trusted 7 (Intel tai SPARC) Verkkoliitäntätuki riippuu laitteesta Cisco-verkkoliitännät NT, NDIS-adapterit, 10/100/1000 Mbps ethernet, ja järjestelmästä AIX- x.25, atm, FDDI, atm, Token Ring, FDDI TR, ethernet, S/390 Protokollatuki tcp/ip 1) tcp/ip (tcp, udp, icmp jne.) tcp/ip (tcp, udp, icmp jne.) Suodatustavat aika, sisältö, spam, pääsylistat, java pakettisuodatus, socks v5, aika, sisältö, java-, dyn.+ staat. nat sovellusproxy activex, cookie-, javascript, spam, dyn.+staat. nat Salausmenetelmä fwz-1, des, 3des des, 3des, rsa, sha-1 des, 3des rc2, rc4, des, diffie-hellman, md-5 triple des, safer cbc Virustorjunta erillisohjelmilla - - - Etäkäyttö SecuRemote optio on on Vpn on optio on on Laitesuositus Kaikki yleisimmät Cisco-reitittimet Win NT: P 266 MHz Ympäristön mukaan IBM AIX: RS/6000 Hinta - Reititinkohtainen 139 469 mk (rajoittamaton) 132 744 mk (rajoittamaton) - alle 10 ip-osoitetta 27 700 mk - - - - alle 25 ip-osoitetta 43 600 mk - 276 mk/käyttäjä - - alle 50 ip-osoitetta 67 300 mk - - - Suositeltu Vaativiin, Cisco-reittimiin Suurille ja keskisuurille Suurille ja keskisuurille käyttökohde kiinteisiin yhteyksiin yrityksille yrityksille Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. 1) tcp, udp, cu-seeme, ftp, h.323, http, netshow, realaudio, rtsp, rpc, smtp, sql*net, streamworks, tftp, vdolive 66 MikroPC 6 / 2001

vuutta esimerkiksi vikasietoisina toteutuksina, joista ensimmäisiä ratkaisuja on jo markkinoilla. ULKOA SAA APUA Hinta ei yksin ratkaise tietoturvaratkaisun hankintaa. Yhtä paljon pitää kiinnittää huomiota järjestelmän hallinnan vaivattomuuteen ja vaadittavaan työmäärään. Mitä monimutkaisempi verkkoympäristö on, sitä houkuttelevampaa on yritykselle ulkoistaa suojaustoiminnot esimerkiksi internet-operaattorille. Näitä ratkaisuja kannattaa myös yritys, jolla ei ole mahdollisuuksia kouluttaa osaavia tietoturvahenkilöitä omasta henkilökunnastaan. Paras varmuus suojaustoimenpiteiden tehokkuudesta saadaan silloin, kun työ tehdään yrityksen sisällä. Tämä vaatii asianmukaisen koulutuksen henkilöstölle, joiden täytyy perehtyä turvajärjestelmän kokonaisuuteen. Kattavasta lokikirjanpidosta ei ole sanottavaa hyötyä, jollei kenelläkään ole aikaa tai taitoa tutkia tapahtumakirjanpitoa säännöllisesti. Silloin tarvitaan luonnollisesti myös oikeudet asianmukaisiin muutoksiin. Vaikka turvapolitiikan säännöt luodaankin jo etukäteen, voivat käytännön havainnot johtaa käyttöoikeusmuutoksiin. Yrityksen tietoturva täytyy ymmärtää kokonaisuutena, jossa palomuuri on vain yksi osanen. Turvaratkaisujen kokonaisvaltaisen selvittämisen kannalta tehokkain vaihtoehto on käyttää asiantuntevaa konsulttia, jollainen löytyy esimerkiksi palomuuritoteutusta tarjoavasta yrityksestä. Perusteellisesti läpikäyty turvapolitiikka ennen laitehankintoja säästää jonkin verran rahaakin ja varmasti turhaa työaikaa. Tällöin järjestelmän viilaaminen pystytään suunnittelemaan etukäteen. SANASTO Des (data encryption standard) on 56-bittiseen salausavaimeen perustuva koodaus. Uudempi versio on 3Des (triple-des 168 bit). Dhcp (dynamic host configuration protocol) jakaa ip-osoitteet dynaamisesti lähiverkon työasemiin. Helpottaa ylläpitoa. Ekstranet (kumppaniverkko) on yrityksen sisäverkosta eristetty osa, johon asiakkaat tai muut sidosryhmät pääsevät. Nat (network address transalation) tarkoittaa verkko-osoiteavaruuden muunnosta, jossa lähiverkon työasemien ja palvelimien ip-osoitteet eivät näy julkiseen verkkoon, kuten internetiin. PALOMUURIRATKAISUT (OHJELMISTO JA LAITE) Nokia IP-sarja UUsecure Firewall WatchGuard Malli IP51/110/330/440/650 Standard Edition Firebox II + FireWall-1 Valmistaja Nokia/Check Point Nokia/CheckPoint WatchGuard Maahantuoja/edustaja IP Channel UUNET Finland Netmedia Finland - puhelin (09) 435 981 90 (09) 7255 4700 (06) 3181 300 - www-osoite www.ipchannel.fi www.fi.uu.net www.netmedia.fi Toimintatapa stateful multilayer statefull inspection dynamic stateful inspection inspection Hallinta Voyager ja Horizon Voyager, WatchGuard Control Center manager, FW-1-konsoli CheckPoint, CLI Käyttöjärjestelmätuki Nokia IPSO Nokia IPSO Win 95, 98, NT, 2000 Verkkoliitäntätuki 10/100Mbps ethernet, 10/100 Mbps ethernet, 3 kpl 10/100 ethernet, RJ45 FDDI, atm, Token-Ring, Token Ring V35, X21, HSSI, isdn, E1, T1 Protokollatuki 150 protokollaa Tcp/ip natiivisti, ip muut kapseloimalla Suodatustavat Opsec-yhteensopivat ip-osoite, aika, Paketti- ja proxy, sisältö, suodatukset käyttäjätunnus portit, käyttäjät, ryhmittäin, aika, nat dyn.+staat., spam. Lokit ja hälytykset Loki ja raportointi on WatchGuard Control Center Salausmenetelmä des, 3des ipsec, des (56-bit), 3des vpn, ipsec, pptp, des, 3-des, md5, sha1, ike Virustorjunta on Nokia IP445-tuote Opsec-yhteensopiva Safe contents check Etäkäyttö on Securemote VPN on Vpn 6 000 mk 25 000 mk on on Laitesuositus Nokia IP51 IP650 Nokia IP 330, 440 ja 650 - -sarjan reititin Hinta 6 500 200 000 mk Ylläpito 11 400 mk/v 38 500 mk (rajoittamaton) - alle 10 ip-osoitetta n. 12 000 mk - - - alle 25 ip-osoitetta n. 16 500 mk 60 000 mk - - alle 50 ip-osoitetta n. 26 000 mk - - Muuta Palomuurin monistus Nokia-reititin ja Keskitetty hallinta, ilman CheckPoint Instant lisäohjelmistoja. VPN-1-ohjelmisto. VPN-optio. Suositeltu Yleiskäyttöinen Kiinteisiin yhteyksiin Kokonaisratkaisu. käyttökohde palomuuri/vpn. alkaen 64 kbit/s. Taulukon tiedot on koottu maahantuojien ilmoituksista. Hinnat sisältävät alv 22 %. Palomuuri (firewall) on verkkolaite tai sovellus, joka estää sääntöihin pohjautuen vihamielisten tunkeutujien pääsyn lähiverkkoon ja sen palveluihin. Soho (small office home office) tarkoittaa koti- ja pienyrityksiä. Tcp/ip (transmission control protocol / internet protocol) on internetissä ja laajaverkoissa käytetty tiedonsiirtotapa. MikroPC 6 / 2001 67

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute