Tilaton pakettisuodatus
Tilaton pakettisuodatus on yksi palomuurin suodatustyypeistä.
Tilatonta pakettisuodatusta kutsutaan pakettisuodatinpalomuuriksi, joka on palomuurityypeistä yksinkertaisin. Sillä on pääsylista, ACL (engl. 'Access Control List'), jonka perusteella pakettien suodatus tapahtuu. Oletuksena ACL:ssä on sääntö, jonka mukaan kaikki, mitä ei ole erikseen sallittu, on kielletty.
Missä käytetään?
[muokkaa | muokkaa wikitekstiä]Pakettisuodatinpalomuuria käytetään toisinaan yrityksen laitepalomuurin edessä suodattamassa kaikki yleiset epätoivotut paketit pois, jolloin laitepalomuurille, joka on yrityksen pääpalomuuri, ei tulisi liikaa tekemistä turhien ei-toivottujen pakettien suodattamisessa. Laitepalomuurille jää suodatettavaksi kaikki, mitä pakettisuodatinpalomuuri ei ole hylännyt.
Microsoft XP -käyttöjärjestelmän mukana tulee sisäänrakennettu palomuuri, joka on tyypiltään pakettisuodatin. Tämä on esitetty XP:ssä nimellä Internet-yhteyden palomuuri (engl. TCP/IP filtering).
Toiminta
[muokkaa | muokkaa wikitekstiä]Pääsylista, ACL
[muokkaa | muokkaa wikitekstiä]Pakettisuodatinpalomuurin toiminta perustuu pääsylistaan eli ACL:ään (engl. Access Control List). Kun paketti saapuu, palomuuri vertailee sen otsikkotietoja pääsylistassa oleviin sääntöihin, joiden mukaan paketti joko päästetään läpi tai hylätään.
Paketin otsikkotiedot, joita pääsylistaan vertaillaan, ovat IP, TCP, UDP ja ICMP. Useimmiten suodatuksen kohteena on IP-osoitteet ja porttinumerot.
ACL:n laatiminen
[muokkaa | muokkaa wikitekstiä]Pääsylista laaditaan oletussäännön perusteella. Oletussääntö, joka on listassa viimeisenä, on yleensä muotoa "Kaikki paketit, joita ei erikseen sallita, kielletään." Kaikki liikenne, joka halutaan erikseen sallia, laaditaan pääsylistaan erillisiin sääntöihin oletussäännön yläpuolelle.
Esimerkki ACL:stä
[muokkaa | muokkaa wikitekstiä]Oletussääntö on tässä esimerkissä alimmaisena (4.), ja sen yläpuolelle määritellään siitä poikkeavat säännöt. Jokaisen paketin tullessa palomuurin kohdalle, niiden otsikkotiedot käydään pääsylistassa läpi numerojärjestyksessä. Koko listaa ei tarvitse aina käydä läpi; jos esimerkiksi listan 3. sääntö pätee pakettiin, ei neljättä sääntöä tarvitse enää käydä läpi.
Esimerkki pääsylistasta
[muokkaa | muokkaa wikitekstiä]- Kaikki ulospäin lähtevät paketit sallitaan
- Kaikki sisään tulevat paketit, joiden kohdeportti on 80, sallitaan
- Kaikki echo reply -paketit sallitaan
- Kaikki muut paketit kielletään
Edut ja ongelmat
[muokkaa | muokkaa wikitekstiä]Ongelmat
[muokkaa | muokkaa wikitekstiä]Dataliikenne on melkein aina kaksisuuntaista. Pakettisuodatinpalomuurissa kiellettyjen sääntöjen kohdalla pelkästään yhteyden avaus ulkoapäin on kielletty, jolloin vahingollinen paketti saattaa päästä läpi, kunhan se ei ole merkitty yhteyden avauspaketiksi.
Katso myös
[muokkaa | muokkaa wikitekstiä]Lähteet
[muokkaa | muokkaa wikitekstiä]- PC Security and Hacker Defenses (Arkistoitu – Internet Archive)
- Panko, Raymond R.: Business data networks and telecommunications. Upper Saddle River : Prentice Hall, 2002. ISBN 0-13-048727-9