Palomuuri
Wikipedia
Tietoverkoissa palomuuri (englanniksi firewall) on eristävä moniosainen järjestelmä, joka suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä.
Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisääntulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivät oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla mm. tietosuojan turvaamiseksi.
Kokonaisvaltainen palomuurijärjestelmä koostuu useimmiten kahdenlaisista komponenteista:
- Pakettisuodatin
- Yhdyskäytävä
Palomuuri saattaa vastaanottaa ohjeita tunkeilijan havaitsemisjärjestelmältä estettävästä liikenteestä.
[muokkaa] Palomuurit käytännössä
Useimmiten palomuureja on isommissa yritysverkoissa useampia. Palomuurien perusongelma on, että niiden läpi hyökännyttä murtautujaa ei voida enää estää tekemästä tuhojaan. Niinpä yrityksillä on eteisverkko eli demilitarisoitu alue (demilitarized zone, DMZ), joka sijaitsee luotetun sisäverkon ja Internetin välissä. Internetin ja eteisverkon sekä eteisverkon ja sisäverkon välissä on palomuurit. Eteisverkkoon sijoitetaan kaikki julkiset palvelimet. Vaikka krakkeri pääsisi siis murtautumaan kyseisille palvelimille, olisi hänellä vielä toinen palomuuri edessään ennen sisäverkkoa.
Tosiasiassa nykyiset palomuurilaitteet osaavat toteuttaa jopa useita erilaisia eteisverkkoja sisältävän konfiguraation yhdellä laitteella. Palomuurilaitteeseen vain lisätään verkkoliittymiä, ja sille määritetään onko liittymän takana luotettu verkko, täysin turvaton verkko vai jotain siltä väliltä.
[muokkaa] Palomuuritekniikat
Yksinkertaisin palomuuri on pakettisuodatin. Pakettivirrasta seulotaan paketit lähde- ja kohdeosoitteen ja porttien perusteella. Näitä on kahdentyyppisiä, tilattomia (stateless) ja tilallisia (stateful). Tilaton palomuuri vertaa jokaista pakettia säännöstöön; jos paketti ei ole sallittu, sitä ei välitetä eteenpäin. Tilallinen palomuuri mahdollistaa liikenteen tarkemman valvonnan. Tilallinen palomuuri pitää kirjaa muodostetuista TCP-yhteyksistä ja virtuaalisista UDP-yhteyksistä ja sallii vain yhteyteen kuuluvat paketit. TCP-yhteyksillä tutkitaan myös se, että tilasiirtymät ovat laillisia, eli käytännössä tilallinen palomuuri pitää yllä samoja tietoja kuin TCP/IP-pino.
Tilattoman palomuurin ongelma on se, että paluupakettien portteja ei voida kaikissa protokollissa tietää tarkasti, joten esimerkiksi joidenkin verkkopelien toimivuuden vuoksi kaikki yli portin 1024 on avattava paluuyhteydelle, jolloin tällä porttialueella olevaan palveluun voidaan ottaa yhteys ilman palomuurin väliintuloa.
Tilallinen palomuuri tarkistaa jokaisen paketin kohdalla kuuluuko se johonkin olemassa olevaan yhteyteen. Olemassa oleviin yhteyksiin liittyvät paketit päästetään läpi. Kun TCP-yhteys avataan, tutkitaan ensin, onko yhteys sallittu palomuurin sääntöjen perusteella. Hyväksytyn yhteyden tiedot lisätään palomuurin yhteyslistaan, ja jatkossa kaikki kyseiseen yhteyteen liittyvät paketit päästetään läpi, samoin myös usein sallitaan yhteyteen liittyvät ICMP-sanomat. Yhteyden sulkeutuessa, tai kun yhteys on ollut käyttämättömänä tietyn ajan, yhteyden tiedot poistetaan yhteyslistalta, eikä kyseiseen yhteyteen kuuluvia paketteja enää päästetä läpi. Tilallisessa palomuurissa on sama ongelma tuntemattomien protokollien kanssa kuin tilattomassakin, mutta siihen voidaan tarvittaessa lisätä sääntöjä tunnettuja protokollia varten. Pakettisuodatin toimii kuljetuskerroksella.
Sovelluspalomuurissa paketin sisältämää dataa tarkkaillaan. Jos paketin portti on vaikka 25 (SMTP), niin paketista tarkistetaan sisältääkö se laittomia komentoja. Myös muille palomuurityypeille ongelmallinen aktiivinen ftp toimii tämäntyyppisessä palomuurissa, koska palomuuri lukee avattavan datakanavan portin numeron ftp-komentokanavan sanomasta ja sallii yhteyden siihen. HTTP-paketeista tarkistetaan tunnetut aukot ja jos Java-suodatus on päällä, niin vahingolliset Java-komennot kielletään. Sovelluspalomuuri toimii sovelluskerroksella.
Useimmat nykyaikaiset työasemakohtaiset palomuurit ovat sovellus- ja tilallisen palomuurin yhdistelmiä. Niissä myös sovellus voi vaikuttaa siihen sallitaanko jokin yhteys. Erona perinteisiin palomuureihin on se, että tiedetään tarkkaan mitkä palvelut on sallittuja ja samoin mikä liikenne kohdistuu työasemaan, kun taas perinteiset palomuurit joutuvat toimimaan vähempien tietojen perusteella.
[muokkaa] Palomuurien heikkouksia
Palomuuri suodattaa vain lävitseen kulkevia yhteyksiä. Niinpä verkkoon voi päästä vaihtoehtoisia reittejä, kuten soittosarjojen kautta, langattoman lähiverkon tukiasemien kautta ja ennen kaikkea fyysisesti pääsemällä yrityksen toimitiloihin.
Palomuuri ei myöskään kykene suodattamaan esimerkiksi IPSec-salattua liikennettä, josta ei näy kohdeporttia tai välttämättä edes kohdekonetta. Tämän takia salattu VPN-liikenne pyritään viemään erilliselle eteisverkolle, josta se voidaan viedä vielä salaamattomanakin palomuurin läpi uudelleen.