Palomuuri

Wikipedia

Tietoverkoissa palomuuri (englanniksi firewall) on eristävä moniosainen järjestelmä, joka suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä.

Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisääntulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivat oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla mm. tietosuojan turvaamiseksi.

Kokonaisvaltainen palomuurijärjestelmä koostuu useimmiten kahdenlaisista komponenteista:

1. Pakettisuodatin
2. Yhdyskäytävä

Palomuuri saattaa vastaanottaa ohjeita tunkeilijan havaitsemisjärjestelmältä estettävästä liikenteestä.

[muokkaa] Palomuurit käytännössä

Useimmiten palomuureja on isommissa yritysverkoissa useampia. Palomuurien perusongelma on, että niiden läpi hyökännyttä murtautujaa ei voida enää estää tekemästä tuhojaan. Niinpä yrityksillä on eteisverkko eli demilitarisoitu alue (demilitarized zone, DMZ), joka sijaitsee luotetun sisäverkon ja Internetin välissä. Internetin ja eteisverkon sekä eteisverkon ja sisäverkon välissä on palomuurit. Eteisverkkoon sijoitetaan kaikki julkiset palvelimet. Vaikka krakkeri pääsisi siis murtautumaan kyseisille palvelimille, olisi hänellä vielä toinen palomuuri edessään ennen sisäverkkoa.

Tosiasiassa nykyiset palomuurilaitteet osaavat toteuttaa jopa useita erilaisia eteisverkkoja sisältävän konfiguraation yhdellä laitteella. Palomuurilaitteeseen vain lisätään verkkoliittymiä, ja sille määritetään onko liittymän takana luotettu verkko, täysin turvaton verkko vai jotain siltä väliltä.

[muokkaa] Palomuuritekniikat

Yksinkertaisin palomuuri on pakettisuodatin. TCP-virrasta seulotaan paketit ainoastaan lähde- ja kohdeosoitteen perusteella. Näitä on kahdentyyppisiä, tilattomia (stateless) ja tilallisia (stateful). Tilaton palomuuri vertaa jokaista pakettia säännöstöön; jos paketti ei ole sallittu, sitä ei välitetä. Tilallinen palomuuri mahdollistaa liikenteen jonkin verran tarkemman valvonnan. Tilallinen palomuuri pitää kirjaa muodostetuista yhteyksistä (TCP tai UDP) ja sallii vain yhteyteen kuuluvat paketit.

Tilattoman palomuurin ongelma on se, että paluupakettien portteja ei voida kaikissa protokollissa tietää tarkasti, joten esimerkiksi joidenkin verkkopelien toimivuuden vuoksi kaikki yli portin 1024 on avattava paluuyhteydelle.

Tilallinen palomuuri tarkistaa jokaisen paketin kohdalla kuuluuko se johonkin olemassa olevaan yhteyteen. Olemassa oleviin yhteyksiin liittyvät paketit päästetään läpi. Kun TCP-yhteys avataan, tutkitaan ensin, onko yhteys sallittu palomuurin sääntöjen perusteella. Hyväksytyn yhteyden tiedot lisätään palomuurin yhteyslistaan, ja jatkossa kaikki kyseiseen yhteyteen liittyvät paketit päästetään läpi. Yhteyden sulkeutuessa (tai kun yhteys on ollut käyttämättömänä tietyn ajan) yhteyden tiedot poistetaan yhteyslistalta, eikä kyseiseen yhteyteen kuuluvia paketteja enää päästetä läpi. Tilallisessa palomuurissa on sama ongelma tuntemattomien protokollien kanssa kuin tilattomassakin, mutta siihen voidaan tarvittaessa lisätä sääntöjä tunnettuja protokollia varten. Pakettisuodatin toimii kuljetuskerroksella.

Sovelluspalomuurissa paketin sisältämää dataa tarkkaillaan. Jos paketin portti on vaikka 25 (SMTP), niin paketista tarkistetaan sisältääkö se laittomia komentoja. HTTP-paketeista tarkistetaan tunnetut aukot ja jos Java-suodatus on päällä, niin vahingolliset Java-komennot kielletään. Sovelluspalomuuri toimii sovelluskerroksella.

[muokkaa] Palomuurien heikkouksia

Palomuuri suodattaa vain lävitseen kulkevia yhteyksiä. Niinpä verkkoon voi päästä vaihtoehtoisia reittejä, kuten soittosarjojen kautta, langattoman lähiverkon tukiasemien kautta ja ennen kaikkea fyysisesti pääsemällä yrityksen toimitiloihin.

Palomuuri ei myöskään kykene suodattamaan esimerkiksi IPSec-salattua liikennettä, josta ei näy kohdeporttia tai välttämättä edes kohdekonetta. Tämän takia salattu VPN-liikenne pyritään viemään erilliselle eteisverkolle, josta se voidaan viedä vielä salaamattomanakin palomuurin läpi uudelleen.