3.1 Mikä on palomuuri ?

Palomuuri (firewall) on kaiken kaikkiaan tärkein tapa suojautua verkon tunkeilijoita vastaan. Palomuuri on portsari tai portinvartija, jonka pitäisi tavalla tai toisella tietää kenet saa päästää sisään ja ketä ei. Palomuurit ovat joko ohjelmistolla tai laitteistolla toteutettuja järjestelmiä, jotka suojaavat esimerkiksi yrityksen sisäverkkoa ulkoverkosta tulevilta hyökkäyksiltä. Palomuurin toiminnan perusedellytyksenä on, että kaikki verkkoliikenne sisä- ja ulkoverkon välillä kulkee sen läpi ja että palomuuri päästää lävitseen vain halutunkaltaisen verkkoliikenteen. Tämän lisäksi palomuurin täytyy olla immuuni verkkohyökkäyksille. Tämä tarkoittaa mm. sitä, että palomuurin alustana tulee olla turvallinen käyttöjärjestelmä ja käyttöjärjestelmää on päivitettävä jatkuvasti.

Palomuuri sijaitsee pääsääntöisesti organisaation oman lähiverkon (LAN) ja julkisen tietoverkon (Internet) välissä. Palomuurin tehtävä on analysoida verkkoliikennettä ja suorittaa verkon sisälle pyrkiville datapaketeille turvatarkastuksia.

Itse palomuuritoteutuksia on monenlaisia (vrt. myöhemmin kohta 3.2.). Useimmissa tapauksissa palomuuri muodostaa puolustuksen uloimman linjan eli se on kuin keskiaikaisen linnoituksen valli, joka pyrkii torjumaan ulkopuoliset hyökkäykset. Palomuuri ei suojele pelkästään ulkoa sisäverkkoon päin tulevaa liikennettä, vaan sen avulla voidaan tarvittaessa rajoittaa tai tarkastaa myös sisäverkosta ulospäin menevää liikennettä.

Palomuureja on käytetty jo vuosi ja ne ovat useimpien yritysten tietoturvajärjestelyjen tukipylväitä. Vaikka palomuurit ovatkin tärkeitä, on turha uskoa, että palomuuri täyttää yrityksen kaikki tietoturvatarpeet: palomuurit eivät ole missään nimessä ehdottoman varmoja laitteita!

On jälleen syytä korostaa, ettei palomuuri voi koskaan ratkaista yrityksen sisäverkossa tapahtuvia tahallisia tai tahattomia tietoturvauhkia, kuten työntekijöiden tietämättömyyttä, välinpitämättömyyttä tai "lörpöttelyä". Tämän vuoksi palomuuri on aina ymmärrettävä vain palaseksi yrityksen tietoturvassa (vrt. luku 6.)

Palomuuriksi voidaan ymmärtää mikä tahansa laite tai ohjelma, mitä käytetään verkkotason pääsynvalvonnassa. Useimmissa tapauksissa pyritään estämään ulkopuolisten pääsy sisäiseen verkkoon. Palomuureilla voidaan kuitenkin luoda myös sisäisiin verkkoihin turvallisia "taskuja" luottamuksellisia toimintoja kuten palkanlaskentaa varten. Palomuurien käyttö ei siis rajoitu pelkästään verkon ulkoreunaan.

Kokonaisuudessaan palomuurilaitteiden hankintaa erilaisille kohderyhmille voidaan luonnehtia seuraavasti:

a) Pienet yritykset ja kodit

Kotien ja pienten yritysten verkon suojaamiseen löytyy kelvollinen laite alkeellisin palomuuriominaisuuksin paikalliselta kauppiaalta ja jokaisesta internet-myymälästä. Muutaman sadan euron laitteet pystyvät periaatteessa suojaamaan vielä parin sadan laitteen verkon kohtuullisella yhden tai kahden megabitin liittymällä. Näitä muureja voi käyttää vain silloin kun yrityksen verkosta ei tarjota käyttöön palveluita internetin kautta, ei tarvita vpn-yhteyksiä oman verkon sisälle, ja säännöt on tarkoitus pitää muuttumattomina sekä hyvin sallivina. Todellisissa ympäristöissä tällaisia laitteita tapaa taajaan kodeissa, kotitoimistoissa ja muutaman kymmenen mikron verkoissa.

Alla esimerkki D-Linkin mallistosta.

Laite on varsinaisesti laajakaistayhteyteen asennettava reititin mm. kotikäyttöön. Laite sisältää mm. NAT-palomuurin, jonka avulla kodin sisäverkon koneet saadaan Internetistä katsottuna "piiloon". Laitteen hinta on noin 40-50 €.


Alla olevassa laitteessa on enemmän ominaisuuksia ja sillä päästään jo astetta monipuolisimpiin suojauksiin. Laitteen hinta on noin 500 €.

b) Keskikokoiset yritykset

Aktiivisesti internetiä hyödyntävällä yrityksellä on usein ainakin yksi oma palvelu tai palvelin, jolle halutaan pääsy internetistä. Sähköpostin ja muiden perinteisten internet-palveluiden jälkeen kaivataan usein pääsyä omalle Notes- tai Exchange-palvelimelle internetistä Notes- tai Outlook-työasemaohjelmalla.

Sisäisiksi tarkoitettujen palveluiden julkaiseminen suojaamattomina internetissä ei vastaa nykyistä käsitystä turvallisesta tai hallitusta ympäristöstä, ja saattaapa sovellus heittäytyä palveluntarjoajan asetusten takia toimimattomaksikin. Tyypillisin ja testatuin turvallinen tapa sisäisten palveluiden etäkäyttöön on vpn-yhteys etäkäyttäjille. Perinteisistä soittosarjoista on pitkälti luovuttu. Etäkäyttäjien vpn-yhteyksien kokonaisuuden hallinta pakottaa satsaamaan palomuuri-vpn-laitteen hintaan ainakin nelinumeroisen summan. Tarvittujen ja toivottujen lisäominaisuuksien mukaan laitteen ja ohjelmalisenssien hinnat riippuvat sekä laitteiden että etäkäyttäjien määrästä.

Ohessa esimerkki D-linkin mallistosta. Laitteen hinta on noin 500 €.



c) Suuret yritykset

Tuhansien työasemien ja kymmenien tai satojen palvelinten yritysverkoissa palomuurit on asennettu verkon reunalle jo internet-yhteyden asennuksen aikaan. Vuosien varrella muureja on saatettu vaihtaa nopeampiin tai suurempaa liityntämäärää tukeviin.

Verkon ulkoreunalla muurit kuuluvat kalustoon siinä, missä kulunvalvonta oville ja työaikapäätteet auloihin. Monessa suuressa verkossa on viimeisten vuosien aikana herätetty ajatusta sisäisten palomuurien tarpeellisuudesta. Sisäisten palomuurien tarve perustuu tarpeeseen tietää, mitä verkossa on tapahtunut ja haluun hallita liikennettä monipolvisissa kumppani- ja palveluverkoissa. Kaikkein tiukimpien ajatusmallien mukaan jokainen palvelin pitää erottaa omaan liityntäänsä palomuurissa. Useiden palvelinkeskusten sekä satojen palvelinten ympäristöissä kaiken liikenteen ohjaaminen, rajoittaminen ja valvominen vaatii paljon suunnittelua, kalliit laitteet ja tuottaa melkoisesti työtä ylläpidolle.

Suurten yritysten ratkaisut ovat usein varsin monimutkaisia sisältäen tarpeen mukaan monentasoisia palomuureja. Näistä tuotteista on kerrottu tarkemmin kuvussa 3.3. Palomuurituotteita.


Palomuurien luonne

Kaiken kaikkiaan palomuurit on suunniteltu valvontapisteiksi, joiden kautta verkkoon saapuva ja verkosta lähtevä liikenne kulkee. Ne joutuvat jatkuvasti arvioimaan saapuvia yhteyspyyntöjä. Palomuurit päättelevät erilaisten sääntöjoukkojen perusteella sallitaanko verkkoliikenne vai ei. Vain sallitut yhteyspyynnöt käsitellään, muut yhteyspyynnöt pysäytetään.

Useimmat toteuttavat yhteyspyyntöjen käsittelyn lähde- ja kohdeosoitteiden sekä porttinumeroiden seulonnalla. Jos et esimerkiksi halua palvelimen www.okol.osakk.fi:n ottavan yhteyttä FTP-palvelimeen (FTP:llä), voidaan pääsy estää torjumalla yhteyspyynnöt osoitteesta 193.65.248.184 (= em. mainitun OKOL:n www-palvelimen IP-osoite) FTP-palvelimen osoitteeseen, esim. ftp.yritys.com, ja siellä porttiin 21. www.okol.osakk.fi:n väli näkee omassa päässään viestin: Yhteys estetty (palvelimeen ftp.yritys.com) tai jotain vastaa ilmoitusta. On myös mahdollista, että palomuurin estämälle yhteydelle ei anneta mitään selitystä.

Palomuurit voivat analysoida erilaisten protokollien mukana sisään tulevia paketteja ja suorittaa analyysin perusteella erilaisia toimenpiteitä. Palomuurit suorittavat eräänlaisia ehtolauseita: "Jos vastaan tulee tämän tyyppinen paketti, teen tämän toimenpiteen". Jotta palomuurille voitaisiin asettaa päteviä protokollatasoisia ehtoja, palomuurin konfaajalla tulee olla hyvät tiedot verkossa käytetyistä protokollista ja niiden toiminnasta (tänä päivänä erityisesti TCP/IP-protokollaperheen toiminnasta).

Kaikki edellä mainittuja palomuurin sisältämiä ehdollisia rakenteita kutsutaan säännöiksi. Oletetaan, että yrityksellä on esimerkiksi osastot Myynti ja Hallinto. Palomuuriin voidaan tehdä esimerkiksi sääntö, jonka mukaan Myynti-osastolla ei ole yrityksen FTP-palvelimen käyttöoikeutta eli kaikki sieltä tulevat yhteyspyynnöt evätään.

Tietyllä tavalla palomuureilla ja verkoilla on samanlainen suhde kuin käyttäjien oikeuksilla ja käyttöjärjestelmällä. Lähiverkkopalvelimeen (esim. Windows 2000 Server) voidaan määrittää mitä tiedostoa tai hakemistoa käyttäjät voivat käyttää. Palomuureilla voidaan soveltaa samanlaista käytönvalvontaa verkossa oleviin työasemiin ja www-palvelimiin.


Palomuurien ominaisuuksia

Ennen varsinaista palomuuritekniikoiden esittelyä (kohta 3.2) tutustumme palomuurin perusominaisuuksiin. Eli siihen, mitä kaikkea palomuuri voi tehdä.

Ensialkuun on syytä huomauttaa, että palomuurin konfiguroiminen ja palomuuritekniikan ymmärtäminen vaatii hyvät tiedot ja taidot verkkotekniikasta ja erilaiset verkkoprotokollien toiminnasta (tällä hetkellä erityisesti TCP/IP:n toiminnasta). TCP/IP on protokollaperhe (sisältää satoja protokollia), joka on Internetin ja useimmiten myös lähiverkon perustana. Protokolla tarkoittaa puolestaan yhteistä kieltä, jota verkon laitteiden ja ohjelmien on tuettava, jotta ne voisivat ymmärtää toisiaan.

Toinen verkkoliikenteen ymmärtämistä helpottava asia on OSI-mallin ymmärtäminen. OSI-malli on eräänlainen referenssimalli siitä, miten verkko toimii ja miten data liikkuu kerroksesta kerrokseen ja mitä kussakin kerroksessa tapahtuu. OSI-mallin ja TCP/IP käsitteleminen ei kuulu tämän kurssin sisältöön, mutta jos olet asiasta kiinnostunut, niin tutustu asiaan alla olevasta linkistä. 

TCP/IP:sta ja OSI-mallista saat perustietoa mm. täältä.

Tieto kulkee verkoissa ns. paketteina. Yksinkertaisimmillaan palomuuri tutkii ainoastaan IP-pakettien lähtö- ja kohdeosoitteet sekä porttinumeron. Palomuuri ohjelmoidaan erilaisilla säännöillä (rules), joissa kuvataan mitkä portit ja osoitteet ovat missäkin tilanteessa sallittuja. Ne paketit, jotka eivät täsmää yhteenkään sääntöön, hylätään (drop). Tällaista peruspalomuuria kutsutaan pakettisuotimeksi (packer filter).

Palomuurisäännöt ovat hierarkkisia. Aluksi kielletään (deny) kaikki liikenne molempiin suuntiin, sen jälkeen palomuuriin avataan aukkoja (allow) yksi kerrallaan, kertomalla mitkä protokollat ja mitkä alueet osoiteavaruudessa ovat sallittuja liikenteelle. Sääntöjen hierarkkisuus edellyttää huolellista määrittelyä, jotta tavoiteltu merkitys ja ajatus säilyvät.

Palomuuriin voidaan esimerkiksi määritellä, että yrityksen www-palvelimelle sallitaan sisäänpäin tuleva liikenne mistä tahansa IP-osoitteesta, mutta vain porttiin 80 (mikä on julkisten www-palvelujen sovittu portti). Vastaavasti sähköpostipalvelimen voidaan sallia ottaa vastaan liikennettä porttiin 25 mistä tahansa osoitteesta. Muillakin Internetin protokollilla (http, ftp, ssh, telnet...) on omat oletusporttinsa, joiden kautta liikennöinti normaalitapauksissa tapahtuu.

Esimerkiksi peruskäyttäjän työasemilta sallitaan liikenne ulospäin vain www-selailussa tarvittavan 80-portin kautta. Sen sijaan palomuurin konfiguroinnista vastaava mikrotukihenkilö voi avata itselleen portin 119, jonka kautta hän pääsee Internetin news-palveluihin.


Luettelo palomuurien ominaisuuksista

Palomuurien viime vuosina kehittyneitä ominaisuuksia ovat mm. seuraavat asiat:

 

Monissa palomuureissa on mukana VPN-tuki. Tässä tapauksessa organisaation  eri toimipisteet voidaan yhdistää turvallisesti toisiinsa Internetin yli. VPN salaa dataliikenteen ja lähettää sen organisaation toiselle palomuurille purettavaksi. Työntekijät voivat käyttää eri toimipisteiden lähiverkkojen resursseja aivan kuin kyseessä olisi yksi, yhtenäinen lähiverkko.

VPN-tuki tarvitaan myös silloin, jos työntekijä haluaa kotoa tai matkalta ottaa yhteyden sisäverkon palvelimiin. Yhteys kulkee salattuna työntekijän mikrosta palomuurille asti, jossa se puretaan ja muutetaan tavalliseksi lähiverkkoyhteydeksi.

Verkkotasolla toimivat tunkeutumisen havaitsemisjärjestelmät  tutkivat verkkoliikennettä ja sen ominaisuuksia. IDS-järjestelmien tarkoituksena on havaita mahdolliset tunkeutumisyritykset ja toimia ennalta määriteltyjen ohjeiden mukaisesti, jotta vältettäisiin vahinkojen syntyminen. Jos tunkeutuminen havaitaan riittävän nopeasti, hyökkääjä voidaan tunnistaa ja poistaa järjestelmästä välittömästi. Yleisesti voidaan sanoa, että mitä aiemmin hyökkäys todetaan, sitä vähemmän tuhoa siitä aiheutuu. Toimiva tunkeutumisen havaitsemisjärjestelmä voi myös toimia pelotteena, näin toimien tunkeutumisen estojärjestelmänä (kuten palomuuri). IDS-järjestelmät mahdollistavat myös tiedon keräämisen hyökkäystekniikoista, jota tietoa voidaan käyttää kehitettäessä entistä tehokkaampia tunkeutumisen eston menetelmiä.

Tunkeutumisen havaitseminen perustuu oletukseen, että tunkeutujan käytös poikkeaa normaalin käyttäjän toimista. Ei voida kuitenkaan olettaa, että ero normaalin käyttäjän, ylläpitäjän ja tunkeutujan käytöksessä olisi suuri. Laaja tulkinta johtaa useampien tunkeutujien kiinni saamiseen, mutta myös useampiin vääriin hälytyksiin. Vastaavasti tiukka tulkinta johtaa pienempään määrään virhehälytyksiä, mutta samalla myös siihen, että useampi tunkeutuja jää huomaamatta.

Kaksi käytetyintä tunkeutujan havaitsemistapaa ovat tilastollinen ja sääntöpohjainen havaitseminen. Tilastolliseen havaitsemiseen tarvitaan tietokanta, johon on tallennettu otos normaalin käyttäjän käytöksestä. Vierailijan käytöstä verrataan tilastollisin testein tähän tietokantaan, josta voidaan päätellä onko kyseessä tunkeutuja vai tavallinen käyttäjä. Sääntöpohjainen havaitseminen perustuu puolestaan joukkoon ennalta määriteltyjä sääntöjä, joilla yritetään tunnistaa, onko kyseessä tunkeutujan käytös.

Protokollasuodattamiseen perustuva palomuuri on kuitenkin alttiina häiriköinneille ja väärennöksille. Kehittynyt palomuuri tarkkailee myös pakettien sisältöä ja keskinäistä järjestystä. Se analysoi, missä tilassa kukin aktiivinen TCP-yhteys (istunto) on ja hyväksyy vain loogisesti oikeat paketit. Tutkimalla liikennöinnin tilaa voidaan torjua palvelunestohyökkäyksiä (DoS) ja yritykset väärentää ulkopuolisen koneen IP-osoite kuulumaan sisäverkkoon sekä saada hälytys porttiskannauksesta. Näihin ominaisuuksiin koskevaa palomuuria kutsutaan tilalliseksi (stateful inspection) eli dynaamiseksi porttisuodattimeksi.

Kehittyneemmissä palomuureissa on sisä- ja ulkoverkon välissä ns. harmaa alue, demilitarisoitu vyöhyke (demilitazed zone, DMZ). Siihen sijoitetaan yrityksen julkiset palvelimet, kuten www- ja sähköpostipalvelimet. Ne kaipaavat suojaa, mutta niiden pitää silti näkyä verkkoon itsenäisinä laitteina ja osoitteina. Omassa verkkosegmentissään olevat palvelimet on helppo hallita eikä niiden suojelemiseen tarvita kovinkaan mutkikkaita sääntöjä.


Palomuurien lisätoimintoja

Palomuurien alkuperäinen tarkoitus oli toimia OSI-mallin verkko- ja kuljetuskerroksilla ottamatta kantaa siihen mitä sen välittämä dataliikenne merkitsee. Sittemmin palomuureihin on lisätty toimintoja, jotka tutkivat myös siirrettyä dataa ja sen merkitystä.

Ohessa muutamia tällaisiä lisäyksiä:

Loki, hälytykset ja konfigurointi

Palomuuri pitää lokia tapahtumista, mikä auttaa jäljittämään tunkeutumisyritysten tekijöitä. Jos tunkeutumisyritys on riittävän vakava, palomuuri voi lähettää siitä viestin äänimerkillä, sähköpostilla tai tekstiviestillä.

Kuten jo aiemmin määrittelimme, palomuuri on laitteiston ja ohjelmiston yhdistelmä, jota käytetään kahden tai useamman verkon välistä liikennettä koskevien tietoturvapolitiikkojen toteuttamiseen. Osa verkoista voi olla yrityksen hallussa (esim. yrityksen sisäverkko, LAN) ja osa julkista verkkoa (esim. Internet). Palomuurilla torjutaan sekä sisäverkon ulkopuolisia uhkia että sisäverkon sisäisiä uhkia. Jotta palomuuri toimisi järkevästi ja tehokkaasti, sen tulee olla osa yrityksen tietoturvapolitiikkaa (vrt. luku 6).

Palomuureja on monenlaisia. Kaikkein vakavimmassa mielessä palomuurin pitäisi vastata mm. seuraavista asioista:

Palomuurin käyttöönotto on nelivaiheinen prosessi:

Jos homma ei ota toimiakseen, konfigurointiin on hankittava joko koulutusta tai ulkopuolista. Monille yrityksille järkevin ratkaisu voi olla koko tietoturvan ulkoistaminen alan yritykselle.

 

 

 

 

 

Mitä kaikesta edellä mainitusta voimme sitten päätellä? Palomuureille luodaan jatkuvasti uusia monimutkaisempia tehtäviä, joten näiden kaikkien ominaisuuksien hallinta yhdellä laitteella voi kuulostaa houkuttelevalta ratkaisulta. Käytännössä palomuurien kanssa pelaaminen on enemmän tai vähemmän kompromissien hakemista. Yksi mahdollisuus on käyttää useiden eri valmistajien tuotteita; toisaalta verkkoylläpidon maailmassa on tärkeä KISS-periaate (Keep It Simple, Stupid), jonka mukaan lukuisilla ominaisuuksilla paisutettu tuote ei ole ehkä sittenkään turvallisuuden kannalta viisain valinta.

Palomuurit eivät myöskään suojaa kaikilta hyökkäyksiltä. Hyökkääjä voi esimerkiksi käyttää hyväkseen palomuurin sallimassa palvelussa (esim. www-palvelin) olevaa tietoturva-aukkoa. Palomuuri ei myöskään anna suojaa sellaisia hyökkäyksiä vastaan,  joissa palomuuri kierretään tai ohitetaan. Esimerkkinä tällaisesta hyökkäyksestä on huonosti toteutetun modeemisoittosarjan hyväksikäyttö. Palomuuri ei myöskään estä haittaohjelmien, kuten virusten, siirtymistä ulkoverkosta sisäverkkoon tai toisinpäin. Palomuurit eivät normaalisti suojaa sisäverkosta päin johdettuja hyökkäyksiä, jolloin "hakkeroijina" voivat olla työntekijät, satunnaiset vierailijat tai organisaation/yrityksen tiloihin murtautuneet ihmiset. Palomuurit eivät suojaa myöskään lörpöttelijöitä vastaan, jotka kertovat salassa pidettäviä asioita puhelimessa tai muussa keskustelussa.