Tilaton pakettisuodatus

Tilaton pakettisuodatus on yksi palomuurin suodatustyypeistä.

Tilatonta pakettisuodatusta kutsutaan pakettisuodatinpalomuuriksi, joka on palomuurityypeistä yksinkertaisin. Sillä on pääsylista, ACL (engl. 'Access Control List'), jonka perusteella pakettien suodatus tapahtuu. Oletuksena ACL:ssä on sääntö, jonka mukaan kaikki, mitä ei ole erikseen sallittu, on kielletty.

Missä käytetään?

Pakettisuodatinpalomuuria käytetään toisinaan yrityksen laitepalomuurin edessä suodattamassa kaikki yleiset epätoivotut paketit pois, jolloin laitepalomuurille, joka on yrityksen pääpalomuuri, ei tulisi liikaa tekemistä turhien ei-toivottujen pakettien suodattamisessa. Laitepalomuurille jää suodatettavaksi kaikki, mitä pakettisuodatinpalomuuri ei ole hylännyt.

Microsoft XP -käyttöjärjestelmän mukana tulee sisäänrakennettu palomuuri, joka on tyypiltään pakettisuodatin. Tämä on esitetty XP:ssä nimellä Internet-yhteyden palomuuri (engl. TCP/IP filtering).

Toiminta

Pääsylista, ACL

Pakettisuodatinpalomuurin toiminta perustuu pääsylistaan eli ACL:ään (engl. Access Control List). Kun paketti saapuu, palomuuri vertailee sen otsikkotietoja pääsylistassa oleviin sääntöihin, joiden mukaan paketti joko päästetään läpi tai hylätään.

Paketin otsikkotiedot, joita pääsylistaan vertaillaan, ovat IP, TCP, UDP ja ICMP. Useimmiten suodatuksen kohteena on IP-osoitteet ja porttinumerot.

ACL:n laatiminen

Pääsylista laaditaan oletussäännön perusteella. Oletussääntö, joka on listassa viimeisenä, on yleensä muotoa "Kaikki paketit, joita ei erikseen sallita, kielletään." Kaikki liikenne, joka halutaan erikseen sallia, laaditaan pääsylistaan erillisiin sääntöihin oletussäännön yläpuolelle.

Esimerkki ACL:stä

Oletussääntö on tässä esimerkissä alimmaisena (4.), ja sen yläpuolelle määritellään siitä poikkeavat säännöt. Jokaisen paketin tullessa palomuurin kohdalle, niiden otsikkotiedot käydään pääsylistassa läpi numerojärjestyksessä. Koko listaa ei tarvitse aina käydä läpi; jos esimerkiksi listan 3. sääntö pätee pakettiin, ei neljättä sääntöä tarvitse enää käydä läpi.

Esimerkki pääsylistasta

1. Kaikki ulospäin lähtevät paketit sallitaan
2. Kaikki sisään tulevat paketit, joiden kohdeportti on 80, sallitaan
3. Kaikki echo reply -paketit sallitaan
4. Kaikki muut paketit kielletään

Edut ja ongelmat

Ongelmat

Dataliikenne on melkein aina kaksisuuntaista. Pakettisuodatinpalomuurissa kiellettyjen sääntöjen kohdalla pelkästään yhteyden avaus ulkoapäin on kielletty, jolloin vahingollinen paketti saattaa päästä läpi, kunhan se ei ole merkitty yhteyden avauspaketiksi.

Katso myös

• Palomuuri
• Tietoturva

Lähteet

• PC Security and Hacker Defenses (Arkistoitu – Internet Archive)
• Panko, Raymond R.: Business data networks and telecommunications. Upper Saddle River : Prentice Hall, 2002. ISBN 0-13-048727-9.