TIETOTURVAN MUUTOSTYÖKALUN OHJE
Muutospyyntötyökalu on tarkoitettu pääasialliseksi työkaluksi tietoturvaliittymään liittyvien normaalien muutostilausten hoitamiseen.
Määrittele tilaukselle toimitusaika, jonka puitteissa tilaus toteutetaan. Tilaukset toteutetaan valitun toimitusajan mukaan. "Seuraava työpäivä" tilaus toteutetaan seuraavaan arkipäivään klo 16:00 mennessä. "Ajastettu muutos" voidaan toteuttaa haluttuna ajankohtana, haluttu ajankohta täytyy olla vähintään kahden arkipäivän päästä. "Pika" tilaus toteutetaan kahden tunnin sisällä tilauksesta. "8h(24/7)" tilaus toteutetaan kahdeksan tunnin sisällä tilauksesta. * merkityt kentät ovat pakollisia kenttiä.
Kuva. Toimitusajan määrittäminen.
Nimi, sähköposti ja puhelin kenttiin määritellään tilaajan tiedot, jotka tulevat automaattisesti käyttäjän tiedoista. Näitä tietoja voidaan muuttaa, jos tiedot muutoksesta halutaan toimittaa eri henkilölle kuin tilaajalle.
Kuva. Tilaajatietojen määrittäminen.
Liittymä valikossa valitaan liittymä, johon muutos toteutetaan. Muutoksen kohde valikossa valitaan palvelu johon muutos tehdään. Muutoksen kohde valikossa näkyy vain palvelut, jotka kyseiselle tietoturvaliittymälle on määritelty. Kaikki liittymällä olevat muutoksen kohteet ei näy kaikilla toimitusaika valinnoilla esim. LAN-to-LAN VPN-tilausta ei voi tehdä pikatilauksena.
Muutoskohteiden erilliset ohjeet löytyvät täältä. Muutostyppi valikossa määritellään onko kysymyksessä uusi, muutos olemassa olevaan vai poistotilaus. Palomuuri säännöt näkee palomuurin web-käyttöliittymästä, jonka käyttöohjeet löytyy täältä.
Kuva. Liittymän, muutoksen kohteen ja muutostyypin määrittäminen.
Muutoksen tiedot -kenttään määritellään mitä muutoksella tilataan. Muutoksen tiedot kentässä on valmiina valitun muutoksen kohde -tyypin tarvittavat tiedot. Täyttämällä nämä tiedot tilaus voidaan toteuttaa halutussa ajassa. Muutospyyntö voidaan lähettää myös puutteellisin tiedoin, jolloin asiantuntija ottaa yhteyttä ja selvittää puuttuvat tiedot. Tiedoiltaan puutteellisille tilaukselle ei voida taata toteutusaikaa.
Kuva. Muutoksen määrittäminen.
Muutoksen määrityksen jälkeen tilaukselle voidaan lisätä muutoksia "Lisää muutos " valinnalla. Lähetä tilaus painikkeella tilaus lähtee toteutettavaksi. "Lisää" alasvetovalikosta löytyy valinnat "Tallenna tilaus" tai "Poista tilaus". Tilauksen tallentaminen mahdollistaa tilauksen jatkamisen myöhemmin. Poista tilaus poistaa tilauksen eikä sitä voi myöhemmin jatkaa. Tilaukselle voidaan lisätä liitteitä "Lisää liite" valinnalla.
Kuva. Muutoksien lisäys, tilauksen lähetys, liitteiden lisäys ja lisää toimintojen määrittäminen.
Muutoksen toteutuksen jälkeen tilauksessa määritellylle käyttäjälle tulee kuittaus sähköpostiin toteutetusta tilauksesta. Sonera voi palauttaa tilauksen takaisin, jos siihen tarvitaan lisätietoja ja tilaajaan ei ole saatu yhteyttä puhelimitse. Palautetusta tilauksesta tulee myös ilmoitus tilaajan sähköpostiin.
Eri muutoksen kohteet löytyvät taulukosta ja valitsemalla kohteen pääsee näkemään tarkemmin palvelun yleiskuvauksen, määriteltävät asiat ja tilaus ohjeet.
Muutoksen kohteet
7 Virustorjunta, kehittyneiden uhkien torjunta ja Anti-Spyware
1 Palomuurisääntömuutos
Palomuurisäännöt suodattavat liikennettä kahden tietoliikenneverkon välillä, esimerkiksi yrityksen lähiverkon tai liittymän ja Internetin välillä palomuurissa määritellyn säännöstön mukaisesti.
Palomuuri sääntömuutoksella voi tilata uusia, muutoksia ja poistoja palomuurisääntöihin.
1.1 Säännön tilaus
Alla kuva palomuurisäännöstö ja kuvaukset mitä määrityksiä tilataan palomuurisääntö tilauksella.
Kuva. Palomuuri sääntö.
Sääntönumeron määritys
Sääntönumerolla määritellään missä vaiheessa säännöstöä sääntö luetaan. Palomuuri lukee yhteyden tietoja vasten säännöstöä ylhäältä alaspäin ja lukeminen lopetetaan ensimmäisen osuvan säännön kohdalla. Näin ollen sääntönumeroinnilla on merkitystä.
Säännön nimen määritys (Name)
Määritä säännölle nimi. Nimi pysyy säännöstössä koko ajan samana. Säännön nimi ei vaikuta säännön toimintaan, mutta käyttämällä yksilöllisiä nimiä voi siihen viitata sääntömuutoksia tehdessä. Säännön nimi ei muutu toisin kuin sääntönumerot sääntöjä lisätessä.
Säännön tyypin määritys (Type)
Määritä säännön tyyppi. Säännön tyypillä määritetään miten liikenne toimii eri zonejen välillä. Vaihtoehdot ovat:
Intrazone: liikenne saman zonen sisällä
Interzone: liikenne määriteltyjen zonejen välillä
Universal: liikenne kaikkien säännössä määriteltyjen zonejen välillä
Lähde zonen määritys (Zone)
Määritä säännön lähde zone eli mistä zonesta liikenne tulee palomuurille.
Lähdeosoitteen määritys (Address)
Määritä käytetty lähdeosoite tai osoitteet, joka voi olla IP-osoite, IP-verkko-osoite tai objekti ryhmä joka voi sisältää IP-osoitteita, IP-verkkoja tai ryhmiä. Lähdeosoite kentässä on mahdollista tehdä myös maantieteellistä suojausta.
Lähdekäyttäjä (User)
Jos asiakkaalla on käyttäjätunnistus lisäpalvelu, voidaan käyttää myös käyttäjähakemistosta saatavia käyttäjiä, käyttäjäryhmiä, laitteita tai laiteryhmiä.
Kohde zone (Zone)
Määritä säännön kohde zone eli mihin zoneen liikenne suuntautuu.
Kohdeosoitteen määritys (Address)
Määritä käytetty kohdeosoite tai osoitteet, joka voi olla IP-osoite, IP-verkko-osoite tai objekti ryhmä joka voi sisältää IP-osoitteita, IP-verkkoja tai ryhmiä. Kohdeosoite kentässä on mahdollista tehdä myös maantieteellistä suojausta.
Sovelluksen määritys (Applications)
Määritä säännössä sallittavat sovellukset. Tarkempi listaus löytyy osoitteesta https://applipedia.paloaltonetworks.com/ tai palomuurin hallinnasta. Sovellus käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä.
Palvelun ja URL kategorian määritys (Service)
Palvelussa määritellään käytetty TCP/UDP-portti/portit, palvelu/palvelut tai ryhmä/ryhmät. URL kategoriassa määritellään säännössä käytettävät web kategoriat, jotka löytyvät osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä taulukosta web-sisällönsuodatus ohjeista.
Toimenpiteen määritys (Action)
Toimenpide määritellään seuraavilla vaihtoehdoilla:
- Allow eli hyväksy liikenne.
- Deny eli hylkää. Tämä eroaa Drop toiminnosta sillä, että palomuuri lähettää yhteydenottajalle tiedon yhteyden lopettamisesta. Deny käyttämistä ei suositella kuin erikoistapauksissa.
- Drop eli estä liikenne.
Profiilin määritys (Profile)
Määritä profiilit jos säännössä otetaan käyttöön virustojunta, kehittyneiden uhkien torjunta, tunkeutumisen esto tai web-sisällönsuodatus toiminnallisuuksia. Toiminnallisuudet on käyty tarkemmin läpi omissa osioissaan.
Säännön seuranta (Options)
Määritä kerätäänkö sääntöön osuvista yhteyksistä lokitietoja.
Säännön tilaus ja lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki sääntötilauksesta
Sääntö numero: 1
Säännön nimi: Internet liikenne
Sääntö tyyppi: Interzone
Lähde zone: Intra
Lähdeosoite: Intra_1.1.1.0m0
Lähde käyttäjä: -
Kohde zone: Untrust
Kohdeosoite: Any
Sovellus: Any
Palvelu: http, https
Toiminta: Allow
Profiili: Antivirus, Anti-Spyware, Tunkeutumisenesto, Web sisällänsuodatus
Seuranta: Ei
1.2 Säännön muutostilaus
Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee. Sääntömuutoksessa on hyvä antaa säännön nimi tai vähintään numero mitä sääntöä muutos koskee.
Esimerkki muutostilauksesta
Säännön numero:1
Säännön nimi: Internet liikenne
Muutettava asia: Lisätkää lähdeosoitteisiin verkko Intra_1.1.2.0m0
1.3 Säännön poistotilaus
Määritä mille säännölle poistotilaus tehdään. Säännön poistossa on hyvä antaa poistettavan säännön nimi tai vähintäänkin säännön numero.
Esimerkki poistotilauksesta
Poistettava sääntö: Numero 1
Poistettavan säännön nimi: Internet liikenne
Palaa muutoskohteet valintaan.
1.4 Sovellushallinta käyttäjäviestin tilaus
Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa sovelluskäytön rajoituksista, Internetin riskeistä sekä organisaation tietoturvapolitiikasta. Alla kuva sisällönsuodatus Block käyttäjäviestistä ja kuvaukset mitä määrityksiä tarvitaan sovellushallinta Block käyttäjäviesti tilaukseen.
Kuva. Sovellushallinta block viesti.
Viestin nimi
Määritä viestille annettava nimi.
Viestin sisältö
Määritä viestin sisältö. Viestin sisällössä voidaan kertoa käyttäjän nimi/IP-osoite sekä sovellus jota käytetään.
Säännön tallennus ja tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki sääntö tilauksesta
Viestin nimi: Sovellushallinta block viesti
Viestin sisältö: Access to the application you were trying to use has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.
1.5 Sovellushallinta käyttäjäviestin muutostilaus
Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Viestin nimi: Sovellushallinta block viesti
Viestin sisältö: Access to the application you were trying to use has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.
Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa
1.6 Sovellushallinta käyttäjäviestin poistotilaus
Määritä mille käyttäjäviestille poisto tehdään
Esimerkki poistotilauksesta
Poistettavan viestin nimi: Sovellushallinta block viesti
Palaa muutoskohteet valintaan.
2 Objektimuutos
Objekteja käytetään tietoturvalaitteen säännöstöjen määrityksissä. Objekti voi olla osoite, verkko, käyttäjä, ryhmä, käyttäjäryhmä, palvelu tai palveluryhmä.
Objektimuutoksella voi tilata uusia, muutoksia ja poistoja objekteihin.
Jokaiselle uudelle objektille täytyy antaa nimi. Nimi kannattaa rakentaa niin, että siitä näkee helposti tyypin, asiayhteyden ja sisällön. Nimen lisäksi jokaiselle uudelle objektille voidaan antaa lisätietoa kuvaus kentässä.
Muokattavat objektit kuvattu alla:
Host
Host-objekti sisältää yksittäisen IP-osoitteen. Osoite (IP-osoite, esim 192.168.1.1) tai 2001:db8:85a3::8a2e:370:7334 IPv6:lle.
Kuva. Host objekti.
Verkko
Verkko-objekti sisältää kokonaisen verkon maskeineen. Osoite (IP-osoite, esim 192.168.1.0 tai 2001:db8:85a3::8a2e:370:7334 IPv6:lle) Maski (Verkkomaski, esim 255.255.255.0 tai 120 IPv6:lle).
Kuva. Verkko objekti.
IP-Range
IP-Range-objekti sisältää IP-osoitevälin esim.192.168.1.1 - 192.168.1.10 tai 2001:db8:85a3::8a2e:370:7334 - 2001:db8:85a3::8a2e:370:7340 IPv6:lle.
Kuva. IP-range objekti.
Palvelu
Palvelu-objekti sisältää protokollan ja portin. Protokolla esim. TCP/IP, UDP, http. Portti esim. tcp888.
Kuva. Palvelu objekti.
Objekti- ja palveluryhmä
Objekti- ja palveluryhmä sisältää joukon muita objekteja. Objektiryhmä voi siis sisältää hosteja, verkkoja, IP-rangeja ja objektiryhmiä. Objektiryhmä voi sisältää vain saman IP-version objekteja.
Esim. IP-osoitteita sisältävä ryhmä: intra_verkot, sisältää objektit yritys_10.10.10.10 ja yritys_10.10.20.0m0.
Kuva. Ryhmä objekti.
Palveluryhmä voi sisältää palveluja ja palveluryhmiä. Esim. Palveluryhmiä sisältävä ryhmä: Intra_Palvelimen_portit, sisältää portit tcp 400-402 ja tcp 8001.
Kuva. Palveluryhmä objekti.
2.1 Objektin tilaus
Objekti tyypin määritys
Määritä onko kysymyksessä host, käyttäjä, verkko, palvelu tai ryhmä objekti.
Objektin nimen määritys
Määritä objektin nimi.
Objektin sisällön määritys
Määritä mitä objekti pitää sisällään (IP-osoitteet, verkot jne..).
Objektin kommentin määritys
Määritä objektille kommentti tarvittaessa.
Objektin tilaus ja lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki uuden objektin tilauksesta
Objekti tyypin määritys: Host objekti
Objektin nimen määritys:Intra_1.1.1.1
Objektin sisällön määritys:1.1.1.1
Objektin kommentin määritys: Intra palvelin
2.2 Objektin muutostilaus
Määritä mille objektille muutos tehdään (nimi) ja mikä on muutos.
Esimerkki objektin muutostilauksesta
Muutettavan objektin nimi: Intra_1.1.1.1
Objektille muutettava nimi: Intra_1.1.1.3
Objektille muutettava sisältö:1.1.1.3
Objektille muutettava kommentti: pidetään samana
2.3 Objektin poistotilaus
Määritä mikä objekti poistetaan (nimi). Huom. kyseinen objekti tulee tämän jälkeen poistumaan tietoturvalaitteesta.
Esimerkki objektin poistotilauksesta
Poistettavan objektin nimi: Intra_1.1.1.1.
Palaa muutoskohteet valintaan.
3 Osoitteenmuutos (NAT)
NAT säännöt määrittelevät mitä osoitteita tai palveluita muunnetaan miksikin osoitteiksi tai palveluiksi. Yleensä NAT toiminnolla tehdään dynaaminen ns. hide NAT palvelu sisäverkon privaateille osoitteille Internetiin liikennöitäessä.
Määrityksissä pitää määritellä alkuperäinen lähde- ja kohdeosoite sekä palvelu. Jos liikenne osuu näihin ehtoihin, tehdään seuraavissa kentissä määritellyt muunnokset eli muutetaan käytetty lähde- tai kohdeosoite.
Osoitteenmuutos tilauksella voi tilata uusia, muutoksia ja poistoja osoitteenmuutoksiin.
Huom! Palomuuri ja muiden tietoturvapalveluiden säännöt käsittelevät alkuperäisiä IP-osoitteita, ei muunneltuja.
3.1 Osoitteenmuutos säännön tilaus
Alla kuva osoitteenmuutos säännöstä ja kuvaukset mitä määrityksiä tilataan osoitteenmuutos tilauksella.
Kuva. Osoitteenmuutos sääntö.
Sääntönumeron määritys (No)
Sääntönumerolla määritellään missä vaiheessa säännöstöä sääntö luetaan. Tietoturvalaite lukee yhteyden tietoja vasten säännöstöä ylhäältä alaspäin ja lukeminen lopetetaan ensimmäisen osuvan säännön kohdalla. Näin ollen sääntönumeroinnilla on merkitystä.
Säännön nimen määritys (Name)
Säännön nimi. Nimi pysyy säännöstössä koko ajan samana.
Alkuperäisen lähde zonen määritys (Source Zone)
Määritä käytetty alkuperäinen lähde zone.
Alkuperäisen kohde zonen määritys (Destination Zone)
Määritä käytetty alkuperäinen kohde zone.
Alkuperäisen liitännän määritys (Destination Interface)
Määritä käytetty alkuperäinen liitäntä.
Alkuperäisen lähdeosoitteen määritys (Source Address)
Määritä käytetty alkuperäinen lähdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko, objekti ryhmä joka sisältää useita IP-osoitteita, IP-verkkoja, tai ryhmiä.
Alkuperäisen kohdeosoitteen määritys (Destination Address)
Määritä käytetty alkuperäinen kohdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko tai objekti ryhmä joka sisältää useita IP-osoitteita, verkkoja tai ryhmiä.
Alkuperäisen palvelun määritys (Service)
Palvelussa määritellään käytetty TCP/UDP-portti, palvelu tai ryhmä.
Muunnetun lähdeosoitteen määritys (Source Translation)
Määritä muunnettu lähdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko, objekti ryhmä joka sisältää useita IP-osoitteita, IP-verkkoja, tai ryhmiä.
Muunnetun kohdeosoitteen määritys (Destination Translation)
Muunnettu kohdeosoite, joka voi olla yksittäinen IP-osoite, IP-verkko tai objekti ryhmä joka sisältää useita IP-osoitteita, verkkoja tai ryhmiä.
Säännön tallennus ja tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki sääntö tilauksesta, yhden osoitteen muutos
Sääntö numero:1
Säännön nimi: DMZ-palvelimen osoitemuutos
Alkuperäinen lähde zone: Trust
Alkuperäinen kohde zone: Internet
Alkuperäinen liitäntä: Any
Alkuperäinen lähdeosoite: Yritys_10.10.10.10
Alkuperäinen kohdeosoite: Any
Alkuperäinen palvelu: Any
Muunnettu lähdeosoite: Yritys_172.2.1.1
Muunnettu kohdeosoite: Any
Esimerkki sääntö tilauksesta, usean osoitteen muutos yhdeksi osoitteeksi (Hide-nat)
Sääntö numero:1
Säännön nimi: Internet liikenne
Alkuperäinen lähde zone: Trust
Alkuperäinen kohde zone: Internet
Alkuperäinen liitäntä: Any
Alkuperäinen lähdeosoite: Yritys_10.10.10.0m0
Alkuperäinen kohdeosoite: Any
Alkuperäinen palvelu: Any
Muunnettu lähdeosoite: Yritys_172.2.1.1
Muunnettu kohdeosoite: Any
3.2 Osoitteenmuutos säännön muutostilaus
Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Säännön numero:1
Säännön nimi: Internet liikenne
Muutettava asia: Korvatkaa alkuperäinen lähdeosoite verkolla Yritys_10.10.11.0m0
3.3 Osoitteenmuutos säännön poistotilaus
Määritä mille osoitteenmuutos säännölle poistotilaus tehdään.
Esimerkki poistotilauksesta
Poistettava sääntö: Numero 1
Säännön nimi: DMZ-palvelimen osoitemuutos
Alkuperäinen lähde zone: Trust
Alkuperäinen kohde zone: Untrust
Alkuperäinen liitäntä: Any
Alkuperäinen lähdeosoite: Yritys_10.10.10.10
Alkuperäinen kohdeosoite: Any
Alkuperäinen palvelu: Any
Muunnettu lähdeosoite: Yritys_172.2.1.1
Muunnettu kohdeosoite: Any
Palaa muutoskohteet valintaan.
4 LAN-to-LAN VPN
LAN-to-LAN VPN toiminnallisuudella voidaan tehdä asiakkaan toimipisteiden tai asiakkaan kumppanien välille vahvasti salattuja IPSec VPN-yhteyksiä.
LAN-to-LAN VPN-muutoksella voi tilata uusia VPN-yhteyksiä tai muutoksia ja poistoja olemassa oleviin VPN-yhteyksiin. Jos palomuuri tukee IPv6-osoitteita, voit määritellä myös uuden IPv6 VPN:n. VPN:ssä ei voi sekoittaa eri IP-versioita, vaan kaikkien osoitteiden ja objektien täytyy olla samaa IP-versiota. LAN-to-LAN VPN-muutoksessa pitää olla seuraavat tiedot että VPN-yhteys voidaan toteuttaa:
- VPN yleiset tiedot, kuten toivottu toimitusajankohta sekä vastapuolen yhteystiedot. LAN-to-LAN VPN-muutospyynnössä määritellyt tiedot lähetetään vastapuolen yhteyshenkilön sähköpostiosoitteeseen.
- VPN parametrit.
- Sisäiset ja ulkoiset IP-osoitteet eli verkot, jotka liikennöivät VPN-yhteydellä ja joiden liikenne salataan.
- Tilauksen lisätiedot, kuten mitä palveluja/portteja yhteydelle avataan.
4.1 LAN-to-LAN VPN -yhteyden tilaus
Yleisten tietojen määritys
Määrittele yleisissä tiedoissa VPN-yhteyden vastapuolen tiedot. Näitä tietoja tarvitaan kun VPN-yhteyttä määritellään. Tarvittavat tiedot ovat:
- Yrityksen nimi (jos ulkopuolinen yritys)
- Tekninen yhteyshenkilö, joka tekee konfiguroinnin vastapuolella
- Teknisen yhteyshenkilön sähköpostiosoite
- Teknisen yhteyshenkilön matkapuhelinnumero (pre shared secret salasana lähetetään ko. numeroon)
VPN parametrien määritys
VPN-yhteyden nimi
VPN-yhteyden lähtöpiste
- VPN-yhteyden päätepiste
- Mode. Vaihtoehtoina Main ja Aggressive. Main tarkoittaa IPSEC standardin normaalia neuvottelua yhteyden muodostuksessa, kun taas aggressive ohittaa joitakin vaiheita nopeuttaakseen neuvottelua.
- Phase1 Diffie-Hellman group. Tällä protokollalla turvataan PKI avaimenvaihto.
- Phase1 Encryption Algorithm. Vaiheen 1 salausalgoritmi, jolla salataan vaiheen 2 neuvottelu.
- Phase1 Hash Algorithm. Vaiheen 1 eheysalgoritmilla (tarkistussumman avulla) varmistetaan vaiheen 2 neuvottelun tiedon eheys.
- Phase1 Lifetime seconds. Vaiheen yksi kesto sekunteina. Vaihe 1 neuvotellaan uudestaan (automaattisesti), kun aika loppuu.
- Phase2 Perfect Forward Secrecy. Tämä parantaa yhteyden tietoturvaa siinä tapauksessa, jos VPN yhteyden PKI avain saataisiin selville yhteyttä kuuntelemalla.
- Phase2 Lifetime seconds. Vaiheen kaksi kesto sekunteina. Vaihe 2 neuvotellaan uudestaan (automaattisesti), kun aika loppuu.
- Phase2 ESP/AH. ESP (Encapsulated Security Payload) salaa paketin. AH (Authentication Header) ainoastaan varmistaa paketin eheyden.
- Phase2 Encryption Algorithm. Vaiheen 2 salausalgoritmi, jolla salataan liikenne.
- Phase2 Authentication Algorithm. Vaiheen 2 eheysalgoritmilla (tarkistussumman avulla) varmistetaan vaiheen 2 liikenteen eheys.
Huom! VPN parametrit pitää olla täysin yhtenevät VPN-laitteiden välillä eivätkä kaikki laitteet välttämättä tue kaikkia vaihtoehtoja. Muutostyökalu ehdottaa yleisesti yhteensopivia parametreja joita suositellaan käytettävän.
Sisäisten osoitteiden määritys
Määritä sisäverkon IP-osoitteet verkkomaskeineen, jotka liikennöivät tilattavalla VPN-yhteydellä. Verkkoja voidaan määritellä useita. Host (yksittäinen IP) määrityksiä ei suositella. Palomuuri säännöstöllä voidaan eritellä tarkemmin mitkä IP-osoitteet tai protokollat ja portit saavat liikennöidä VPN-yhteyden sisällä.
Ulkoisten osoitteiden määritys
Määritä verkot, jotka liikennöivät vastapään VPN-laitteesta tilattavalla VPN-yhteydellä.
Tilauksen lisätietojen määritys
Määrittele tilaukseen liittyviä lisätietoja. Suositeltavaa on, että tähän kirjataan myös VPN-yhteyteen liittyvät avaukset eli mitä protokollia sallitaan yhteyteen. Tarvittaessa säännöt voi tilata erikseenkin palomuuri sääntömuutos tilauksella.
Tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki VPN-muutostilauksesta
VPN yhteyden vastapuolen yhteystiedot
Yrityksen nimi: Yritys oy
Teknisen yhteyshenkilönimi: Teppo Testaaja
Teknisen yhteyshenkilön sähköpostiosoite: Teppo.testaaja@yritys.fi
Teknisen yhteyshenkilön matkapuhelinnumero: 0401234567
VPN-yhteyden parametrien määritys
VPN-yhteyden nimi: VPN-to-Partner
VPN-yhteyden lähtöpiste: 192.168.1.1
VPN-yhteyden päätepiste: 192.168.2.1
Mode (oletus main): main
Phase1 Diffie-Hellman group (oletus group2): group2
Phase1 Encryption Algorithm (oletus aes256): aes256
Phase1 Hash Algorithm (oletus sha-1): sha1
Phase1 Lifetime seconds (oletus 28000): 28000
Phase2 Perfect Forward Secrecy (oletus no-pfs): no-pfs
Phase2 Lifetime seconds (oletus 3600): 3600
Phase2 ESP/AH (oletus esp): esp
Phase2 Encryption Algorithm (oletus aes256): aes256
Phase2 Authentication Algorithm (oletus sha-1): sha1
VPN-yhteydellä sallitut verkot
Sisäiset osoitteet: 10.10.10.0m0
Ulkoiset osoitteet: 20.20.20.0m0
Tilauksen lisätiedot: VPN-yhteydelle säännöt muuriin jossa kaikki liikenne sallitaan.
4.2 LAN-to-LAN VPN-yhteyden muutostilaus
Määrittele mihin VPN-yhteyteen muutos tehdään ja tarvittava muutos
Esimerkki muutostilauksesta
VPN-yhteyden nimi: VPN-to-Partner
Muutettava asia: Lisätään sisäiseksi osoitteeksi verkko 10.10.20.0m0
4.3 LAN-to-LAN VPN-yhteyden poistotilaus
Määrittele mille VPN-yhteydelle poisto tehdään.
Esimerkki poistotilauksesta
Poistakaa seuraava VPN-yhteys.
VPN-yhteyden nimi: VPN-to-Partner
Palaa muutoskohteet valintaan.
5 Reititys
Tietoturvalaitteen reititys sisäverkon verkkoliitynnöissä toimii dynaamisella reitityksellä (BGP) tai staattisella reitityksellä. Dynaamisessa reitityksessä reittitieto tulee näin ollen tietoturvalaitteelle ja tietoturvalaitteessa ei tarvitse tehdä konfiguraatiomuutoksia, jos dynaaminen reititys on aiemmin määritelty. Staattisessa reitityksessä tietoturvalaitteelle pitää määritellä verkko ja sekä liitäntä josta verkkoa mainostetaan.
Reititys muutoksella voi tilata uusia, muutoksia ja poistoja tietoturvalaitteelle lisättävistä sisäverkon verkoista.
5.1 Reititys tilaus
IP-version määritys
Määrittele käytettävä IP versio.
IP-osoitteen ja maskin määritys
Määritä sisäverkon IP-verkko-osoite ja maski.
Zonen määritys
Määritä Zone johon verkko lisätään.
Reititettävän verkkoliitynnän määritys
Määritä sisäverkon verkkoliityntä josta verkkoa mainostetaan.
Tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki reititys tilauksesta
Reititettävä verkko-osoite ja maski: 10.10.10.0m0
Zone: Intra
Reitin verkkoliityntä: eth1
5.2 Reititys muutostilaus
Märittele mihin reittiin muutos tehdään ja tarvittava muutos.
Esimerkki muutostilauksesta
Reititettävä verkko-osoite ja maski: 10.10.10.0m0
Zone: Intra
Reitin verkkoliityntä: eth1
Muutettava asia: Muuttakaa reitin verkkoliityntä eth2
5.3 Reititys poistotilaus
Määrittele mille reitille poisto tehdään.
Esimerkki poistotilauksesta
Poistakaa seuraava reititys:
Reititettävä verkko-osoite ja maski: 10.10.10.0m0
Zone: Intra
Reitin verkkoliityntä: eth1
Palaa muutoskohteet valintaan.
6 Web sisällönsuodatus
Web sisällönsuodatus tilauksella voi tilata uusia sääntöjä, muutoksia ja poistoja web sisällönsuodatuspalveluun.
Web sisällönsuodatuksessa verrataan internetistä haetun sivun URL (Uniform Resource Locator) -osoitetta tietokantaan, missä web-sivut ovat kategorisoitu ennalta tiettyihin sivukategorialuokkiin. Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa web-liikenteen rajoituksista, internetin riskeistä sekä organisaation tietoturvapolitiikasta.
Muutoksia voidaan tehdä tarkistettaviin verkkoihin tai käyttäjiin, kohdeosoitteisiin, kategoriaan, toiminnallisuuteen ja seurantaan.
6.1 Web sisällönsuodatus säännön tilaus
Alla kuva web sisällönsuodatus säännöstä ja kuvaukset mitä määrityksiä tilataan web sisällönsuodatus tilauksella.
Kuva. Web sisällönsuodatus sääntö.
Profiilin nimen määritys (Name)
Määritä profiilille nimi. Profiilin nimeä käytetään säännöstö politiikan profiili määrityksessä.
Estettävien osoitteiden määritys (Block List)
Määritä mitkä osoitteet estetään.
Esto osoitteiden toiminnan määritys (Action for Block List)
Määritä toiminta estettävien osoitteiden liikenteelle. Vaihtoehdot ovat:
- Allow (sallii liikenteen)
- Block (estää liikenteen)
- Alert (tekee loki merkinnän liikenteestä)
- Continue (kysyy käyttäjältä hyväksyntää)
- Override (kysyy käyttäjältä salasanaa)
Käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä.
Sallittujen osoitteiden määritys (Allow List)
Määritä mitkä osoitteet sallitaan.
Sallittujen kategorioiden määritys (Allow Categories)
Määritä mitkä kategoriat sallitaan. Kaikki kategoriat nähtävissä osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.
Kategorioiden joista tulee hälytys log tietoihin määritys (Alert Categories)
Määritä kategoriat mistä tulee merkintä lokitietoihin. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.
Estettyjen kategorioiden määritys (Block Categories)
Määritä mitkä kategoriat kielletään. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.
Käyttäjältä kysyttävän tarkistus kategorian määritys (Continue Categories)
Määritä kategoriat, missä käyttäjältä kysytään hyväksyntä säännöissä liikennöitäviin kategorioihin (Response Page). Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.
Käyttäjältä kysyttävän salasanalla suojatun kategorian määritys (Override Categories)
Määritä kategoriat, missä käyttäjältä kysytään salasana säännöissä liikennöitäviin kategorioihin. Salasana on kaikille käyttäjille sama. Kaikki kategoriat saatavissa osoitteesta http://www.brightcloud.com/tools/change-request-url-categorization.php sekä alla taulukossa listaus.
Alla taulukossa Web-sisällönsuodatus kategoriat.
|
BrightCloud kategoriat |
|||
|
Abortion |
Government |
Motor Vehicles |
Search Engines |
|
Abused Drugs |
Gross |
Music |
Sex Education |
|
Adult and Pornography |
Hacking |
News and Media |
Shareware and Freeware |
|
Alcohol and Tobacco |
Hate and Racism |
Nudity |
Shopping |
|
Auctions |
Health and Medicine |
Online Greeting cards |
Social Network |
|
Bot Nets |
Home and Garden |
Parked Domains |
Society |
|
Business and Economy |
Hunting and Fishing |
Pay to Surf |
Sports |
|
CDNs |
Illegal |
Peer to Peer |
Spyware and Adware |
|
Cheating |
Image and Video Search |
Personal Storage |
Stock Advice and Tools |
|
Computer and Internet Info |
Internet Communications |
Personal sites and Blogs |
Streaming Media |
|
Computer and Internet Security |
Internet Portals |
Philosophy and Political Advocacy |
Swimsuits and Intimate Apparel |
|
Cult and Occult |
Job Search |
Phishing and Other Frauds |
Training and Tools |
|
Dating |
Keyloggers and Monitoring |
Proxy Avoid and Anonymizers |
Translation |
|
Educational Institutions |
Kids |
Questionable |
Travel |
|
Entertainment and Arts |
Legal |
Real Estate |
Violence |
|
Fashion and Beauty |
Local Information |
Recreation and Hobbies |
Weapons |
|
Financial Services |
Malware Sites |
Reference and Research |
Web Advertisements |
|
Gambling |
Marijuana |
Religion |
Web Hosting Sites |
|
Games |
Military |
SPAM URLs |
Web based email |
Kuva. Web sisällönsuodatus kategoriat.
Tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki sääntö tilauksesta
Profiilin nimi: Web sisällönsuodatus
Estettävät osoitteet: -
Toiminta estettäville osoitteille: -
Sallitut osoitteet: www.sonera.fi
Sallitut kategoriat: Business and Economy
Lokitettavat kategoriat: Hunting and Fishing
Kielletyt kategoriat: Abused Drugs
Käyttäjän hyväksymät kategoriat: Gambling
Salasanalla suojatut kategoriat: Real Estate
6.2 Web sisällönsuodatus säännön muutostilaus
Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Profiilin nimi: Web sisällönsuodatus
Estettävät osoitteet:
Toiminta estettäville osoitteille: -
Sallitut osoitteet: www.sonera.fi
Sallitut kategoriat: Business and Economy
Lokitettavat kategoriat: Hunting and Fishing
Kielletyt kategoriat: Abused Drugs
Käyttäjän hyväksymät kategoriat: Gambling
Salasanalla suojatut kategoriat: Real Estate
Muutettava asia: Poistakaa Gambling käyttäjän hyväksymistä kategorioista
6.3 Web sisällönsuodatus säännön poistotilaus
Määritä mille säännölle poistotilaus tehdään.
Esimerkki poistotilauksesta:
Poistakaa seuraava profiili
Profiilin nimi: Web sisällönsuodatus
Palaa muutoskohteet valintaan.
6.4 Web sisällönsuodatus käyttäjäviestin tilaus
Toiminnallisuuden avulla käyttäjiä voidaan tiedottaa reaaliajassa web liikenteen rajoituksista, internetin riskeistä sekä organisaation tietoturvapolitiikasta.
Alla kuvat web sisällönsuodatus Block ja Continue käyttäjäviestistä ja kuvaukset mitä määrityksiä tarvitaan web sisällönsuodatus käyttäjäviesti tilaukseen.
Kuva. Web-sisällönsuodatus Block viesti
Kuva. Web-sisällönsuodatus Continue viesti
Viestin tyyppi (Block/continue/override)
Viesti voi olla block, continue tai override viesti. Block viesti ilmoittaa jos liikenne ei ole sallittua. Continue viestissä käyttäjän pitää antaa "Response page" sivulla hyväksyntä (Continue). Override viestissä käyttäjän pitää antaa salasana " Response page" haasteeseen. Vain yksi salasana on mahdollinen ja kaikilla käyttäjillä on käytössä sama.
Viestin nimi
Määritä viestille annettava nimi.
Viestin sisältö
Määritä viestin sisältö. Viestin sisällössä voidaan kertoa käyttäjän nimi/IP-osoite, URL-osoite johon yhteyttä yritetään sekä URL-osoitteen kategoria.
Säännön tallennus ja tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki sääntö tilauksesta
Viestin tyyppi: Block
Viestin nimi: Web sisällönsuodatus Block viesti
Viestin sisältö: Access to web-site" is blocked according to the organization security policy. For more information, please contact your helpdesk.
6.5 Web sisällönsuodatus käyttäjäviestin muutostilaus
Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Viestin tyyppi: Block
Viestin nimi: Web sisällönsuodatus Block viesti
Viestin sisältö: Access to web-site" is blocked according to the organization security policy. For more information, please contact your helpdesk
Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa
6.6 Web sisällönsuodatus käyttäjäviestin poistotilaus
Määritä mille profiilille poistotilaus tehdään.
Esimerkki poistotilauksesta
Poistettavan viestin nimi: Web sisällönsuodatus Block viesti
Palaa muutoskohteet valintaan.
7 Virustorjunta, kehittyneiden uhkien torjunta ja Anti-Spyware
Virustorjunta tarkistaa palomuurin läpi ladatut tiedostot ja estää haittaohjelmien pääsyn asiakasverkkoon käytössä olevan tarkistus politiikan mukaisesti. Virustorjunta tukee yleisimpiä web-selailu, tiedonsiirto sekä sähköposti protokollia. Mahdollisista virus havainnoista ilmoitetaan käyttäjälle käyttäjäviestillä. Tietoturvalaite päivittää automaattisesti virustietokantaa valmistajan päivityspalvelimilta.
Kehittyneiden uhkien torjunta palvelu tutkii tiedoston käyttäytymistä työasema ympäristössä ja pyrkii estämään tuntemattomien haittaohjelmien pääsyn asiakasverkkoon. Virustorjunta asetuksissa pitää määritellä tehdäänkö tuntemattomille tiedostoille tarkistus.
Virustorjunta määrityksissä pitää määritellä myös Anti-Spyware toiminta. Anti-Spyware havaitsee käyttötietoja luvattomasti lähettävien ohjelmien lataukset ja jo asennettujen Spyware ohjelmien liikenteen. Anti-Spyware havaitsee myös tunnetut haitta-ohjelma domainit, estäen näin Botnet liikenteen.
Virustorjunta tilauksella voi tilata uusia profiileja sekä näiden muutoksia ja poistoja virustorjuntapalveluun ja kehittyneiden uhkien torjunta palveluun.
7.1 Virustorjunta ja kehittyneiden uhkien torjunta profiilin tilaus
Alla kuva virustorjunta säännöstä ja kuvaukset mitä määrityksiä tilataan virustorjunta sääntö tilauksella.
Kuva. Virustorjunta profiili.
Profiilin nimen määritys (Name)
Määritä profiilille nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä.
Paketin tutkimisen määritys (Packet Capture)
Määritä tutkitaanko pakettia.
Tutkittavien protokollien määritys (Name)
Määritä tutkittavat protokollat. Tutkittavat protokolla vaihtoehdot ovat:
Http, smtp, imap, pop3, ftp, smb tai kaikki (any)
Tutkittavien protokollien toiminnan määritys (Action)
Määritä mitä tehdään, jos havaitaan virus tutkittavassa protokollassa. Vaihtoehdot ovat: Alert, block(oletus), allow. Kaikille protokollille voidaan määrittää toiminta erikseen. Käyttäjäviestit määritellään erikseen ja ohjeet määrityksistä löytyy täältä
Kehittyneiden uhkien torjunnan määritys (WildFire Action)
Määritä lähetetäänkö tiedosto tutkittavaksi, jos kyseisen tiedoston toimintaa ei tunneta. Vaihtoehdot ovat: Kyllä(oletus jos palvelu käytössä) tai ei. Kaikille protokollille voidaan määrittää toiminta erikseen.
Poikkeus sovelluksen määritys (Name)
Määritä sovellus jolle halutaan tehdä poikkeavia määrityksiä. Tämä poikkeus koskee koko profiilia.
Poikkeus sovelluksen toiminnan määritys (Action)
Määritä toiminta, jos havaitaan poikkeus sovellus. Vaihtoehdot ovat: Alert, block, allow.
Poikkeus tiedoston määritys (Threat exceptions)
Määritä jos tiettyä tiedostoa ei tutkita.
Tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki profiili tilauksesta
Profiilin nimi: Antivirus
Paketin tutkinta: Ei
Tutkittavat protokollat: Any
Toiminta tutkittaville protokolille: Block
Kehittyneiden uhkien torjunta: Kyllä (kaikille protokollille)
Poikkeus sovelluksen määritys: -
Toiminta poikkeavalle sovellukselle: -
Poikkeavan tiedoston määritys: -
7.2 Virustorjunta ja kehittyneiden uhkien torjunta profiilin muutostilaus
Määritä mihin sääntöön muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Profiilin nimi: Antivirus
Paketin tutkinta: Ei
Tutkittavat protokollat: Any
Toiminta tutkittaville protokolille: Block
Kehittyneiden uhkien torjunta: Kyllä (kaikille protokollille)
Poikkeus sovellus: Hotmail
Toiminta poikkeavalle sovellukselle: Alert
Poikkeavan tiedoston määritys: -
Muutettava asia: Lisätkää Hotmail sovellus poikkeus sovellukseen ja sille toiminta Alert.
7.3 Virustorjunta ja kehittyneiden uhkien torjunta profiilin poistotilaus
Määritä mille säännölle poistotilaus tehdään.
Esimerkki poistotilauksesta:
Poistettava profiili: Antivirus
Palaa muutoskohteet valintaan.
7.4 Anti-Spyware profiilin tilaus
Virustorjunta tilauksella voi tilata myös uusia sääntöjä, profiileja ja käyttäjäviestejä sekä näiden muutoksia ja poistoja Anti-Spyware palveluun.
Alla kuva Anti-Spyware profiilista ja kuvaukset määriteltävistä asioista.
Kuva. Anti-Spyware profiili.
Profiilin nimen määritys (Name)
Määritä profiilille nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä.
Säännön nimen määritys (Rule Name)
Määritä säännölle nimi.
Tutkittavien uhkien määritys (Threat Name)
Määritä tutkittavat uhkat. Oletuksena tarkastetaan kaikki (any). Uhkat on lueteltuna osoitteessa https://threatvault.paloaltonetworks.com/ Huom. tämä on rule name kohtainen määritys.
Kategorian määritys
Määritä minkä kategorian liikenne tutkitaan. Vaihtoehtoja ovat: Any (kaikki, tämä oletuksena), Adware, Backdoor, Botnet, Browser-hijack, Data-theft, Keylogger, Net-worm
p2p-communication, Spyware Huom. tämä on rule name kohtainen määritys.
Vakavuustaso (Severity)
Määritä minkä vakavuustason liikenne tutkitaan. Vaihtoehtoja ovat: Any, critical, high, medium, low, informational. Huom. tämä on rule name kohtainen määritys.
Toiminnan määritys (Action)
Määritä mitä tehdään tutkittavan vakavuustason liikenteelle. Vaihtoehtoja ovat: Alert, Block(oletus), Allow. Huom. tämä on rule name kohtainen määritys.
Paketin tutkimisen määritys (Packet Capture)
Määritä tutkitaanko pakettia. Vaihtoehdot ovat: Kyllä tai ei.
DNS kyselyn eston määritys (DNS Action)
Määritä estetäänkö DNS kyselyt tunnettuihin haittaohjelmadomaineihin. Vaihtoehdot ovat: Kyllä(oletus) tai ei. Tämä on profiilikohtainen määritys.
DNS paketin tutkimisen määritys (DNS Packet Capture)
Määritä tutkitaanko estettyä pakettia. Vaihtoehdot ovat: Kyllä(oletus) tai ei. Tämä on profiilikohtainen määritys.
Anti-Spyware poikkeuksien määritys
Määritä jätetäänkö joku uhka tutkimatta. Tämä on profiilikohtainen määritys. Uhkat löytyvät osoitteesta https://threatvault.paloaltonetworks.com/.
Toiminnan määritys poikkeaville sovelluksille (Action)
Määritä toiminta, jos havaitaan uhka jota ei huomioida. Vaihtoehdot ovat: Alert, block(oletus), allow.
Tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki Anti-Spyware profiili tilauksesta
Profiilin nimi: Anti-Spyware
Säännön nimi: Critical-low
Tutkittavat uhkat: Any(kaikki)
Tutkittavat kategoriat: Any (kaikki)
Vakavuustaso: Critical, high, medium, low
Toiminta tutkittaville vakavuustasoille: Block
Paketin tutkiminen: Kyllä
DNS kyselyn esto haittaohjelma domaneihin: Kyllä
DNS paketin tutkiminen: Kyllä
Poikkeavan uhkan määritys: -
poikkeavan uhkan toiminta: -
7.5 Anti-Spyware profiilin muutostilaus
Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Profiilin nimi: Anti-Spyware
Säännön nimi: Critical-medium
Tutkittavat uhkat: Any(kaikki)
Tutkittavat kategoriat: Any (kaikki)
Vakavuustaso: Critical, high, medium
Toiminta tutkittaville vakavuustasoille: Block
Paketin tutkiminen: Kyllä
DNS kyselyn esto haittaohjelma domaneihin: Kyllä
DNS paketin tutkiminen: Kyllä
Poikkeavan uhkan määritys: -
Poikkeavan uhkan toiminta: -
Muutettava asia: Muuttakaa säännön nimi Critical-medium ja vakavuustasot Critical, high ja medium
7.6 Anti-Spyware profiilin poistotilaus
Määritä mille säännölle poistotilaus tehdään.
Esimerkki poistotilauksesta:
Poistettava profiili: Anti-Spyware
Palaa muutoskohteet valintaan.
7.7 Antivirus/Anti-spyware käyttäjäviestin tilaus
Mahdollisista virus havainnoista ilmoitetaan käyttäjälle käyttäjäviestillä.
Kuva. Virustorjunta lataus estetty.
Viestin nimi
Määritä viestille annettava nimi.
Viestin sisältö
Määritä viestin sisältö. Viestin sisällössä voidaan kertoa tiedoston nimi jota yritetään ladata.
Säännön tallennus ja tilauksen lähetys toteutukseen
Kun olet tehnyt määritykset valitse "Lähetä tilaus" valinta tai voit lisätä uusia muutoksia valitsemalla "Lisää muutos". Kun kaikki tarvittavat määritykset on tehty, niin paina "Lähetä tilaus" valintaa jolloin tilaus lähtee Soneralle toteutettavaksi.
Esimerkki käyttäjäviesti tilauksesta
Viestin nimi: Antivirus block viesti
Viestin sisältö: Download of the virus has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.
7.8 Antivirus/Anti-spyware käyttäjäviestin muutostilaus
Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.
Esimerkki käyttäjäviestin muutostilauksesta
Viestin nimi: Antivirus block viesti
Viestin sisältö: Download of the virus has been blocked in accordance with company policy. Please contact your system administrator if you believe this is in error.
Muutettava asia: Muuttakaa käyttäjäviestin logo. Logo tilauksen liitetiedostossa
7.9 Antivirus/Anti-spyware käyttäjäviestin poistotilaus
Määritä mille käyttäjäviestille poisto tehdään.
Esimerkki käyttäjäviestin poistotilauksesta
Poistettavan viestin nimi: Antivirus block viesti
Palaa muutoskohteet valintaan.
8 Tunkeutumisen esto
Tunkeutumisen esto -toiminnallisuuden avulla havaitaan liikennöivistä yhteyksistä mahdolliset tunkeutumis- ja hyökkäys yritykset kuten mm. verkkomatoja, troijalaisia, käyttötietoja luvattomasti lähettävät sovellukset sekä kohdistettuja hyökkäyksiä haavoittuvia sovelluksia kohtaan.
Tunkeutumisen esto tilauksella voi tilata uusia, muutoksia tai poistoja tarkistus profiileihin.
8.1 Tunkeutumisen esto profiilin tilaus
Alla kuva profiili tarkistuksesta ja kuvaukset mitä määrityksiä kenttiin voidaan tehdä.
Kuva. Tunkeutumisen esto profiili.
Profiilin nimen määritys (Name)
Määritä profiilin nimi. Profiilin nimeä käytetään politiikan profiili määrityksessä. Profiilissa voi olla useita sääntöjä
Säännön nimen määritys (Rule Name)
Määritä säännölle nimi.
Tutkittavien uhkien nimen määritys (Threat Name)
Määritä uhkan nimi, joka tarkastetaan. Oletuksena tarkastetaan kaikki (any). Uhkat on lueteltuna osoitteessa https://threatvault.paloaltonetworks.com/. Huom. tämä on rule name kohtainen määritys.
Tutkittavan laitetyypin määritys (Host Type)
Määritä tarkistetaanko liikenne päätelaitteisiin, palvelimiin vai molempiin. Huom. tämä on rule name kohtainen määritys.
Vakavuustason määritys (Severity)
Määritä minkä vakavuustason liikenne tutkitaan. Vaihtoehtoja ovat: Any, critical, high, medium, low, informational. Huom. tämä on rule name kohtainen määritys.
Tutkittavan vakavuustason toiminnan määritys (Action)
Määritä mitä tehdään tutkittavan vakavuustason liikenteelle. Vaihtoehtoja ovat: Alert, Block(oletus), Allow. Huom. tämä on rule name kohtainen määritys.
Paketin tutkimisen määritys (Packet Capture)
Määritä tutkitaanko sääntöön osuvia paketteja. Vaihtoehdot ovat:
Kyllä tai ei. Huom. tämä on rule name kohtainen määritys.
Esimerkki Tunkeutumisen esto profiilin tilauksesta
Profiilin nimi: Tunkeutumisen esto
Säännön nimi: Critical-low
Tutkittavat uhkat: Any (kaikki)
Tutkittava laitetyyppi: Client ja server
Vakavuustaso: Critical, high, medium, low
Vakavuustason toiminta: Block
Paketin tutkiminen: Kyllä
8.2 Tunkeutumisen esto profiilin muutostilaus
Määritä mihin profiiliin muutos tehdään ja mitä muutos koskee.
Esimerkki muutostilauksesta
Profiilin nimi: Tunkeutumisen esto
Säännön nimi: Critical-medium
Tutkittavat uhkat: Any (kaikki)
Tutkittava laitetyyppi: Client ja server
Vakavuustaso: Critical, high, medium
Vakavuustason toiminta: Block
Paketin tutkiminen: Kyllä
Muutettava asia: Muuttakaa vakavuustason tarkistuksen määritys. Säännön nimi Critical-medium, vakavuustasosta pois low.
8.3 Tunkeutumisen esto profiilin poistotilaus
Määritä mille profiilille poistotilaus tehdään.
Esimerkki poistotilauksesta:
Poistettava profiili: Tunkeutumisen esto
Palaa muutoskohteet valintaan.
9 Käyttäjätunnistus
Toiminnallisuus mahdollistaa käyttäjien, käyttäjäryhmien ja koneiden tunnistamisen sekä pääsyn rajoittamisen ja tietoturvapolitiikan toteuttamisen identiteetin tai käyttäjäryhmän perusteella. Käyttöönotto vaatii järjestelmän integrointia asiakkaan käyttäjähakemistoon. Käyttäjähakemiston ylläpito ja hallinta on asiakkaan vastuulla.
Käyttäjätunnistus tilauksella voidaan tilata muutoksia käyttäjähakemiston domain kontrollereiden IP-osoitteisiin, domain nimeen tai service accountin tunnuksen (nimi, salasana) muutoksiin.
Käyttäjätunnistus toiminnallisuuteen liittyvässä tilauksessa asiantuntija on tarvittaessa yhteydessä ennen tilauksen toteutusta.
Esimerkki käyttäjätunnistus toiminnallisuuteen tehtävästä muutoksesta:
Muutetaan Secondary AD:n IP-osoite 10.10.10.10 osoitteeksi 10.10.10.11, Domain Admin salasana pysyy ennallaan.
Palaa muutoskohteet valintaan.
10 Käyttöoikeuksien tilaus
Käyttöoikeus tilauksella voidaan tilata asiakkaan hallinnollisille henkilöille oikeuksia palvelun keskitettyyn hallintaan, jolla pääsee tarkastelemaan palveluiden sääntöjä ja muita konfiguraatio tietoja sekä lokitietoja. Tunnukset tehdään SurfManager Yritystietoturva palvelun käyttäjille tilausten mukaan.
Tilauksessa tarvittavia tietoja ovat käyttäjätunnus sekä julkinen IP-osoite, josta käyttäjän yhteys avataan. Salasana ja kännykkänumero SMS tunnistusta varten ovat samat kuin SurfManagerissa. Käyttäjätunnuksella tulee olla SurfManagerissa pääsy tietoturvaraportointinäkymään.
Työkalujen toimivuus vaatii, että yhteys hallintapalvelimiin on avattu asiakkaan omassa palomuurissa. Palomuuri avausta ei tehdä, jos ei sitä erikseen pyydetä muutospyynnössä. Suosituksena on myös, että asiakas tekee osoitteenmuunnoksen omassa palomuurissaan siten, että kaikkien käyttäjien yhteydet näkyvät yhden NAT-osoitteen takaa. Jos NAT-osoite myöhemmin muuttuu, siitä tehdään käyttöoikeuksien muutostilaus, jossa kerrotaan uusi osoite.
Valmistajakohtaiset työkalut ja käyttöohjeet ovat ladattavissa osoitteesta https://partnergate.sonera.com/yritystietoturva.html.
Esimerkki käyttöoikeuksiin tehtävästä muutoksesta:
Käyttäjälle abc12345 luodaan tunnukset clienttia varten. IP-osoite, mistä käyttäjä tulee on 1.1.1.1. Salasana lähetetään erikseen SMS:llä kun tilaus toteutettu.
Palaa muutoskohteet valintaan.
11 Asiantuntijatyö
Asiantuntijatyö tilauksella voidaan tilata etänä tehtävä palveluun kohdistuva asiantuntijatyö.
Työn toimituskelpoisuus ja aikataulu vahvistetaan erikseen. Mahdollisia asiantuntijatöinä toimitettavat työt ovat mm. palomuuriin liittyvät raportit, tiedon keruu ja selvityspyyntö.
Esimerkki asiantuntijatyöstä
Selvittäkää mitä sääntöjä ei ole käytetty viimeisen 2kk aikana. Nämä tulisi disabloida ja poistaa hyväksynnän jälkeen.
Palaa muutoskohteet valintaan.
12 Varallaolo/Päivystys
Varallaolo/Päivystys tilauksella voi tilata tuotantohenkilön varallaoloa tai päivystystä varten.
Varallaolo tarkoittaa asiantuntijan varaamista sovittuun ajanhetkeen siltä varalta, että esimerkiksi jonkin verkkomuutoksen aikana tarvitaankin asiantuntijaa tekemään avauksia palomuuriin.
Mahdollinen varallaolon aikana tehty työ laskutetaan asiantuntijatyön mukaan. Varallaolotilaus tilataan vähintään kahta työpäivää aikaisemmin, Huom. toimitusaika tilaukselle pitää olla "ajastettu". Sonera vahvistaa varallaolon erikseen asiantuntijan yhteystietoineen. Kirjaa palvelupyyntö -kenttään päivämäärät ja kellon ajat, jolloin varallaoloa tarvitaan sekä syy miksi varallaoloa tarvitaan.
Esimerkki varallaolo tilauksesta
Tarvitsemme asiantuntijaa varalle tämän viikon lauantaille klo 12-16. Verkossa tehdään reititysmuutoksia, jotka saattavat koskettaa palomuuria.
Palaa muutoskohteet valintaan.
13 Raportointi ja lokit
Raportointi tilauksella voidaan tilata tarkempia raportteja tietoturva palveluista läpimenneestä liikenteestä. Tilauksella voi myös muuttaa olemassa olevan raportoinnin määrityksiä, kuten raportointi aikaväliä.
Esimerkki raportointi tilauksesta
Toimittakaa osoitteen 10.10.10.10 liikennöinnistä raportti viimeisen viikon ajalta.
Palaa muutoskohteet valintaan.
14 Muu konfiguraatiomuutos
Muu konfiguraatiomuutoksella voidaan tilata pieniä muutoksia tietoturvalaitteeseen. Esimerkiksi tietoturvalaitteen liityntöjen asetuksiin.
Palaa muutoskohteet valintaan.