G: Tiedätkö mikä on tietokoneessa palomuuri ja mitä sen tehtäviin kuuluu ja mitä ei?

Se on tieto yhtiöitten kusetusta että muka semmoinen tarvittais vaikka jokanen omilla aivoillan ajateleva tietää että se on pelkkää rahastusta eikä tieto kone mitään muureja tarvitte kun on tekijä mies asialla.

Vierailija kirjoitti:

Se on tieto yhtiöitten kusetusta että muka semmoinen tarvittais vaikka jokanen omilla aivoillan ajateleva tietää että se on pelkkää rahastusta eikä tieto kone mitään muureja tarvitte kun on tekijä mies asialla.

Yrität siis sanoa että internet-palveluntarjoajan maksullinen palomuuri on aikalailla rahan haaskausta. Sehän on yleensä lisenssi johonkin F-Securen tuotteeseen, ja käsittääkseni pääsee jonkun web-käyttöliittymän kautta hallitsemaan sitä.

Palomuuri tulee myös monien ADSL/VDSL yms modeemien mukana. Ei se kaikissa varmaankaan ole, mutta melko usein kuluttajille tarkoitetuissa laitteissa sellainen on. Ominaisuuksia on sitten tietysti vaihtelevasti.

Yleinen virhekäsitys kuitenkin kannattaa korjata eli vaikka monet palomuurit oletusasetuksillaankin suojaa kai jonkin verran, niin tarkoitus on kuitenkin se että käyttäjän pitäisi myös osata palomuurin asetukset säätää itselleen sopiviksi. Palomuuri ei siis ole töpseli-seinään-ja-unohda -tyylinen laite, vaan se on pikemminkin älykäs laite, johon pitää osata laittaa itselleen sopivia verkkoasetuksia, tämä koskee etenkin edistyneempiä käyttäjiä joilla netin käyttö on laajaa.

Toki palomuureja on myös käyttöjärjestelmien mukana.

Eli palomuuri on ohjelmisto joka asettuu laajakaistayhteyden ja kotikoneen väliin, ja sitä kontrolloidaan erilaisilla asetuksilla, mm. säännöillä joiden perusteella erityyppistä liikennettä verkossa sallitaan tai estetään tmv.

Palomuuri voi olla käyttöjärjestelmässä mutta se voi myöskin olla erillisessä laitteessa tmv.

Riippumatta siitä missä laitteessa niitä ajetaan, ne on kuitenkin aina tietokoneohjelmistoja joilla verkkoliikennettä pyritään kontrolloimaan jotta internetin ja käyttäjän verkkojen välillä ei esiintyisi ei-haluttua liikennettä.

Samoin liikenteen priorisointi voi kuulua palomuurin ominaisuuksiin, esim. internetin kautta toimiva puhelinliikenne vaatii tasalaatuisempaa datavirtaa kuin esim. netissä surffailu.

Eikös se palomuuri ole sitä varten että tulipalon sattuessa ei palo siirry johtoja pitkin naapuriin?

Ei enää nettinörde kirjoitti:

Palomuuri tulee myös monien ADSL/VDSL yms modeemien mukana. Ei se kaikissa varmaankaan ole, mutta melko usein kuluttajille tarkoitetuissa laitteissa sellainen on. Ominaisuuksia on sitten tietysti vaihtelevasti.

Yleinen virhekäsitys kuitenkin kannattaa korjata eli vaikka monet palomuurit oletusasetuksillaankin suojaa kai jonkin verran, niin tarkoitus on kuitenkin se että käyttäjän pitäisi myös osata palomuurin asetukset säätää itselleen sopiviksi. Palomuuri ei siis ole töpseli-seinään-ja-unohda -tyylinen laite, vaan se on pikemminkin älykäs laite, johon pitää osata laittaa itselleen sopivia verkkoasetuksia, tämä koskee etenkin edistyneempiä käyttäjiä joilla netin käyttö on laajaa.

Toki palomuureja on myös käyttöjärjestelmien mukana.

Eli palomuuri on ohjelmisto joka asettuu laajakaistayhteyden ja kotikoneen väliin, ja sitä kontrolloidaan erilaisilla asetuksilla, mm. säännöillä joiden perusteella erityyppistä liikennettä verkossa sallitaan tai estetään tmv.

Palomuuri voi olla käyttöjärjestelmässä mutta se voi myöskin olla erillisessä laitteessa tmv.

Riippumatta siitä missä laitteessa niitä ajetaan, ne on kuitenkin aina tietokoneohjelmistoja joilla verkkoliikennettä pyritään kontrolloimaan jotta internetin ja käyttäjän verkkojen välillä ei esiintyisi ei-haluttua liikennettä.

Samoin liikenteen priorisointi voi kuulua palomuurin ominaisuuksiin, esim. internetin kautta toimiva puhelinliikenne vaatii tasalaatuisempaa datavirtaa kuin esim. netissä surffailu.

Sanot siis että palomuuri voi olla modeemissa, käyttöjärjestelmässä tai erillisessä laitteessa ja se tulee nimeomaan laajakaistayhteyden ja kotikoneen väliin. Palomuurin asetukset joutuu itse säätämään haluamakseen.

Sanot että palomuuri kontrolloi ja suodattaa liikennettä ja sillä voi priorisoida ilmeisesti tiettyjen ohjelmien liikenne.

Onko muita mielipiteitä?

Vierailija kirjoitti:

Ei enää nettinörde kirjoitti:

Palomuuri tulee myös monien ADSL/VDSL yms modeemien mukana. Ei se kaikissa varmaankaan ole, mutta melko usein kuluttajille tarkoitetuissa laitteissa sellainen on. Ominaisuuksia on sitten tietysti vaihtelevasti.

Yleinen virhekäsitys kuitenkin kannattaa korjata eli vaikka monet palomuurit oletusasetuksillaankin suojaa kai jonkin verran, niin tarkoitus on kuitenkin se että käyttäjän pitäisi myös osata palomuurin asetukset säätää itselleen sopiviksi. Palomuuri ei siis ole töpseli-seinään-ja-unohda -tyylinen laite, vaan se on pikemminkin älykäs laite, johon pitää osata laittaa itselleen sopivia verkkoasetuksia, tämä koskee etenkin edistyneempiä käyttäjiä joilla netin käyttö on laajaa.

Toki palomuureja on myös käyttöjärjestelmien mukana.

Eli palomuuri on ohjelmisto joka asettuu laajakaistayhteyden ja kotikoneen väliin, ja sitä kontrolloidaan erilaisilla asetuksilla, mm. säännöillä joiden perusteella erityyppistä liikennettä verkossa sallitaan tai estetään tmv.

Palomuuri voi olla käyttöjärjestelmässä mutta se voi myöskin olla erillisessä laitteessa tmv.

Riippumatta siitä missä laitteessa niitä ajetaan, ne on kuitenkin aina tietokoneohjelmistoja joilla verkkoliikennettä pyritään kontrolloimaan jotta internetin ja käyttäjän verkkojen välillä ei esiintyisi ei-haluttua liikennettä.

Samoin liikenteen priorisointi voi kuulua palomuurin ominaisuuksiin, esim. internetin kautta toimiva puhelinliikenne vaatii tasalaatuisempaa datavirtaa kuin esim. netissä surffailu.

Sanot siis että palomuuri voi olla modeemissa, käyttöjärjestelmässä tai erillisessä laitteessa ja se tulee nimeomaan laajakaistayhteyden ja kotikoneen väliin. Palomuurin asetukset joutuu itse säätämään haluamakseen.

Sanot että palomuuri kontrolloi ja suodattaa liikennettä ja sillä voi priorisoida ilmeisesti tiettyjen ohjelmien liikenne.

Onko muita mielipiteitä?

Kyllä, tiivistit sopivasti.

Kannattaa sellainenkin huomata, että kun kyse on terminologiasta, niin näitä tietoverkon käyttöön liittyviä toimintoja voidaan niputtaa monesti useitakin samaan laitteseen/ohjelmistokokonaisuuteen tmv.

Eli esim. reititin ja palomuuri, samoin niissä voi olla jotain toimintoja virusten torjuntaa varten, jossain raskaammassa käytössä voi olla nettiliikenteelle cache/proxy -toimintoja, joilla pyritään vähentämään toistuvista latauksista aiheutuvaa liikenteen määrää ja näin nopeuttamaan latauksia (esim. squid).

Itse pyrin alkuperäisessä kommentissani rajaamaan vastaukseni lähinnä siihen osuuteen, joka on palomuurin hommaa, mutta näissä erilaisissa ratkaisuissa tosiaan tulee usein sitten muitakin mahdollisuuksia mukana. Ne saattaa olla rakennettu esim. moduuleina (ns. plugin) niin, että perus-modeemi-reititin-palomuuri -yhdistelmään saa sitten jonain lisäpalikoina lisää toimintoja, ja kaikki ne sitten toimii enemmän tai vähemmän keskenään yhdessä.

Aika vaikea aihe, on hyvä jos on edes jonkinverran tietoliikenneasioista kärryillä, ja saa kyllä olla ihan tyytyväinen että osaa edes jonkinasteiset perussäädöt. On varmaan ihan hyvä juttu että noi tavalliset modeemi-reititin-palomuuri yhdistelmät ainakin useimmiten tulee edes kohtuullisen toimivilla perusasetuksilla jotta perusjampat ei joudu heti niiden kanssa ongelmiin. Oppiminen ja säätäminen onnistuu sitten ajan myötä helpommin, kun ei ole heti lähtötilanteen kanssa ongelmia.

Ensinnäkin, palomuurilla ei ole mitään tekemistä virustorjunnan kanssa, kaksi aivan eri asiaa. Tätä ei suurin osa tajua. Toki erillisissä palomuuri-laitteissa voi olla tällaisia lisäominaisuuksia, mutta koska lähes kaikki verkkoliikenne on nykyään salattua, eivät ne voi liikennettä skannata.

Palomuurin perimmäinen tehtävä on hallita, mitä liikenettä ulkoverkosta (esim internet) sallitaan sisäverkkoon (LAN, tai esim tietokone). Lähtökohtaisesti palomuuri estää KAIKEN ulkopäintulevan liikenteen, ellei se liikenne liity johonkin sisältäpäin avattuun yhteyteen. Palomuurit voivat myös estää liikennettä sisäverkosta ulkoverkkoon päin, mutta oletuksena yleensä sallii kaiken.

Reitittimissä olevalla palomuurilla on sitten toissijainen tehtävä joka on NAT. Lyhyesti sen lisäksi että se hoitaa palomuurin tehtävää, niin se myös ohjaa ulkoapäin tulevan liikenteen oikealle koneelle (olettaen että sisäverkossa on useampi kuin yksi laita).

Kyllä, terminologia voi mennä helposti sekaisin, siksi sanoinkin että se laite jossa palomuuri on, siinä voi olla muitakin toimintoja kuin pelkkä palomuuri.

Itselläni tärkeimmät palomuurin käyttötavat lienevät lähinnä tietyjen "reikien" avaaminen niin että internetistä pääsee käsiksi joihinkin palveluihin, ja toinen tärkeä tarkoitus on myös se että sisäverkkoon kytketyillä laitteilla on pääsy internetiin vain siten kuin itse sallin. Omilla oletusasetuksillani mikään kone ei pääse internetiin, vaan ainoastaan erikseen valikoidut laitteet saavat oikeuden liikennöintiin.

Tämäkin on tietoturva-ajattelua, eli jos jollekin koneelle (jolla ei ole pääsyä nettiin) tulee jokin virus tmv. niin se ainakin hiukan hidastaa ja hankaloittaa sen haittaohjelman toimintaa kun sillä ei ole pääsyä nettiin. On nimittäin sitäkin, että jossain kiina-laitteissa saattaa tulla jo tehtaalta tullessaan jotain haittaohjelmaa mukana

Toki yleensäkin ottaen koko sisäverkon osoitteet ja muut ne hoituu saman palomuuriohjelmiston avulla, vaikka siinä puhutaankin sitten jo muista asioista kuin palomuurista (esim. DHCP, DNS, NTP yms.)

Tämä on nyt vain esimerkkinä siitä jos laitteita ja toimintoja on vähän enemmänkin kuin vain joku yksittäinen tietokone surffailua yms. varten. En ole alan ekspertti, mutta tarvitsen tietoteknisiä vehkeitä omissa töissäni/harrasteissani aika paljon, ja ajoittaisiin säätötarpeisiin on joutunut hiukan joskus perehtymään miten nämä toimii.

Ehkä tiedän, ehkä en. Olin aikanaan webmaster. Tai oikeammin kai webmistress.

iptables --policy INPUT DROP

iptables --policy OUTPUT ACCEPT

Nykyään ei paljon enempää kai onnistuisi ulkomuistista.

Vierailija kirjoitti:

Ehkä tiedän, ehkä en. Olin aikanaan webmaster. Tai oikeammin kai webmistress.

iptables --policy INPUT DROP

iptables --policy OUTPUT ACCEPT

Nykyään ei paljon enempää kai onnistuisi ulkomuistista.

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 433 -j ACCEPT

Nuo saattaa toimia. Lisäksi SSH-portin pitää olla auki mutta se vaihdetaan aina johonkin muuhun kun 22.

Mutta joo, palomuuri nimenomaan suodattaa ja reitittää liikennettä. Taviskäyttäjille tarkoitetut palomuurit on konffattu niin että ne sallii kaiken ulos, mutta vain RELATED ja ESTABLISHED sisään. Eli joku yrittää yhteyttä koneeseen niin sen ei pitäisi onnistua mutta esimerkiksi call home-ohjelmiin tuo konffaus ei ota kantaa. Eikä siihen jos joku haittaohjelma on saanut root-oikeudet ja avaa itse portin.

Palomuuri ei suojele roskapostilta tai viruksilta. Tavallisella käyttäjällä se vain huolehtii siitä ettei ulkopuoliset pääse koneeseen netin kautta asentamatta siihen ensin jonkun yleensä etähallintasoftan. Ja tavallisella käyttäjällä tuskin on syytä antaa vieraiden ottaa yhteys omaan koneeseen.

Jos haluaa jonkun välimuistin tai kuormantasaajan niin se on parempi toteuttaa erikseen. Ainakin iptables osaa sen mutta siitä tulee kunnon viritelmä.