Vaasan yliopiston ATK-keskus | Tietoliikenne

Palomuurit ja palvelinlupa

Palomuuri?

Palomuuri on laitteisto, jonka tarkoituksena on suojella verkkoa tai verkon osaa sen ulkopuolelta tulevia hyökkäyksiä ja murtautumisyrityksiä vastaan. Palomuuriin määritellään ne protokollat ja solmut, jotka saavat liikennöidä palomuurin läpi. Lisäksi palomuuri tarkkailee liikennevirtaa ja yrittää havaita osoiteväärennöksiä ja käyttöjärjestelmien virheisiin perustuvia häirintä- ja kaatoyrityksiä.

Palomuuri!

Marraskuun lopulla (29.11.1999) otettiin käyttöön yliopiston uusi palomuurilaitteisto. Alkuvaiheessa toiminassa on ollut pientä takkuilua, joka johtuu konfiguraation virittämisestä ja oikeiden asetusten hakemisessa.

Palomuurin on tarkoitus toimia siten, että yliopiston verkosta ulos lähtevää liikennettä (sisäpuolelta avatut yhteydet) ei rajoiteta ja kaikki lähtevään liikenteeseen liittyvä paluuliikenne on sallittua.

Ulkoa yliopiston verkkoon tuleva liikenne (ulkopuolelta avatut yhteydet) rajoitetaan erikseen nimettyihin palveluihin ja palvelimiin. Atk-keskuksen palvelimet on lueteltu alla olevassa taulukossa.

Palvelu	Portti	Palvelinkoneet
HTTP	TCP/80	lipas.uwasa.fi, tentti.uwasa.fi, garbo.uwasa.fi
HTTPS	TCP/443	webmail.uwasa.fi
GOPHER	TCP/70	gopher.uwasa.fi
NNTP	TCP/119	news.uwasa.fi
FTP	TCP/21	garbo.uwasa.fi
SMTP	TCP/25	mail.uwasa.fi
IMAPS	TCP/993	mail.uwasa.fi
POP3S	TCP/995	mail.uwasa.fi
SSH	TCP/22	Kaikki meri-koneet
FINGER	TCP/79	Kaikki meri-koneet
CU-SeeMe	UDP/7648 TCP/7648 TCP/7640	zippo.uwasa.fi

Näiden varsinaisten palveluiden lisäksi on avoinna joukko muita, lähinnä teknisiä palveluportteja, kuten ICMP ECHO ja ICMP ECHO-REPLY ("ping").

Muut palvelimet

Yllä lueteltujen lisäksi joillakin laitoksilla ja muilla yliopiston yksiköillä on omia palvelimia, joista osa näkyy myös yliopiston ulkopuolelle.

Palvelinlupa

Yliopiston ulkopuolelle näkyvien verkkopalveluiden tarjoamiseen tarvitaan palvelukohtainen palvelinlupa, jonka perusteella palvelu avataan palomuuriin. Palvelinlupa on voimassa yhden lukuvuoden kerrallaan ja on tarpeen mukaan uusittava vuosittain ennen sen umpeutumista (31.7.).

Palvelinluvan voi saada yliopiston tiedekunta, laitos, erillislaitos tai yliopiston yhteydessä toimiva muu organisaatio (jäljempänä yksikkö).

Palvelinlupaa haetaan kirjallisesti, hakulomakkeita saa atk-keskuksesta.

Ylläpito ja vastuu

Palvelusta, sitä tarjoavan laitteiston tietoturvasta ja muusta ylläpidosta vastaa se yksikkö, jolle palvelinlupa on annettu. Yksikön on nimettävä tekninen vastuu- ja yhteyshenkilö ja tarvittaessa tälle varahenkilö. Jos vastuuhenkilö tai varahenkilö eroaa yliopistosta tai vastuuhenkilö muusta syystä vaihtuu luvan voimassaoloaikana, muutoksesta on ilmoitettava viivytyksettä atk-keskuksen kirjallisesti tai sähköpostitse (palvelinrekisteri@uwasa.fi).

Vastuuhenkilön tulee tuntea palvelua tarjoavan laitteiston käyttöjärjestelmä ja ohjelmistot ja niiden konfigurointi riittävän hyvin ja hänen tulee olla tavoitettavissa ongelmatilanteissa.

Palvelinjärjestelmän ylläpitotunnus (root, administrator tms.) ja salasana tulee toimittaa suljetussa kirjekuoressa atk-keskukseen tietohallintopäälikölle. Kuori on varustettava päivämäärällä ja palvelun nimellä. Salasanakuoret talletetaan avaamattomina atk-keskuksen kassakaappiin ongelmatilanteiden varalle. Aina kun salasana vaihtuu, tulee uusi salasana tietenkin myös toimittaa atk-keskukseen.

Tarjottava palvelu

Tarjottavan palvelun tulee täyttää seuraavat ehdot:

1. Palvelun tulee olla ylläpidetty, nimetyn vastuuhenkilön tulee huolehtia sekä palvelun sisällöstä että palvelua tarjoavasta laitteistosta ja ohjelmistosta.

2. Palvelun tulee noudattaa yliopiston tietokoneiden ja tietoliikenteen käyttösääntöjä sekä muita ohjeita. Käyttösääntöjen noudattaminen sisältää esim. sen, että laitteistossa on oltava toimiva pääsynvalvonta ja sen, että käyttäjätunnuksia jaettaessa on noudatettava atk-keskuksen palvelinkoneissa sovellettavia periaatteita. Tunnuksia ei siten esimerkiksi saa jakaa kaupallisessa tarkoituksessa. Salasanat selväkielisenä siirtävät palvelut (kuten telnet, ftp ja pop) ovat kiellettyjä.

3. Ylläpitäjä sitoutuu tarvittaessa päivittämään tai poistamaan palvelun atk-keskuksen pyynnöstä, jos palvelinohjelmistossa tai palvelua tarjoavan laitteiston käyttöjärjestelmässä havaitaan murron tai tietoainestoon käsiksi pääsyn mahdollistava tekninen virhe tai pavelu muutoin vaarantaa yliopiston tietoliikenneverkon käytettävyyttä tai turvallisuutta. Atk-keskuksella on oikeus sulkea palvelu, jos on syytä epäillä, että palvelua tarjoavaan laitteistoon on murtauduttu tai sitä käytetään muulla tavoin väärin

4. Palvelun sisältö ei saa olla ristiriidassa yliopiston päättämän tiedotuslinjan tai Suomen lakien kanssa.

Hannu Hirvonen, hh@uwasa.fi, 16.12.1999