Security Customer Support Site

TIETOTURVAN MUUTOSTYÖKALUN OHJE

Muutospyyntötyökalu on tarkoitettu pääasialliseksi työkaluksi tietoturvaliittymään liittyvien normaalien muutostilausten hoitamiseen.

Määrittele tilaukselle toimitusaika, jonka puitteissa tilaus toteutetaan. Tilaukset toteutetaan valitun toimitusajan mukaan. ”Seuraava työpäivä” tilaus toteutetaan seuraavaan arkipäivään klo 16:00 mennessä.  ”Ajastettu muutos” voidaan toteuttaa haluttuna ajankohtana, haluttu ajankohta täytyy olla vähintään kahden arkipäivän päästä. ”Pika” tilaus toteutetaan kahden tunnin sisällä tilauksesta. ”8h(24/7)” tilaus toteutetaan kahdeksan tunnin sisällä tilauksesta.   * merkityt kentät ovat pakollisia kenttiä.

Kuva. Toimitusajan määrittäminen.

Nimi, sähköposti ja puhelin kenttiin määritellään tilaajan tiedot, jotka tulevat automaattisesti käyttäjän tiedoista. Näitä tietoja voidaan muuttaa, jos tiedot muutoksesta halutaan toimittaa eri henkilölle kuin tilaajalle.

Kuva. Tilaajatietojen määrittäminen.

Liittymä valikossa valitaan liittymä, johon muutos toteutetaan. Muutoksen kohde valikossa valitaan palvelu johon muutos tehdään. Muutoksen kohde valikossa näkyy vain palvelut, jotka kyseiselle tietoturvaliittymälle on määritelty. Kaikki liittymällä olevat muutoksen kohteet ei näy kaikilla toimitusaika valinnoilla esim. LAN-to-LAN VPN-tilausta ei voi tehdä pikatilauksena.

Muutoskohteiden erilliset ohjeet löytyvät täältä. Muutostyppi valikossa määritellään onko kysymyksessä uusi, muutos olemassa olevaan vai poistotilaus. Palomuuri säännöt näkee palomuurin web-käyttöliittymästä, jonka käyttöohjeet löytyy täältä.

Kuva. Liittymän, muutoksen kohteen ja muutostyypin määrittäminen.

Muutoksen tiedot -kenttään määritellään mitä muutoksella tilataan. Muutoksen tiedot kentässä on valmiina valitun muutoksen kohde -tyypin tarvittavat tiedot. Täyttämällä nämä tiedot tilaus voidaan toteuttaa halutussa ajassa. Muutospyyntö voidaan lähettää myös puutteellisin tiedoin, jolloin asiantuntija ottaa yhteyttä ja selvittää puuttuvat tiedot. Tiedoiltaan puutteellisille tilaukselle ei voida taata toteutusaikaa.

Kuva. Muutoksen määrittäminen.

Muutoksen määrityksen jälkeen tilaukselle voidaan lisätä muutoksia ”Lisää muutos ” valinnalla. Lähetä tilaus –painikkeella tilaus lähtee toteutettavaksi.  ”Lisää…” alasvetovalikosta löytyy valinnat ”Tallenna tilaus” tai ”Poista tilaus”. Tilauksen tallentaminen mahdollistaa tilauksen jatkamisen myöhemmin. Poista tilaus poistaa tilauksen eikä sitä voi myöhemmin jatkaa. Tilaukselle voidaan lisätä liitteitä ”Lisää liite” valinnalla.

Kuva. Muutoksien lisäys, tilauksen lähetys, liitteiden lisäys ja lisää toimintojen määrittäminen.

Muutoksen toteutuksen jälkeen tilauksessa määritellylle käyttäjälle tulee kuittaus sähköpostiin toteutetusta tilauksesta. Sonera voi palauttaa tilauksen takaisin, jos siihen tarvitaan lisätietoja ja tilaajaan ei ole saatu yhteyttä puhelimitse. Palautetusta tilauksesta tulee myös ilmoitus tilaajan sähköpostiin.

Eri muutoksen kohteet löytyvät taulukosta ja valitsemalla kohteen pääsee näkemään tarkemmin palvelun yleiskuvauksen, määriteltävät asiat ja tilaus ohjeet.

Muutoksen kohteet

1 Palomuuri sääntömuutos. 4

2 Objektimuutos. 8

3 Osoitteenmuutos (NAT) 10

4 LAN-to-LAN VPN.. 12

5 Reititys. 14

6 Web sisällönsuodatus. 15

7 Virustorjunta, kehittyneiden uhkien torjunta ja Anti-Spyware. 20

8 Tunkeutumisen esto. 25

9 Käyttäjätunnistus. 26

10 Käyttöoikeuksien tilaus. 27

11 Asiantuntijatyö. 27

12 Varallaolo/Päivystys. 27

13 Raportointi ja lokit 28

14 Muu konfiguraatiomuutos. 28

 

1 Palomuuri sääntömuutos

Palomuurisäännöt suodattavat liikennettä kahden tietoliikenneverkon välillä, esimerkiksi yrityksen lähiverkon tai liittymän ja Internetin välillä palomuurissa määritellyn säännöstön mukaisesti.

Palomuuri sääntömuutoksella voi tilata uusia, muutoksia ja poistoja palomuurisääntöihin.

1.1 Säännön tilaus

Alla kuva palomuurisäännöstö ja kuvaukset mitä määrityksiä tilataan palomuurisääntö tilauksella.

Kuva. Palomuuri sääntö.

Sääntönumeron määritys

Sääntönumerolla määritellään missä vaiheessa säännöstöä sääntö luetaan. Palomuuri lukee yhteyden tietoja vasten säännöstöä ylhäältä alaspäin ja lukeminen lopetetaan ensimmäisen osuvan säännön kohdalla. Näin ollen sääntönumeroinnilla on merkitystä.

Säännön nimen määritys (Name)

Määritä säännölle nimi. Nimi pysyy säännöstössä koko ajan samana. Säännön nimi ei vaikuta säännön toimintaan, mutta käyttämällä yksilöllisiä nimiä voi siihen viitata sääntömuutoksia tehdessä. Säännön nimi ei muutu toisin kuin sääntönumerot sääntöjä lisätessä.

Säännön tyypin määritys (Type)

Määritä säännön tyyppi. Säännön tyypillä määritetään miten liikenne toimii eri zonejen välillä. Vaihtoehdot ovat:

         Intrazone: liikenne saman zonen sisällä

         Interzone: liikenne määriteltyjen zonejen välillä

         Universal: liikenne kaikkien säännössä määriteltyjen zonejen välillä

Lähde zonen määritys (Zone)

Määritä säännön lähde zone eli mistä zonesta liikenne tulee palomuurille.

Lähdeosoitteen määritys (Address)

Määritä käytetty lähdeosoite tai osoitteet, joka voi olla IP-osoite, IP-verkko-osoite tai objekti ryhmä joka voi sisältää IP-osoitteita, IP-verkkoja tai ryhmiä. Lähdeosoite kentässä on mahdollista tehdä myös maantieteellistä suojausta.

Lähdekäyttäjä (User)

Jos asiakkaalla on käyttäjätunnistus lisäpalvelu, voidaan käyttää myös käyttäjähakemistosta saatavia käyttäjiä, käyttäjäryhmiä, laitteita tai laiteryhmiä.

Kohde zone (Zone)

Määritä säännön kohde zone eli mihin zoneen liikenne suuntautuu.

Kohdeosoitteen määritys (Address)

Määritä käytetty kohdeosoite tai osoitteet, joka voi olla IP-osoite, IP-verkko-osoite tai objekti ryhmä joka voi sisältää IP-osoitteita, IP-verkkoja tai ryhmiä. Kohdeosoite kentässä on mahdollista tehdä myös maantieteellistä suojausta.

Sovelluksen määritys (Applications)

Määritä säännössä sallittavat sovellukset. Tarkempi listaus löytyy osoitteesta https://applipedia.paloaltonetworks.com/ tai palomuurin hallinnasta. Sovellus käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä.

Palvelun ja URL kategorian määritys (Service)

Palvelussa määritellään käytetty TCP/UDP-portti/portit, palvelu/palvelut tai ryhmä/ryhmät. URL kategoriassa määritellään säännössä käytettävät web kategoriat, jotka löytyvät osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä taulukosta web-sisällönsuodatus ohjeista.

Toimenpiteen määritys (Action)

Toimenpide määritellään seuraavilla vaihtoehdoilla:

  • Allow eli hyväksy liikenne.
  • Deny eli hylkää. Tämä eroaa Drop toiminnosta sillä, että palomuuri lähettää yhteydenottajalle tiedon yhteyden lopettamisesta. Deny käyttämistä ei suositella kuin erikoistapauksissa.
  • Drop eli estä liikenne.

Profiilin määritys (Profile)

Määritä profiilit jos säännössä otetaan käyttöön virustojunta, kehittyneiden uhkien torjunta, tunkeutumisen esto tai web-sisällönsuodatus toiminnallisuuksia. Toiminnallisuudet on käyty tarkemmin läpi omissa osioissaan.

Säännön seuranta (Options)

Määritä kerätäänkö sääntöön osuvista yhteyksistä lokitietoja.

Säännön tilaus ja lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki sääntötilauksesta

Sääntö numero: 1

Säännön nimi: Internet liikenne

Sääntö tyyppi: Interzone

Lähde zone: Intra

Lähdeosoite: Intra_1.1.1.0m0

Lähde käyttäjä: -

Kohde zone: Untrust

Kohdeosoite: Any

Sovellus: Any

Palvelu: http, https

Toiminta: Allow

Profiili: Antivirus, Anti-Spyware, Tunkeutumisenesto, Web sisällänsuodatus

Seuranta: Ei

 

1.2 Säännön muutostilaus

Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee. Sääntömuutoksessa on hyvä antaa säännön nimi tai vähintään numero mitä sääntöä muutos koskee.

Esimerkki muutostilauksesta

Säännön numero:1

Säännön nimi: Internet liikenne

Muutettava asia: Lisätkää lähdeosoitteisiin verkko Intra_1.1.2.0m0

 

1.3 Säännön poistotilaus

Määritä mille säännölle poistotilaus tehdään. Säännön poistossa on hyvä antaa poistettavan säännön nimi tai vähintäänkin säännön numero.

Esimerkki poistotilauksesta

Poistettava sääntö: Numero 1

Poistettavan säännön nimi: Internet liikenne

Palaa muutoskohteet valintaan.

 

1.4 Sovellushallinta käyttäjäviestin tilaus

Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa sovelluskäytön rajoituksista, Internetin riskeistä sekä organisaation tietoturvapolitiikasta. Alla kuva sisällönsuodatus Block käyttäjäviestistä ja kuvaukset mitä määrityksiä tarvitaan sovellushallinta Block käyttäjäviesti tilaukseen.

Kuva. Sovellushallinta block viesti.

Viestin nimi

Määritä viestille annettava nimi.

Viestin sisältö

Määritä viestin sisältö. Viestin sisällössä voidaan kertoa käyttäjän nimi/IP-osoite sekä sovellus jota käytetään.  

Säännön tallennus ja tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki sääntö tilauksesta

Viestin nimi: Sovellushallinta block viesti

Viestin sisältö: Access to the application you were trying to use has been blocked in accordance with company policy.  Please contact your system administrator if you believe this is in error.

 

1.5 Sovellushallinta käyttäjäviestin muutostilaus

Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Viestin nimi: Sovellushallinta block viesti

Viestin sisältö: Access to the application you were trying to use has been blocked in accordance with company policy.  Please contact your system administrator if you believe this is in error.

Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa

 

1.6 Sovellushallinta käyttäjäviestin poistotilaus

Määritä mille käyttäjäviestille poisto tehdään

Esimerkki poistotilauksesta

Poistettavan viestin nimi: Sovellushallinta block viesti

Palaa muutoskohteet valintaan.

 

2 Objektimuutos

Objekteja käytetään tietoturvalaitteen säännöstöjen määrityksissä. Objekti voi olla osoite, verkko, käyttäjä, ryhmä, käyttäjäryhmä, palvelu tai palveluryhmä.

Objektimuutoksella voi tilata uusia, muutoksia ja poistoja objekteihin.

Jokaiselle uudelle objektille täytyy antaa nimi. Nimi kannattaa rakentaa niin, että siitä näkee helposti tyypin, asiayhteyden ja sisällön. Nimen lisäksi jokaiselle uudelle objektille voidaan antaa lisätietoa kuvaus kentässä.

Muokattavat objektit kuvattu alla:

Host

Host-objekti sisältää yksittäisen IP-osoitteen. Osoite (IP-osoite, esim 192.168.1.1) tai 2001:db8:85a3::8a2e:370:7334 IPv6:lle.

Kuva. Host objekti.

 

Verkko

Verkko-objekti sisältää kokonaisen verkon maskeineen. Osoite (IP-osoite, esim 192.168.1.0 tai 2001:db8:85a3::8a2e:370:7334 IPv6:lle) Maski (Verkkomaski, esim 255.255.255.0 tai 120 IPv6:lle).

Kuva. Verkko objekti.

 

IP-Range

IP-Range-objekti sisältää IP-osoitevälin esim.192.168.1.1 - 192.168.1.10 tai 2001:db8:85a3::8a2e:370:7334 - 2001:db8:85a3::8a2e:370:7340 IPv6:lle.

Kuva. IP-range objekti.

 

Palvelu

Palvelu-objekti sisältää protokollan ja portin. Protokolla esim. TCP/IP, UDP, http. Portti esim. tcp888.

Kuva. Palvelu objekti.

 

Objekti- ja palveluryhmä

Objekti- ja palveluryhmä sisältää joukon muita objekteja. Objektiryhmä voi siis sisältää hosteja, verkkoja, IP-rangeja ja objektiryhmiä. Objektiryhmä voi sisältää vain saman IP-version objekteja.

Esim. IP-osoitteita sisältävä ryhmä: intra_verkot, sisältää objektit yritys_10.10.10.10 ja yritys_10.10.20.0m0.

Kuva. Ryhmä objekti.

 

Palveluryhmä voi sisältää palveluja ja palveluryhmiä.  Esim. Palveluryhmiä sisältävä ryhmä: Intra_Palvelimen_portit, sisältää portit tcp 400-402 ja tcp 8001.

Kuva. Palveluryhmä objekti.

 

2.1 Objektin tilaus

Objekti tyypin määritys

Määritä onko kysymyksessä host, käyttäjä, verkko, palvelu tai ryhmä objekti.

Objektin nimen määritys

Määritä objektin nimi.

Objektin sisällön määritys

Määritä mitä objekti pitää sisällään (IP-osoitteet, verkot jne..).

Objektin kommentin määritys

Määritä objektille kommentti tarvittaessa.

Objektin tilaus ja lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki uuden objektin tilauksesta

Objekti tyypin määritys: Host objekti

Objektin nimen määritys:Intra_1.1.1.1

Objektin sisällön määritys:1.1.1.1

Objektin kommentin määritys: Intra palvelin

 

2.2 Objektin muutostilaus

Määritä mille objektille muutos tehdään (nimi) ja mikä on muutos.

Esimerkki objektin muutostilauksesta

Muutettavan objektin nimi: Intra_1.1.1.1

Objektille muutettava nimi: Intra_1.1.1.3

Objektille muutettava sisältö:1.1.1.3

Objektille muutettava kommentti: pidetään samana

 

2.3 Objektin poistotilaus

Määritä mikä objekti poistetaan (nimi). Huom. kyseinen objekti tulee tämän jälkeen poistumaan tietoturvalaitteesta.

Esimerkki objektin poistotilauksesta

Poistettavan objektin nimi: Intra_1.1.1.1.

Palaa muutoskohteet valintaan.

 

3 Osoitteenmuutos (NAT)

NAT säännöt määrittelevät mitä osoitteita tai palveluita muunnetaan miksikin osoitteiksi tai palveluiksi. Yleensä NAT toiminnolla tehdään dynaaminen ns. hide NAT palvelu sisäverkon privaateille osoitteille Internetiin liikennöitäessä.

Määrityksissä pitää määritellä alkuperäinen lähde- ja kohdeosoite sekä palvelu. Jos liikenne osuu näihin ehtoihin, tehdään seuraavissa kentissä määritellyt muunnokset eli muutetaan käytetty lähde- tai kohdeosoite.

Osoitteenmuutos tilauksella voi tilata uusia, muutoksia ja poistoja osoitteenmuutoksiin.

Huom! Palomuuri ja muiden tietoturvapalveluiden säännöt käsittelevät alkuperäisiä IP-osoitteita, ei muunneltuja.

 

3.1 Osoitteenmuutos säännön tilaus

Alla kuva osoitteenmuutos säännöstä ja kuvaukset mitä määrityksiä tilataan osoitteenmuutos tilauksella.

Kuva. Osoitteenmuutos sääntö.

Sääntönumeron määritys (No)

Sääntönumerolla määritellään missä vaiheessa säännöstöä sääntö luetaan. Tietoturvalaite lukee yhteyden tietoja vasten säännöstöä ylhäältä alaspäin ja lukeminen lopetetaan ensimmäisen osuvan säännön kohdalla. Näin ollen sääntönumeroinnilla on merkitystä.

Säännön nimen määritys (Name)

Säännön nimi. Nimi pysyy säännöstössä koko ajan samana.

Alkuperäisen lähde zonen määritys (Source Zone)

Määritä käytetty alkuperäinen lähde zone.

Alkuperäisen kohde zonen määritys (Destination Zone)

Määritä käytetty alkuperäinen kohde zone.

Alkuperäisen liitännän määritys (Destination Interface)

Määritä käytetty alkuperäinen liitäntä.

Alkuperäisen lähdeosoitteen määritys (Source Address)

Määritä käytetty alkuperäinen lähdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko, objekti ryhmä joka sisältää useita IP-osoitteita, IP-verkkoja, tai ryhmiä.

Alkuperäisen kohdeosoitteen määritys (Destination Address)

Määritä käytetty alkuperäinen kohdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko tai objekti ryhmä joka sisältää useita IP-osoitteita, verkkoja tai ryhmiä.

Alkuperäisen palvelun määritys (Service)

Palvelussa määritellään käytetty TCP/UDP-portti, palvelu tai ryhmä.

Muunnetun lähdeosoitteen määritys (Source Translation)

Määritä muunnettu lähdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko, objekti ryhmä joka sisältää useita IP-osoitteita, IP-verkkoja, tai ryhmiä.

Muunnetun kohdeosoitteen määritys (Destination Translation)

Muunnettu kohdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko tai objekti ryhmä joka sisältää useita IP-osoitteita, verkkoja tai ryhmiä.

Säännön tallennus ja tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki sääntö tilauksesta, yhden osoitteen muutos

Sääntö numero:1

Säännön nimi: DMZ-palvelimen osoitemuutos

Alkuperäinen lähde zone: Trust

Alkuperäinen kohde zone: Internet

Alkuperäinen liitäntä: Any

Alkuperäinen lähdeosoite: Yritys_10.10.10.10

Alkuperäinen kohdeosoite: Any

Alkuperäinen palvelu: Any

Muunnettu lähdeosoite: Yritys_172.2.1.1

Muunnettu kohdeosoite: Any

 

Esimerkki sääntö tilauksesta, usean osoitteen muutos yhdeksi osoitteeksi (Hide-nat)

Sääntö numero:1

Säännön nimi: Internet liikenne

Alkuperäinen lähde zone: Trust

Alkuperäinen kohde zone: Internet

Alkuperäinen liitäntä: Any

Alkuperäinen lähdeosoite: Yritys_10.10.10.0m0

Alkuperäinen kohdeosoite: Any

Alkuperäinen palvelu: Any

Muunnettu lähdeosoite: Yritys_172.2.1.1

Muunnettu kohdeosoite: Any

 

3.2 Osoitteenmuutos säännön muutostilaus

Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Säännön numero:1

Säännön nimi: Internet liikenne

Muutettava asia: Korvatkaa alkuperäinen lähdeosoite verkolla Yritys_10.10.11.0m0

 

3.3 Osoitteenmuutos säännön poistotilaus

Määritä mille osoitteenmuutos säännölle poistotilaus tehdään.

Esimerkki poistotilauksesta

Poistettava sääntö: Numero 1

Säännön nimi: DMZ-palvelimen osoitemuutos

Alkuperäinen lähde zone: Trust

Alkuperäinen kohde zone: Untrust

Alkuperäinen liitäntä: Any

Alkuperäinen lähdeosoite: Yritys_10.10.10.10

Alkuperäinen kohdeosoite: Any

Alkuperäinen palvelu: Any

Muunnettu lähdeosoite: Yritys_172.2.1.1

Muunnettu kohdeosoite: Any

Palaa muutoskohteet valintaan.

 

4 LAN-to-LAN VPN

LAN-to-LAN VPN toiminnallisuudella voidaan tehdä asiakkaan toimipisteiden tai asiakkaan kumppanien välille vahvasti salattuja IPSec VPN-yhteyksiä.

LAN-to-LAN VPN-muutoksella voi tilata uusia VPN-yhteyksiä tai muutoksia ja poistoja olemassa oleviin VPN-yhteyksiin. Jos palomuuri tukee IPv6-osoitteita, voit määritellä myös uuden IPv6 VPN:n. VPN:ssä ei voi sekoittaa eri IP-versioita, vaan kaikkien osoitteiden ja objektien täytyy olla samaa IP-versiota.  LAN-to-LAN VPN-muutoksessa pitää olla seuraavat tiedot että VPN-yhteys voidaan toteuttaa:

  • VPN yleiset tiedot, kuten toivottu toimitusajankohta sekä vastapuolen yhteystiedot. LAN-to-LAN VPN-muutospyynnössä määritellyt tiedot lähetetään vastapuolen yhteyshenkilön sähköpostiosoitteeseen. 
  • VPN parametrit.
  • Sisäiset ja ulkoiset IP-osoitteet eli verkot, jotka liikennöivät VPN-yhteydellä ja joiden liikenne salataan.
  • Tilauksen lisätiedot, kuten mitä palveluja/portteja yhteydelle avataan.

 

4.1 LAN-to-LAN VPN -yhteyden tilaus

Yleisten tietojen määritys

Määrittele yleisissä tiedoissa VPN-yhteyden vastapuolen tiedot. Näitä tietoja tarvitaan kun VPN-yhteyttä määritellään. Tarvittavat tiedot ovat:

  • Yrityksen nimi (jos ulkopuolinen yritys)
  • Tekninen yhteyshenkilö, joka tekee konfiguroinnin vastapuolella
  • Teknisen yhteyshenkilön sähköpostiosoite
  • Teknisen yhteyshenkilön matkapuhelinnumero (pre shared secret salasana lähetetään ko. numeroon)

VPN parametrien määritys

VPN-yhteyden nimi

VPN-yhteyden lähtöpiste

  • VPN-yhteyden päätepiste
  • Mode. Vaihtoehtoina Main ja Aggressive. Main tarkoittaa IPSEC standardin normaalia neuvottelua yhteyden muodostuksessa, kun taas aggressive ohittaa joitakin vaiheita nopeuttaakseen neuvottelua.
  • Phase1 Diffie-Hellman group. Tällä protokollalla turvataan PKI avaimenvaihto.
  • Phase1 Encryption Algorithm. Vaiheen 1 salausalgoritmi, jolla salataan vaiheen 2 neuvottelu.
  • Phase1 Hash Algorithm. Vaiheen 1 eheysalgoritmilla (tarkistussumman avulla) varmistetaan vaiheen 2 neuvottelun tiedon eheys.
  • Phase1 Lifetime seconds. Vaiheen yksi kesto sekunteina. Vaihe 1 neuvotellaan uudestaan (automaattisesti), kun aika loppuu.
  • Phase2 Perfect Forward Secrecy. Tämä parantaa yhteyden tietoturvaa siinä tapauksessa, jos VPN yhteyden PKI avain saataisiin selville yhteyttä kuuntelemalla.
  • Phase2 Lifetime seconds. Vaiheen kaksi kesto sekunteina. Vaihe 2 neuvotellaan uudestaan (automaattisesti), kun aika loppuu.
  • Phase2 ESP/AH. ESP (Encapsulated Security Payload) salaa paketin. AH (Authentication Header) ainoastaan varmistaa paketin eheyden.
  • Phase2 Encryption Algorithm. Vaiheen 2 salausalgoritmi, jolla salataan liikenne.
  • Phase2 Authentication Algorithm. Vaiheen 2 eheysalgoritmilla (tarkistussumman avulla) varmistetaan vaiheen 2 liikenteen eheys.

Huom! VPN parametrit pitää olla täysin yhtenevät VPN-laitteiden välillä eivätkä kaikki laitteet välttämättä tue kaikkia vaihtoehtoja. Muutostyökalu ehdottaa yleisesti yhteensopivia parametreja joita suositellaan käytettävän.

Sisäisten osoitteiden määritys

Määritä sisäverkon IP-osoitteet verkkomaskeineen, jotka liikennöivät tilattavalla VPN-yhteydellä. Verkkoja voidaan määritellä useita. Host (yksittäinen IP) määrityksiä ei suositella. Palomuuri säännöstöllä voidaan eritellä tarkemmin mitkä IP-osoitteet tai protokollat ja portit saavat liikennöidä VPN-yhteyden sisällä.

Ulkoisten osoitteiden määritys

Määritä verkot, jotka liikennöivät vastapään VPN-laitteesta tilattavalla VPN-yhteydellä.

Tilauksen lisätietojen määritys

Määrittele tilaukseen liittyviä lisätietoja. Suositeltavaa on, että tähän kirjataan myös VPN-yhteyteen liittyvät avaukset eli mitä protokollia sallitaan yhteyteen. Tarvittaessa säännöt voi tilata erikseenkin palomuuri sääntömuutos tilauksella.

Tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki VPN-muutostilauksesta

VPN yhteyden vastapuolen yhteystiedot

Yrityksen nimi: Yritys oy

Teknisen yhteyshenkilönimi: Teppo Testaaja

Teknisen yhteyshenkilön sähköpostiosoite: Teppo.testaaja@yritys.fi

Teknisen yhteyshenkilön matkapuhelinnumero: 0401234567

 

VPN-yhteyden parametrien määritys

VPN-yhteyden nimi: VPN-to-Partner

VPN-yhteyden lähtöpiste: 192.168.1.1

VPN-yhteyden päätepiste: 192.168.2.1

Mode (oletus main): main   

Phase1 Diffie-Hellman group (oletus group2): group2

Phase1 Encryption Algorithm (oletus aes256): aes256  

Phase1 Hash Algorithm (oletus sha-1): sha1

Phase1 Lifetime seconds (oletus 28000): 28000

Phase2 Perfect Forward Secrecy (oletus no-pfs): no-pfs

Phase2 Lifetime seconds (oletus 3600): 3600

Phase2 ESP/AH (oletus esp): esp

Phase2 Encryption Algorithm (oletus aes256): aes256

Phase2 Authentication Algorithm (oletus sha-1): sha1

 

VPN-yhteydellä sallitut verkot

Sisäiset osoitteet: 10.10.10.0m0

Ulkoiset osoitteet: 20.20.20.0m0

Tilauksen lisätiedot: VPN-yhteydelle säännöt muuriin jossa kaikki liikenne sallitaan.

 

4.2 LAN-to-LAN VPN-yhteyden muutostilaus

Määrittele mihin VPN-yhteyteen muutos tehdään ja tarvittava muutos

Esimerkki muutostilauksesta

VPN-yhteyden nimi: VPN-to-Partner

Muutettava asia: Lisätään sisäiseksi osoitteeksi verkko 10.10.20.0m0

 

4.3 LAN-to-LAN VPN-yhteyden poistotilaus

Määrittele mille VPN-yhteydelle poisto tehdään.

Esimerkki poistotilauksesta

Poistakaa seuraava VPN-yhteys.

VPN-yhteyden nimi: VPN-to-Partner

Palaa muutoskohteet valintaan.

 

5 Reititys

Tietoturvalaitteen reititys sisäverkon verkkoliitynnöissä toimii dynaamisella reitityksellä (BGP) tai staattisella reitityksellä. Dynaamisessa reitityksessä reittitieto tulee näin ollen tietoturvalaitteelle ja tietoturvalaitteessa ei tarvitse tehdä konfiguraatiomuutoksia, jos dynaaminen reititys on aiemmin määritelty. Staattisessa reitityksessä tietoturvalaitteelle pitää määritellä verkko ja sekä liitäntä josta verkkoa mainostetaan.

Reititys muutoksella voi tilata uusia, muutoksia ja poistoja tietoturvalaitteelle lisättävistä sisäverkon verkoista.

 

5.1 Reititys tilaus

IP-version määritys

Määrittele käytettävä IP versio.

IP-osoitteen ja maskin määritys

Määritä sisäverkon IP-verkko-osoite ja maski.

Zonen määritys

Määritä Zone johon verkko lisätään.

Reititettävän verkkoliitynnän määritys

Määritä sisäverkon verkkoliityntä josta verkkoa mainostetaan.

Tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki reititys tilauksesta

Reititettävä verkko-osoite ja maski: 10.10.10.0m0

Zone: Intra

Reitin verkkoliityntä: eth1

 

5.2 Reititys muutostilaus

Märittele mihin reittiin muutos tehdään ja tarvittava muutos.

Esimerkki muutostilauksesta

Reititettävä verkko-osoite ja maski: 10.10.10.0m0

Zone: Intra

Reitin verkkoliityntä: eth1

Muutettava asia: Muuttakaa reitin verkkoliityntä eth2

 

5.3 Reititys poistotilaus

Määrittele mille reitille poisto tehdään.

Esimerkki poistotilauksesta

Poistakaa seuraava reititys:

Reititettävä verkko-osoite ja maski: 10.10.10.0m0

Zone: Intra

Reitin verkkoliityntä: eth1

Palaa muutoskohteet valintaan.

 

6 Web sisällönsuodatus

Web sisällönsuodatus tilauksella voi tilata uusia sääntöjä, muutoksia ja poistoja web sisällönsuodatuspalveluun.

Web sisällönsuodatuksessa verrataan internetistä haetun sivun URL (Uniform Resource Locator) -osoitetta tietokantaan, missä web-sivut ovat kategorisoitu ennalta tiettyihin sivukategorialuokkiin. Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa web-liikenteen rajoituksista, internetin riskeistä sekä organisaation tietoturvapolitiikasta.

Muutoksia voidaan tehdä tarkistettaviin verkkoihin tai käyttäjiin, kohdeosoitteisiin, kategoriaan, toiminnallisuuteen ja seurantaan.

 

6.1 Web sisällönsuodatus säännön tilaus

Alla kuva web sisällönsuodatus säännöstä ja kuvaukset mitä määrityksiä tilataan web sisällönsuodatus tilauksella.

 

Kuva. Web sisällönsuodatus sääntö.

Profiilin nimen määritys (Name)

Määritä profiilille nimi. Profiilin nimeä käytetään säännöstö politiikan profiili määrityksessä.

Estettävien osoitteiden määritys (Block List)

Määritä mitkä osoitteet estetään.

Esto osoitteiden toiminnan määritys (Action for Block List)

Määritä toiminta estettävien osoitteiden liikenteelle. Vaihtoehdot ovat:

  • Allow (sallii liikenteen)
  • Block (estää liikenteen)
  • Alert (tekee loki merkinnän liikenteestä)
  • Continue (kysyy käyttäjältä hyväksyntää)
  • Override (kysyy käyttäjältä salasanaa)

Käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä.

Sallittujen osoitteiden määritys (Allow List)

Määritä mitkä osoitteet sallitaan.

Sallittujen kategorioiden määritys (Allow Categories)

Määritä mitkä kategoriat sallitaan. Kaikki kategoriat nähtävissä osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.

Kategorioiden joista tulee hälytys log tietoihin määritys (Alert Categories)

Määritä kategoriat mistä tulee merkintä lokitietoihin. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.

Estettyjen kategorioiden määritys (Block Categories)

Määritä mitkä kategoriat kielletään. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.

Käyttäjältä kysyttävän tarkistus kategorian määritys (Continue Categories)

Määritä kategoriat, missä käyttäjältä kysytään hyväksyntä säännöissä liikennöitäviin kategorioihin (Response Page). Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.

Käyttäjältä kysyttävän salasanalla suojatun kategorian määritys (Override Categories)

Määritä kategoriat, missä käyttäjältä kysytään salasana säännöissä liikennöitäviin kategorioihin. Salasana on kaikille käyttäjille sama. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.

Alla taulukossa Web-sisällönsuodatus kategoriat.

BrightCloud kategoriat

Abortion

Government

Motor Vehicles

Search Engines

Abused Drugs

Gross

Music

Sex Education

Adult and Pornography

Hacking

News and Media

Shareware and Freeware

Alcohol and Tobacco

Hate and Racism

Nudity

Shopping

Auctions

Health and Medicine

Online Greeting cards

Social Network

Bot Nets

Home and Garden

Parked Domains

Society

Business and Economy

Hunting and Fishing

Pay to Surf

Sports

CDNs

Illegal

Peer to Peer

Spyware and Adware

Cheating

Image and Video Search

Personal Storage

Stock Advice and Tools

Computer and Internet Info

Internet Communications

Personal sites and Blogs

Streaming Media

Computer and Internet Security

Internet Portals

Philosophy and Political Advocacy

Swimsuits and Intimate Apparel

Cult and Occult

Job Search

Phishing and Other Frauds

Training and Tools

Dating

Keyloggers and Monitoring

Proxy Avoid and Anonymizers

Translation

Educational Institutions

Kids

Questionable

Travel

Entertainment and Arts

Legal

Real Estate

Violence

Fashion and Beauty

Local Information

Recreation and Hobbies

Weapons

Financial Services

Malware Sites

Reference and Research

Web Advertisements

Gambling

Marijuana

Religion

Web Hosting Sites

Games

Military

SPAM URLs

Web based email

Kuva. Web sisällönsuodatus kategoriat.

 

Tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki sääntö tilauksesta

Profiilin nimi: Web sisällönsuodatus

Estettävät osoitteet: -

Toiminta estettäville osoitteille: -

Sallitut osoitteet: www.sonera.fi

Sallitut kategoriat: Business and Economy

Lokitettavat kategoriat: Hunting and Fishing

Kielletyt kategoriat: Abused Drugs

Käyttäjän hyväksymät kategoriat: Gambling

Salasanalla suojatut kategoriat: Real Estate

 

6.2 Web sisällönsuodatus säännön muutostilaus

Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Profiilin nimi: Web sisällönsuodatus

Estettävät osoitteet:

Toiminta estettäville osoitteille: -

Sallitut osoitteet: www.sonera.fi

Sallitut kategoriat: Business and Economy

Lokitettavat kategoriat: Hunting and Fishing

Kielletyt kategoriat: Abused Drugs

Käyttäjän hyväksymät kategoriat: Gambling

Salasanalla suojatut kategoriat: Real Estate

Muutettava asia: Poistakaa Gambling käyttäjän hyväksymistä kategorioista

 

6.3 Web sisällönsuodatus säännön poistotilaus

Määritä mille säännölle poistotilaus tehdään.

Esimerkki poistotilauksesta:

Poistakaa seuraava profiili

Profiilin nimi: Web sisällönsuodatus

Palaa muutoskohteet valintaan.

 

6.4 Web sisällönsuodatus käyttäjäviestin tilaus

Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa web liikenteen rajoituksista, internetin riskeistä sekä organisaation tietoturvapolitiikasta.

Alla kuvat web sisällönsuodatus Block ja Continue käyttäjäviestistä ja kuvaukset mitä määrityksiä tarvitaan web sisällönsuodatus käyttäjäviesti tilaukseen.

Kuva. Web-sisällönsuodatus Block viesti

 

Kuva. Web-sisällönsuodatus Continue viesti

 

Viestin tyyppi (Block/continue/override)

Viesti voi olla block, continue tai override viesti. Block viesti ilmoittaa jos liikenne ei ole sallittua. Continue viestissä käyttäjän pitää antaa "Response page" sivulla hyväksyntä (Continue). Override viestissä käyttäjän pitää antaa salasana " Response page" haasteeseen. Vain yksi salasana on mahdollinen ja kaikilla käyttäjillä on käytössä sama.

Viestin nimi

Määritä viestille annettava nimi.

Viestin sisältö

Määritä viestin sisältö. Viestin sisällössä voidaan kertoa käyttäjän nimi/IP-osoite, URL-osoite johon yhteyttä yritetään sekä URL-osoitteen kategoria.  

Säännön tallennus ja tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki sääntö tilauksesta

Viestin tyyppi: Block

Viestin nimi: Web sisällönsuodatus Block viesti

Viestin sisältö: Access to “web-site” is blocked according to the organization security policy.  For more information, please contact your helpdesk.

 

6.5 Web sisällönsuodatus käyttäjäviestin muutostilaus

Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Viestin tyyppi: Block

Viestin nimi: Web sisällönsuodatus Block viesti

Viestin sisältö: Access to “web-site” is blocked according to the organization security policy.  For more information, please contact your helpdesk

Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa

 

6.6 Web sisällönsuodatus käyttäjäviestin poistotilaus

Määritä mille profiilille poistotilaus tehdään.

Esimerkki poistotilauksesta

Poistettavan viestin nimi: Web sisällönsuodatus Block viesti

Palaa muutoskohteet valintaan.

 

7 Virustorjunta, kehittyneiden uhkien torjunta ja Anti-Spyware

Virustorjunta tarkistaa palomuurin läpi ladatut tiedostot ja estää haittaohjelmien pääsyn asiakasverkkoon käytössä olevan tarkistus politiikan mukaisesti. Virustorjunta tukee yleisimpiä web-selailu, tiedonsiirto sekä sähköposti protokollia. Mahdollisista virus havainnoista ilmoitetaan käyttäjälle käyttäjäviestillä. Tietoturvalaite päivittää automaattisesti virustietokantaa valmistajan päivityspalvelimilta.

Kehittyneiden uhkien torjunta palvelu tutkii tiedoston käyttäytymistä työasema ympäristössä ja pyrkii estämään tuntemattomien haittaohjelmien pääsyn asiakasverkkoon. Virustorjunta asetuksissa pitää määritellä tehdäänkö tuntemattomille tiedostoille tarkistus.

Virustorjunta määrityksissä pitää määritellä myös Anti-Spyware toiminta. Anti-Spyware havaitsee käyttötietoja luvattomasti lähettävien ohjelmien lataukset ja jo asennettujen Spyware ohjelmien liikenteen. Anti-Spyware havaitsee myös tunnetut haitta-ohjelma domainit, estäen näin Botnet liikenteen.

Virustorjunta tilauksella voi tilata uusia profiileja sekä näiden muutoksia ja poistoja virustorjuntapalveluun ja kehittyneiden uhkien torjunta palveluun.

 

7.1 Virustorjunta ja kehittyneiden uhkien torjunta profiilin tilaus

Alla kuva virustorjunta säännöstä ja kuvaukset mitä määrityksiä tilataan virustorjunta sääntö tilauksella.

 

Kuva. Virustorjunta profiili.

 

Profiilin nimen määritys (Name)

Määritä profiilille nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä.

Paketin tutkimisen määritys (Packet Capture)

Määritä tutkitaanko pakettia.

Tutkittavien protokollien määritys (Name)

Määritä tutkittavat protokollat. Tutkittavat protokolla vaihtoehdot ovat:

Http, smtp, imap, pop3, ftp, smb tai kaikki (any)

Tutkittavien protokollien toiminnan määritys (Action)

Määritä mitä tehdään, jos havaitaan virus tutkittavassa protokollassa. Vaihtoehdot ovat: Alert, block(oletus), allow. Kaikille protokollille voidaan määrittää toiminta erikseen. Käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä

Kehittyneiden uhkien torjunnan määritys (WildFire Action)

Määritä lähetetäänkö tiedosto tutkittavaksi, jos kyseisen tiedoston toimintaa ei tunneta. Vaihtoehdot ovat: Kyllä(oletus jos palvelu käytössä) tai ei. Kaikille protokollille voidaan määrittää toiminta erikseen.

Poikkeus sovelluksen määritys (Name)

Määritä sovellus jolle halutaan tehdä poikkeavia määrityksiä. Tämä poikkeus koskee koko profiilia.

Poikkeus sovelluksen toiminnan määritys (Action)

Määritä toiminta, jos havaitaan poikkeus sovellus. Vaihtoehdot ovat: Alert, block, allow.

Poikkeus tiedoston määritys (Threat exceptions)

Määritä jos tiettyä tiedostoa ei tutkita.

Tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki profiili tilauksesta

Profiilin nimi: Antivirus

Paketin tutkinta: Ei

Tutkittavat protokollat: Any

Toiminta tutkittaville protokolille: Block

Kehittyneiden uhkien torjunta: Kyllä (kaikille protokollille)

Poikkeus sovelluksen määritys: -

Toiminta poikkeavalle sovellukselle: -

Poikkeavan tiedoston määritys: -

 

7.2 Virustorjunta ja kehittyneiden uhkien torjunta profiilin muutostilaus

Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Profiilin nimi: Antivirus

Paketin tutkinta: Ei

Tutkittavat protokollat: Any

Toiminta tutkittaville protokolille: Block

Kehittyneiden uhkien torjunta: Kyllä (kaikille protokollille)

Poikkeus sovellus: Hotmail

Toiminta poikkeavalle sovellukselle: Alert

Poikkeavan tiedoston määritys: -

Muutettava asia: Lisätkää Hotmail sovellus poikkeus sovellukseen ja sille toiminta Alert.

 

7.3 Virustorjunta ja kehittyneiden uhkien torjunta profiilin poistotilaus

Määritä mille säännölle poistotilaus tehdään.

Esimerkki poistotilauksesta:

Poistettava profiili: Antivirus

Palaa muutoskohteet valintaan.

 

7.4 Anti-Spyware profiilin tilaus

Virustorjunta tilauksella voi tilata myös uusia sääntöjä, profiileja ja käyttäjäviestejä sekä näiden muutoksia ja poistoja Anti-Spyware palveluun.

Alla kuva Anti-Spyware profiilista ja kuvaukset määriteltävistä asioista.

Kuva. Anti-Spyware profiili.

 

Profiilin nimen määritys (Name)

Määritä profiilille nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä.

Säännön nimen määritys (Rule Name)

Määritä säännölle nimi.

Tutkittavien uhkien määritys (Threat Name)

Määritä tutkittavat uhkat. Oletuksena tarkastetaan kaikki (any). Uhkat on lueteltuna osoitteessa https://threatvault.paloaltonetworks.com/ Huom. tämä on rule name kohtainen määritys.

Kategorian määritys

Määritä minkä kategorian liikenne tutkitaan. Vaihtoehtoja ovat: Any (kaikki, tämä oletuksena), Adware, Backdoor, Botnet, Browser-hijack, Data-theft, Keylogger, Net-worm

p2p-communication, Spyware Huom. tämä on rule name kohtainen määritys.

Vakavuustaso (Severity)

Määritä minkä vakavuustason liikenne tutkitaan. Vaihtoehtoja ovat: Any, critical, high, medium, low, informational. Huom. tämä on rule name kohtainen määritys.

Toiminnan määritys (Action)

Määritä mitä tehdään tutkittavan vakavuustason liikenteelle. Vaihtoehtoja ovat: Alert, Block(oletus), Allow. Huom. tämä on rule name kohtainen määritys.

Paketin tutkimisen määritys (Packet Capture)

Määritä tutkitaanko pakettia. Vaihtoehdot ovat: Kyllä tai ei.

DNS kyselyn eston määritys (DNS Action)

Määritä estetäänkö DNS kyselyt tunnettuihin haittaohjelma domaineihin.  Vaihtoehdot ovat: Kyllä(oletus) tai ei. Tämä on profiilikohtainen määritys.

DNS paketin tutkimisen määritys (DNS Packet Capture)

Määritä tutkitaanko estettyä pakettia.  Vaihtoehdot ovat: Kyllä(oletus) tai ei. Tämä on profiilikohtainen määritys.

Anti-Spyware poikkeuksien määritys

Määritä jätetäänkö joku uhka tutkimatta. Tämä on profiilikohtainen määritys. Uhkat löytyvät osoitteesta https://threatvault.paloaltonetworks.com/.

Toiminnan määritys poikkeaville sovelluksille (Action)

Määritä toiminta, jos havaitaan uhka jota ei huomioida. Vaihtoehdot ovat: Alert, block(oletus), allow.

Tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki Anti-Spyware profiili tilauksesta

Profiilin nimi: Anti-Spyware

Säännön nimi: Critical-low

Tutkittavat uhkat: Any(kaikki)

Tutkittavat kategoriat: Any (kaikki)

Vakavuustaso: Critical, high, medium, low

Toiminta tutkittaville vakavuustasoille: Block

Paketin tutkiminen: Kyllä

DNS kyselyn esto haittaohjelma domaneihin: Kyllä

DNS paketin tutkiminen: Kyllä

Poikkeavan uhkan määritys: -

poikkeavan uhkan toiminta: -

 

7.5 Anti-Spyware profiilin muutostilaus

Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Profiilin nimi: Anti-Spyware

Säännön nimi: Critical-medium

Tutkittavat uhkat: Any(kaikki)

Tutkittavat kategoriat: Any (kaikki)

Vakavuustaso: Critical, high, medium

Toiminta tutkittaville vakavuustasoille: Block

Paketin tutkiminen: Kyllä

DNS kyselyn esto haittaohjelma domaneihin: Kyllä

DNS paketin tutkiminen: Kyllä

Poikkeavan uhkan määritys: -

Poikkeavan uhkan toiminta: -

Muutettava asia: Muuttakaa säännön nimi Critical-medium ja vakavuustasot Critical, high ja medium

 

7.6 Anti-Spyware profiilin poistotilaus

Määritä mille säännölle poistotilaus tehdään.

Esimerkki poistotilauksesta:

Poistettava profiili: Anti-Spyware

Palaa muutoskohteet valintaan.

 

7.7 Antivirus/Anti-spyware käyttäjäviestin tilaus

Mahdollisista virus havainnoista ilmoitetaan käyttäjälle käyttäjäviestillä.

Kuva. Virustorjunta lataus estetty.

 

Viestin nimi

Määritä viestille annettava nimi.

Viestin sisältö

Määritä viestin sisältö. Viestin sisällössä voidaan kertoa tiedoston nimi jota yritetään ladata.

Säännön tallennus ja tilauksen lähetys toteutukseen

Kun olet tehnyt määritykset valitse ”Lähetä tilaus” valinta tai voit lisätä uusia muutoksia valitsemalla ”Lisää muutos”. Kun kaikki tarvittavat määritykset on tehty, niin paina ”Lähetä tilaus” valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.

Esimerkki käyttäjäviesti tilauksesta

Viestin nimi: Antivirus block viesti

Viestin sisältö: Download of the virus has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.

 

7.8 Antivirus/Anti-spyware käyttäjäviestin muutostilaus

Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.

Esimerkki käyttäjäviestin muutostilauksesta

Viestin nimi: Antivirus block viesti

Viestin sisältö: Download of the virus has been blocked in accordance with company policy.  Please contact your system administrator if you believe this is in error.

Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa

 

7.9 Antivirus/Anti-spyware käyttäjäviestin poistotilaus

Määritä mille käyttäjäviestille poisto tehdään.

Esimerkki käyttäjäviestin poistotilauksesta

Poistettavan viestin nimi: Antivirus block viesti

Palaa muutoskohteet valintaan.

 

8 Tunkeutumisen esto

Tunkeutumisen esto -toiminnallisuuden avulla havaitaan liikennöivistä yhteyksistä mahdolliset tunkeutumis- ja hyökkäys yritykset kuten mm. verkkomatoja, troijalaisia, käyttötietoja luvattomasti lähettävät sovellukset sekä kohdistettuja hyökkäyksiä haavoittuvia sovelluksia kohtaan.

Tunkeutumisen esto tilauksella voi tilata uusia, muutoksia tai poistoja tarkistus profiileihin.

8.1 Tunkeutumisen esto profiilin tilaus

Alla kuva profiili tarkistuksesta ja kuvaukset mitä määrityksiä kenttiin voidaan tehdä.

 

 

Kuva. Tunkeutumisen esto profiili.

 

Profiilin nimen määritys (Name)

Määritä profiilin nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä. Profiilissa voi olla useita sääntöjä

Säännön nimen määritys (Rule Name)

Määritä säännölle nimi.

Tutkittavien uhkien nimen määritys (Threat Name)

Määritä uhkan nimi, joka tarkastetaan. Oletuksena tarkastetaan kaikki (any). Uhkat on lueteltuna osoitteessa https://threatvault.paloaltonetworks.com/. Huom. tämä on rule name kohtainen määritys.

Tutkittavan laitetyypin määritys (Host Type)

Määritä tarkistetaanko liikenne päätelaitteisiin, palvelimiin vai molempiin. Huom. tämä on rule name kohtainen määritys.

Vakavuustason määritys (Severity)

Määritä minkä vakavuustason liikenne tutkitaan. Vaihtoehtoja ovat: Any, critical, high, medium, low, informational. Huom. tämä on rule name kohtainen määritys.

Tutkittavan vakavuustason toiminnan määritys (Action)

Määritä mitä tehdään tutkittavan vakavuustason liikenteelle. Vaihtoehtoja ovat: Alert, Block(oletus), Allow. Huom. tämä on rule name kohtainen määritys.

Paketin tutkimisen määritys (Packet Capture)

Määritä tutkitaanko sääntöön osuvia paketteja. Vaihtoehdot ovat:

Kyllä tai ei. Huom. tämä on rule name kohtainen määritys.

Esimerkki Tunkeutumisen esto profiilin tilauksesta

Profiilin nimi: Tunkeutumisen esto

Säännön nimi: Critical-low

Tutkittavat uhkat: Any (kaikki)

Tutkittava laitetyyppi: Client ja server

Vakavuustaso: Critical, high, medium, low

Vakavuustason toiminta: Block

Paketin tutkiminen: Kyllä

 

8.2 Tunkeutumisen esto profiilin muutostilaus

Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.

Esimerkki muutostilauksesta

Profiilin nimi: Tunkeutumisen esto

Säännön nimi: Critical-medium

Tutkittavat uhkat: Any (kaikki)

Tutkittava laitetyyppi: Client ja server

Vakavuustaso: Critical, high, medium

Vakavuustason toiminta: Block

Paketin tutkiminen: Kyllä

Muutettava asia: Muuttakaa vakavuustason tarkistuksen määritys. Säännön nimi Critical-medium, vakavuustasosta pois low.

 

8.3 Tunkeutumisen esto profiilin poistotilaus

Määritä mille profiilille poistotilaus tehdään.

Esimerkki poistotilauksesta:

Poistettava profiili: Tunkeutumisen esto

Palaa muutoskohteet valintaan.

 

9 Käyttäjätunnistus

Toiminnallisuus mahdollistaa käyttäjien, käyttäjäryhmien ja koneiden tunnistamisen sekä pääsyn rajoittamisen ja tietoturvapolitiikan toteuttamisen identiteetin tai käyttäjäryhmän perusteella. Käyttöönotto vaatii järjestelmän integrointia asiakkaan käyttäjähakemistoon. Käyttäjähakemiston ylläpito ja hallinta on asiakkaan vastuulla.

Käyttäjätunnistus tilauksella voidaan tilata muutoksia käyttäjähakemiston domain kontrollereiden  IP-osoitteisiin, domain nimeen tai  service accountin tunnuksen (nimi, salasana) muutoksiin.

Käyttäjätunnistus toiminnallisuuteen liittyvässä tilauksessa asiantuntija on tarvittaessa yhteydessä ennen tilauksen toteutusta.

Esimerkki käyttäjätunnistus toiminnallisuuteen tehtävästä muutoksesta:

Muutetaan Secondary AD:n IP-osoite 10.10.10.10 osoitteeksi 10.10.10.11, Domain Admin salasana pysyy ennallaan.

Palaa muutoskohteet valintaan.

 

10 Käyttöoikeuksien tilaus

Käyttöoikeus tilauksella voidaan tilata asiakkaan hallinnollisille henkilöille oikeuksia palvelun keskitettyyn hallintaan, jolla pääsee tarkastelemaan palveluiden sääntöjä ja muita konfiguraatio tietoja sekä lokitietoja. Tunnukset tehdään SurfManager Yritystietoturva palvelun käyttäjille tilausten mukaan.

Tilauksessa tarvittavia tietoja ovat käyttäjätunnus sekä julkinen IP-osoite, josta käyttäjän yhteys avataan. Salasana ja kännykkänumero SMS tunnistusta varten ovat samat kuin SurfManagerissa. Käyttäjätunnuksella tulee olla SurfManagerissa pääsy tietoturvaraportointinäkymään.

Työkalujen toimivuus vaatii, että yhteys hallintapalvelimiin on avattu asiakkaan omassa palomuurissa. Palomuuri avausta ei tehdä, jos ei sitä erikseen pyydetä muutospyynnössä. Suosituksena on myös, että asiakas tekee osoitteenmuunnoksen omassa palomuurissaan siten, että kaikkien käyttäjien yhteydet näkyvät yhden NAT-osoitteen takaa. Jos NAT-osoite myöhemmin muuttuu, siitä tehdään käyttöoikeuksien muutostilaus, jossa kerrotaan uusi osoite.

Valmistajakohtaiset työkalut ja käyttöohjeet ovat ladattavissa osoitteesta https://partnergate.sonera.com/yritystietoturva.html.

Esimerkki käyttöoikeuksiin tehtävästä muutoksesta:

Käyttäjälle abc12345 luodaan tunnukset clienttia varten.  IP-osoite, mistä käyttäjä tulee on 1.1.1.1. Salasana lähetetään erikseen SMS:llä kun tilaus toteutettu.

Palaa muutoskohteet valintaan.

 

11 Asiantuntijatyö

Asiantuntijatyö tilauksella voidaan tilata etänä tehtävä palveluun kohdistuva asiantuntijatyö.

Työn toimituskelpoisuus ja aikataulu vahvistetaan erikseen. Mahdollisia asiantuntijatöinä toimitettavat työt ovat mm. palomuuriin liittyvät raportit, tiedon keruu ja selvityspyyntö.

Esimerkki asiantuntijatyöstä

Selvittäkää mitä sääntöjä ei ole käytetty viimeisen 2kk aikana. Nämä tulisi disabloida ja poistaa hyväksynnän jälkeen.

Palaa muutoskohteet valintaan.

 

12 Varallaolo/Päivystys

Varallaolo/Päivystys tilauksella voi tilata tuotantohenkilön varallaoloa tai päivystystä varten.

Varallaolo tarkoittaa asiantuntijan varaamista sovittuun ajanhetkeen siltä varalta, että esimerkiksi jonkin verkkomuutoksen aikana tarvitaankin asiantuntijaa tekemään avauksia palomuuriin.

Mahdollinen varallaolon aikana tehty työ laskutetaan asiantuntijatyön mukaan. Varallaolotilaus tilataan vähintään kahta työpäivää aikaisemmin, Huom. toimitusaika tilaukselle pitää olla ”ajastettu”. Sonera vahvistaa varallaolon erikseen asiantuntijan yhteystietoineen. Kirjaa palvelupyyntö -kenttään päivämäärät ja kellon ajat, jolloin varallaoloa tarvitaan sekä syy miksi varallaoloa tarvitaan.

Esimerkki varallaolo tilauksesta

Tarvitsemme asiantuntijaa varalle tämän viikon lauantaille klo 12-16. Verkossa tehdään reititysmuutoksia, jotka saattavat koskettaa palomuuria.

Palaa muutoskohteet valintaan.

 

13 Raportointi ja lokit

Raportointi tilauksella voidaan tilata tarkempia raportteja tietoturva palveluista läpimenneestä liikenteestä. Tilauksella voi myös muuttaa olemassa olevan raportoinnin määrityksiä, kuten raportointi aikaväliä.

Esimerkki raportointi tilauksesta

Toimittakaa osoitteen 10.10.10.10 liikennöinnistä raportti viimeisen viikon ajalta.

Palaa muutoskohteet valintaan.

 

14 Muu konfiguraatiomuutos

Muu konfiguraatiomuutoksella voidaan tilata pieniä muutoksia tietoturvalaitteeseen. Esimerkiksi tietoturvalaitteen liityntöjen asetuksiin.

Palaa muutoskohteet valintaan.