30.06.2008 21:39

Säädä Nettiturvan palomuurin asetukset kuntoon

Nettiturva-palveluun kuuluu osana tehokas palomuuri, joka sallii perusasetuksillaan tavanomaisen netin käytön. Joskus kuitenkin tulee eteen sovelluksia tai nettipalveluita, joita palomuuri ei osaa päästää läpi automaattisesti. Tällöin käyttäjän tulee muokata palomuurin asetuksia käsin.

Jos nettipeli, tiedostonjako tai pikaviestiohjelma ei toimi vaikka verkkoliikenne kulkee muuten saumattomasti, syyllinen on luultavasti tehtäväänsä uskollisesti suorittava palomuuri. Kun apua kysyy verkossa, saa luultavasti vähintään yhden neuvon jonka mukaan palomuuri pitäisi kääntää pois päältä. Tällaiset neuvot ovat aina erittäin kyseenalaisia.

Palomuuria ei tulisi koskaan kääntää pois päältä, ainakaan pitkäksi aikaa. Ainoa poikkeus on tilanne, jossa kokeillaan ohjelmaa kerran ilman palomuuria sen selvittämiseksi, onko vika todellakin tiukoissa turva-asetuksissa. Tämän jälkeen palomuuri pitää kytkeä välittömästi takaisin päälle.

Oikea ratkaisu on puhkaista palomuuriin halutun sovelluksen mentävä reikä. Nettiturva-palvelun mukana toimitettava F-Securen palomuuriratkaisu antaa käyttäjälle joustavat työkalut asetusten muokkaamiseen ja sovittamiseen omaan käyttöön. Palomuuriasetuksiin pääsee käsiksi tuplanaksauttamalla järjestelmän tilapalkissa, kellonajan vieressä olevaa Nettiturvan kuvaketta. Avautuvassa ikkunassa klikataan Internet-suojaus nappia.

Tietoturvatasot

Ensimmäinen paikka, jossa palomuurin asetuksia pääsee höllentämään tai tiukentamaan, on aivan ensimmäisellä rivillä oleva Muuta... -linkki. Sen takaa löytyvistä asetuksista voi määritellä, millaisessa ympäristössä tietokonetta käytetään.

Tarjolla olevista tietoturvatasoista löytyy sanallinen kuvaus, joka kertoo millaiseen käyttöön ne on tarkoitettu. Salli kaikki -tietoturvatasoa ei ole syytä käyttää juuri missään yhteydessä, sillä se avaa koneen käytännössä kaikenlaiselle haittaohjelmaliikenteelle.

Sovellusten hallinta

Yksittäisten sovellusten kykyä kommunikoida nettiin voi säätää Sovellusten hallinnan kautta. Palomuuri antaa tietyille ohjelmille luvan kommunikoida verkon yli tai toimia palvelimena, jolloin toiset ohjelmat voivat ottaa niihin yhteyttä. Kun ohjelmia päivittää, varoittaa palomuuri siitä että ne ovat muuttuneet. Tällöin ohjelmille pitää antaa uudelleen lupa käyttää verkkoyhteyksiä. Joskus tässä tilanteessa käyttäjälle tulee ajatuskatko ja hän kieltää vahingossa nettikommunikoinnin. Tilanteen voi korjata sovellusten hallinnan avulla.

Sallitut/estetyt sovellukset -rivin päästä löytyy Määritä-linkki, josta pääsee tarkastelemaan mitkä ohjelmat saavat kommunikoida verkkoon. Käyttö (lähtevä) tarkoittaa sitä että sovellus saa halutessaan ottaa yhteyden nettiin. Palvelin (saapuva) taas sitä että joku ohjelma voi ottaa netistä yhteyden kyseiseen sovellukseen.

Kuvassa Firefox-nettiselaimelta on erehdyksessä poistettu oikeus kommunikoida verkkoon. Tilanteen voi korjata tuplanaksauttamalla sovelluksen riviä, jolloin aukeaa toisessa kuvassa näkyvä ikkuna. Kun sieltä klikataan Työasema (lähtevä) / Toiminto -kohdassa radionappi Salli-asetukselle, selain pääsee jälleen verkkoon.

Etenkin palvelinoikeuksien jakelemista kannattaa miettiä toisenkin kerran. Onko sovellus todellakin sellainen, että sen pitää pystyä ottamaan vastaan yhteyksiä verkosta? Tällaisia ovat esimerkiksi Messengerin kaltaiset pikaviestimet ja nettipelit, mutta eivät vaikkapa netistä haetut ilmaiset näytönsäästäjät tai kuvankäsittelyohjelmat. Tällaisilla ohjelmilla ei yleensä ole mitään asiaa käyttää verkkoyhteyksiä, joten jos ne alkavat moista vaatia, saattaa kyseessä olla pahimmillaan vakoiluohjelma.

Järkevä käyttäjä miettiikin tarkoin mille ohjelmille antaa luvan verkkoliikennöintiin. Harvan ohjelman tarvitsee loppujen lopuksi käyttää verkkoyhteyttä, vaikka ne sitä saattaisivat toivoakin.

Sääntöjen luominen

Ellei tietoturvatason virittely korjaa ongelmaa, joudutaan nettiliikenne sallimaan käsipelillä. Tässä mennään kehittyneiden verkkoasetusten virittelyn puolelle, joten aivan aloittelijan ei välttämättä kannata lähteä kyseisiä asetuksia virittelemään, ainakaan ilman asiantuntevaa apua.

Palomuurisääntöjen säätämiseksi vaaditaan perustiedot siitä, mikä on IP-osoite, portti ja protokolla. Lyhyesti ilmaistuna IP-osoite on tietokoneen sijainti internetissä tai lähiverkossa, eli tavallaan katuosoite. Portti puolestaan on katuosoitteessa oleva postilaatikko tai firman osasto, jossa käsitellään tietyn tyyppistä liikennettä. Esimerkiksi web-selailu kulkee tietokoneen portin 80 läpi ja Bittorrent-vertaisverkkoliikenne porttien 6881-6889 kautta. Protokolla puolestaan on kommunikoinnissa käytetty ”kieli”. Jotkut sovellukset käyttävät TCP-protokollaa, toiset UDP:tä, jotkut molempia.

Palomuurin asetuksiin pääsee käsiksi klikkaamalla Palomuuri-rivin päässä olevaa Määritä-linkkiä, jolloin näkyville tulevat palomuurin säännöt. Sääntöjä sovelletaan järjestyksessä ylhäältä alas. Harmaat säännöt ovat ylhäällä mainitun tietoturvatason sanelemia, eikä niitä pääse muuttamaan.

Palomuurisääntö määrittelee mistä IP-osoitteista, minkä porttien välillä ja mitä protokollaa käyttäen kommunikointi sallitaan. Säännön voi lisätä klikkaamalla ruudun alalaidassa olevaa Lisää -nappia.

Seuraavassa tehdään esimerkkisääntö, joka mahdollistaa FTP-tiedonsiirron lähiverkossa olevien koneiden välillä. Kyseessä on tilanne, jossa verkkoyhteyteen on liitetty palomuuri/yhteyskäytävä -laite, joka jakaa nettiyhteyden useammalle asunnossa olevalle tietokoneelle. Nämä koneet ovat siis lähiverkossa ja niiden IP-osoitteet ovat tässä tapauksessa 192.168.1.101, 192.168.1.102, jne.

Annetaan säännölle nimi ja kerrotaan että kyseessä on kommunikointia salliva sääntö.

Seuraavassa ruudussa klikataan Muokkaa, minkä jälkeen päästään määrittelemään minkä IP-osoitteiden välillä liikenne sallitaan. Klikkaamalla Lisää luetteloon säännölle voidaan määritellä joustavasti IP-osoitealueita ja yksittäisi osoitteita.

Lopuksi valitaan mitkä palvelut, eli käytännössä sovellukset, saavat säännön mukaan kommunikoida. Kun ruutuun klikataan rasti, palvelun eteen ilmestyy kuva jossa on tietokone ja maapallo, sekä niiden välissä kysymysmerkki. Klikkailemalla kysymysmerkkiä määritellään koskeeko sääntö lähtevää, saapuvaa vai kumpaankin suuntaan tapahtuvaa liikennettä.

Lopuksi päätetään, pidetäänkö säännön hallitsemista yhteyksistä kirjaa ja annetaanko niistä käyttäjälle varoitus. Seuraavaksi klikataan Valmis, minkä jälkeen sääntö on käytössä.

Omat palvelut

Mikäli Nettiturvan palveluiden listasta ei löydy sitä sovellusta tai järjestelmää, joka nettiyhteyttä vaatii, käyttäjän pitää luoda oma palvelu. Tähän tarvitaan tiedot palvelun käyttämästä protokollasta ja sekä aloittaja- että kommunikointiporteista. Yleispäteviä sääntöjä on vaikea antaa, mutta apua löytyy yleensä ohjelman tai palvelun omista ohjeista.

Palveluita voi lisätä palomuurin asetusten Palvelut-välilehdellä klikkaamalla Lisää-nappia. Sovellukselle saattaa joutua luomaan useita palveluita, esim. erikseen TCP ja UDP -protokollille. Kun palvelu on luotu, se on käytettävissä sääntöjen luomiseen edellisen kappaleen tapaan.

Älä avaa liikaa

Verkosta löytyy jos jonkinlaisia avuliaita neuvoja, joita noudattamalla sovelluksen saa varmasti toimimaan samalla kun tulee avanneeksi koneen myös haittaohjelmille. Aika ajoin nimittäin törmää ehdotuksiin palomuurisäännöistä, jotka käytännössä sallivat kaiken verkkoliikenteen. Palomuurisäännöissä ja palveluissa kannattaa avata ainoastaan ja vain ne portit ja protokollat, joita palvelu vaatii - ei mitään muuta. Palomuurin puhkominen reikäjuustoksi on yhtä järkevää kuin asunnon avaimen säilyttäminen kalliissa Abloy-turvalukossa.

Hyvä tapa saada selville mistä ongelmat johtuvat on käskeä palomuurin pitämään kirjaa tietoliikenteestä. Tämä tapahtuu Internet-suojausten Kirjaus-osiosta. Palomuurin lokitiedostosta näkee millaista tietoliikennettä koneella tapahtui. Tämä helpottaa sen jäljittämistä, mitkä osoitteet ja portit tulee avata. Kannattaa kuitenkin olla tarkkana että tunnistaa nettiliikenteen paljoudesta nimenomaan testattavan sovelluksen.

Nämä ohjeet ovat melko yksinkertaiset, mutta lisäapua löytyy Nettiturvan omista, suomenkielisistä ohjetiedostoista. Niihin pääsee käsiksi klikkaamalla ohjelman ikkunoiden alalaidassa olevaa Ohje-nappia.

Janos Honkonen