Cybergame firewall design and implementation
Hakkarainen, Asko (2017)
Hakkarainen, Asko
Kaakkois-Suomen ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201705168390
https://urn.fi/URN:NBN:fi:amk-201705168390
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli suunnitella ja rakentaa toimiva, redundanttinen (kahdennettu) "North-South-palomuurijärjestelmä" Cybergame-projektiin, joka on Kymenlaakson ammattikorkeakoulun hanke. Palomuurijärjestelmän on tarkoitus reitittää ja rajoittaa Cybergamen sisäistä liikennettä eri virtuaalisten lähiverkkojen välillä.
Työ keskittyi lähes kokonaan palomuurijärjestelmään, joka sisältää kaksi kappaletta Ciscon ASA 5515-X -sarjan laitteita. Muutamaa virtuaalista TinyCore Linux -konetta käytettiin virtuaalisten lähiverkkojen (VLAN) välisen liikenteen testaamiseen.
Työssä käytettiin ASA 5515-X -laitteiden tukemaa Multiple context modea, jonka avulla kyseisen fyysisen palomuurin voi jakaa useaksi virtuaaliseksi palomuuriksi, kontekstiksi. Konteksteja työssä on kaksi kappaletta, jotka erittelevät virtuaaliset lähiverkot toisistaan. Kahdentamista varten työssä käytettiin kahta failover-tekniikkaa: stateless ja stateful. Sisäistä liikennettä rajoitetaan pääsylistoilla, jotka tällä hetkellä sallivat kaiken IP-liikenteen.
Työ oli onnistunut siihen pisteeseen, mihin tällä hetkellä pystyi. Cybergame ei ole valmis, joten pelin sisäistä liikennettä ei voida seurata eikä voida tutkia, millaista liikennettä pitää sallia pääsylistoilla. Työssä käydään kuitenkin läpi, kuinka liikenteen monitoroinnin tulisi tapahtua. Palomuurijärjestelmän kahdennus testattiin lähettämällä jatkuva ICMP-ping työasemalta, minkä aikana aktiivinen palomuuri käynnistettiin uudelleen. Tällä tavalla huomattiin, että kahdennus toimii, sillä toinen laite vastasi ping-kyselyyn muutaman sekunnin jälkeen. Kahdennuksen toimivuuden voi testata myöhemmin suuremmalla liikennemäärällä, kunhan Cybergame on valmis.
Työ keskittyi lähes kokonaan palomuurijärjestelmään, joka sisältää kaksi kappaletta Ciscon ASA 5515-X -sarjan laitteita. Muutamaa virtuaalista TinyCore Linux -konetta käytettiin virtuaalisten lähiverkkojen (VLAN) välisen liikenteen testaamiseen.
Työssä käytettiin ASA 5515-X -laitteiden tukemaa Multiple context modea, jonka avulla kyseisen fyysisen palomuurin voi jakaa useaksi virtuaaliseksi palomuuriksi, kontekstiksi. Konteksteja työssä on kaksi kappaletta, jotka erittelevät virtuaaliset lähiverkot toisistaan. Kahdentamista varten työssä käytettiin kahta failover-tekniikkaa: stateless ja stateful. Sisäistä liikennettä rajoitetaan pääsylistoilla, jotka tällä hetkellä sallivat kaiken IP-liikenteen.
Työ oli onnistunut siihen pisteeseen, mihin tällä hetkellä pystyi. Cybergame ei ole valmis, joten pelin sisäistä liikennettä ei voida seurata eikä voida tutkia, millaista liikennettä pitää sallia pääsylistoilla. Työssä käydään kuitenkin läpi, kuinka liikenteen monitoroinnin tulisi tapahtua. Palomuurijärjestelmän kahdennus testattiin lähettämällä jatkuva ICMP-ping työasemalta, minkä aikana aktiivinen palomuuri käynnistettiin uudelleen. Tällä tavalla huomattiin, että kahdennus toimii, sillä toinen laite vastasi ping-kyselyyn muutaman sekunnin jälkeen. Kahdennuksen toimivuuden voi testata myöhemmin suuremmalla liikennemäärällä, kunhan Cybergame on valmis.