Tekijät:
Valter Rönnholm
Oskar Lindfors
Robert From

Mikä on palomuuri?

Lähiverkkojen yhdistäminen maailmanlaajuiseksi internet-verkoksi on helpottanut ja nopeuttanut informaation hakemista, levittämistä ja välittämistä. Toisaalta tietoverkkojen yhdistäminen on helpottanut myös tietoverkoissa tehtäviä rikoksia ja ilkivaltaa. Palomuuri tarjoaa yhden keinon suojautua tietoverkkorikoksia ja -ilkivaltaa vastaan. Rikolliset ja ilkivaltaiset hyökkäykset voidaan jakaa kolmeen pääryhmään: tunkeutumiset, palvelun estämiset (Denial of Service) ja tietovarkaus.

Tunkeutuminen

Tunkeutumisella tarkoitetaan tietokoneen luvatonta käyttöä verkon kautta. Tunkeutuja voi esim. ottaa yhteyden tietokoneelle Telnet-protokollaa käyttävän ohjelman avulla ja kirjautua sisään jonkin luvallisen käyttäjän tunnuksella ja salasanalla. Tunkeutuja on voinut saada tunnuksen ja salasanan tietoonsa esim. lukemalla verkosta nappaamiaan sähköposteja, joissa nämä on mainittu. Tunkeutuja voi myös löytää tunnuksen ja salasanan arvaamalla tai kokeilemalla eri salasanoja kunnes oikea yhdistelmä löytyy. Tunkeuduttuaan tietokoneelle tunkeutuja voi tutkia tai muuttaa tietokoneelta löytyviä tiedostoja tai tietoja, muuttaa tietokoneen asetuksia tai asentaa tietokoneelle vakoiluohjelmia tai viruksia. Tunkeutuja voi aiheuttaa tietokoneen tai -verkon oikeille käyttäjille suuria ongelmia tai tyytyä vain lukemaan huomaamattomasti haluamansa sähköpostit. Kotikoneellaan diplomityötään tekevälle teekkarille tunkeutuja voi järjestää ikävän yllätyksen korvaamalla diplomityön hepreankielisellä käyttöohjetekstillä. Yrityksen tietoverkkoon tunkeutunut tunkeutuja saattaa selvittää sisäisen tietoverkon liikenteestä kaikkien tietoverkon ylläpitäjän tunnuksen ja salasanan. Näiden avulla tunkeutuja voi muuttaa kaikkien verkon käyttäjien tunnukset ja salasanat, jolloin kukaan tietoverkon käyttäjistä ei enää voi käyttää tietoverkkoa. Pahimmassa tapauksessa tunkeutuja voi tuhota yritykselle elintärkeitä tietoja, lähettää salaiseen tuotekehitysprojektiin liittyvät tiedostot kilpailevalle yritykselle tai lähettää loukkaavia sähköpostiviestejä yrityksen työntekijöiden nimissä kaikille yrityksen asiakkaille.

Palvelun estäminen (Denial of Service)

Palvelun estämisellä tarkoitetaan palveluntarjoajan laitteiston ja/tai ohjelmiston kuormittamista siten, että palvelun käyttäjät eivät voi käyttää tarjottavaa palvelua, ainakaan tehokkaasti. Estäjä voi esim. tunkeutua kymmeniin tai satoihin tietokoneisiin ja asentaa niihin ohjelman, joka alkaa tiettynä ajanhetkenä lähettämään tietylle www-palvelimelle jatkuvasti pyyntöjä avata www-sivu. Kun pyyntöjä tulee jatkuvasti lukuisilta tietokoneilta, www-palvelimen pyyntöjenkäsittelykapasiteetti on todennäköisesti riittämätön, jolloin www-sivun tietoja ei voida lähettää todellisille asiakkaille. Vastaavalla tavalla voidaan tukkia esim. yrityksen sähköpostipalvelin lähettämällä palvelimen asiakkaille niin paljon sähköpostia, että palvelin ei pysty tallentamaan kaikkia "oikeita" sähköpostiviestejä. Estäjä voi periaatteessa suorittaa palvelunestohyökkäykset omalla laitteistollaan. Useassa tapauksessa estäjä kuitenkin peittää jälkensä tunkeutumalla muiden tietokoneisiin tai käyttää muiden tietokoneita saadakseen käyttöönsä enemmän suoritustehoa.

Toinen tapa estää palvelu on ohjata palvelunkäyttäjät toisaalle tai korvata alkuperäinen palvelu jollakin muulla. Tunkeutuja voi esim. asentaa www-palvelimelle omat kotisivunsa tai muuttaa palvelimen asetuksia siten, että kyseistä www-sivua tavoittelevat asiakkaat saavat ruudulleen väärän, mahdollisesti epäsiveellisen tai loukkaavan, kotisivun. Tietovarkaus

Tietovarkaus tarkoittaa yksinkertaisesti salaisen tiedon varastamista. Tunkeutuja voi varastaa tietoja esim. tunkeutumalla jollekin tietokoneella ja lähettämällä tietokoneen salaisia tiedostoja tai tietoja itselleen tai muille. Toisaalta tietovarkaus voidaan suorittaa nuuskimalla verkossa liikkuvia tietoja kuten sähköposteja. Tietovaras voi esim. asettaa jonkin tietokoneen, jonka kautta kulkee sähköpostidataa, poimimaan sähköpostiviestejä, jotka sisältävät tiettyjä sanoja, ja lähettämään ne tietovarkaalle.

Palomuuri (Firewall)

Kirjassa Computer Security (Dieter Gollmann 1999) palomuuri määritellään seuraavasti: "We use 'firewall' as the generic name for any security system protecting the boundary of an internal network." Tekniikan sanastokeskuksen www-sivuilla (www.tsk.fi) palomuuri määritellään tekniseksi järjestelyksi, joka estää asiattoman pääsyn verkosta toiseen. Toisin sanoen palomuuri valvoo ja tarvittaessa estää sisäisen tietoverkon (kuten yrityksen paikallisverkon) ja ulkoisen verkon (kuten internetin) välistä tietoliikennettä. Kaikki sisäisen ja ulkoisen tietoverkon välinen tietoliikenne kulkee palomuurin kautta (ellei järjestelmässä ole tietoturva-aukkoja).

Palomuurin perusperiaatteena on estää ulkopuolisia ottamasta yhteyttä tai lähettämästä dataa sisäiseen verkkoon mutta sallia esim. luvalliset yhteydet kuten saapuvat sähköpostit. Toisaalta palomuurit voidaan asettaa estämään yhteyksiä sisäisestä verkosta tiettyihin kohteisiin. Sisäisen verkon käyttäjiä voidaan esim. estää avaamasta epäilyttäviä www-sivuja tai ottamasta ulkoisia yhteyksiä epäturvallisia protokollia hyödyntävien ohjelmien avulla.

Palomuuri voidaan määritellä joko siten, että tietyt yhteydet sallitaan ja loput kielletään tai siten, että tietyt yhteydet kielletään ja loput sallitaan. Ensimmäinen vaihtoehto on turvallisempi, mutta se saattaa rajoittaa käyttäjien mahdollisuuksia hyödyntää internet-palveluja. Mikäli palomuuri esim. estää sellaisten www-sivujen avaamisen, jotka käsittävät sanan "kulli" saattaa käyttäjä turhautua havaitessaan, että palomuuri estää saksalaisen kuulakärkikynävalmistajan kotisivun avaamisen. Palomuurin suunnittelussa vaikeinta on määritellä palomuuri siten, tarpeellinen turvallisuustaso saavutetaan rajoittamatta kuitenkaan käyttäjäystävällisyyttä liikaa.

Palomuurilla voi olla myös muita tehtäviä, Gollmannin mukaan palomuureille tyypillisiä tehtäviä ovat m.m.:

• Sisäisen verkon rakenteen ja toiminnan peittäminen ulkopuolisilta. Tällä tavoin voidaan vaikeuttaa tunkeutumista, sillä tunkeutuja ei näe suoraan miten tietty sisäverkossa oleva tietokone reagoi tunkeutumisyrityksiin ja mitä eri tietokoneita palomuurin takana sijaistsee.
• Sähköpostiviestien liitetiedostojen virustarkistus
• Lokitietojen kerääminen ja tallentaminen. Lokitietojen avulla voidaan havaita tunkeutumisyritykset ja tiukentaa turvallisuutta mikäli se on tarpeen.

Palomuurien tekninen toteutus perustuu yleensä kolmeen perustekniikkaan: pakettisuodatukseen, välipalvelimiin (Proxy server) ja tilalliseen suodatukseen.

Pakettisuodatus (Packet filtering)

Tiedonsiirto internetissä tapahtuu pakettivälitteisesti. Tämä tarkoittaa että välitettävä data jaetaan osiin eli paketteihin, jotka lähetetään kohdeosoitteeseen. Jokaiseen pakettiin liitetään otsikko, joka toimii osoitelappuna. Otsikkotiedoissa on esim. lähettäjän verkko-osoite, vastaanottajan verkko-osoite, tiedot siitä minkä ohjelman pitää käsitellä data sekä muita tietoja, joiden perusteella paketti ohjataan oikealle ohjelmalle ja joiden perusteella paketit kootaan taas yhteen alkuperäisen kokonaisuuden muodostamiseksi.

Pakettisuodatus perustuu pakettien hylkäämiseen tai hyväksymiseen pakettien otsikkotietojen perusteella. Palomuuri voi esim. hylätä kaikki paketit, jotka tulevat tietystä osoitteesta tai hyväksyä ainoastaan tietystä osoitteesta tulevat paketit. Lähettäjän osoitteen väärentäminen on valitettavasti helppoa, joten pelkästään lähettäjän osoitteeseen perustuva suodatus ei riitä estämään ulkopuolisia lähettämästä dataa sisäverkkoon. Tämän vuoksi paketteja on suodatettava myös muiden tietojen perusteella. Tietokoneiden välisessä tietoliikenteessä käytetään portteja, jotka on numeroitu sopivalla tavalla. Portit ovat abstrakteja tietokoneen sisäisiä osoitteita, joiden perusteella saapuvat paketit ohjataan oikealle ohjelmalle. Ohjelmat lähettävät ja vastaanottavat dataa tiettyjen porttiosoitteiden kautta. Pakettien osoitetiedot sisältävät tämän porttinumeron, joten paketteja voidaan suodattaa porttinumeron perusteella. Palomuuri voi esim. sallia yhteyden luomisen yhdestä portista tiettyyn ulkoverkon osoitteeseen ja hylätä muista porteista lähetetyt paketit. Saapuvien pakettien osalta palomuuri voi esim. sallia ainoastaan tiettyihin portteihin osoitetut paketit.

Paketin lähettäjä voi tosin väärentää myös porttiosoitteen, josta paketti on lähetetty. Pakettisuodatuksessa ei siis kannata luottaa lähettäjän ilmoittamaan verkko-osoitteeseen ja/tai lähettäjän ilmoittamaan lähtöporttinumeroon. Tämän vuoksi kannattaa hylätä kaikki saapuvat paketit, jotka on osoitettu portteihin, jotka ovat "vaarallisten" ohjelmien käytössä. Vaarallisilla ohjelmilla tarkoitetaan ohjelmia, joita tunkeutuja voi käyttää hyväkseen. Tällöin rajataan kuitenkin pois tiettyjä palveluja, jotka käyttävät "vaarallisia" portteja. Tämä ongelma voidaan kuitenkin ratkaista siten, että palomuuri hyväksyy "vaarallisiin" portteihin tulevat paketit mikäli sisäverkosta on lähetetty pyyntö vastaanottaa dataa kyseiseen porttiin. (Tämä voidaan toteuttaa esim. TCP-protokollan ACK-bitin avulla. Tarkempi toteutus on esitetty esim. osoitteessa www.netcomputing.com/netdesign/wall3.html.)

Välipalvelimet (Proxy servers)

Pakettisuodatuksen lisäksi palomuurin on syytä toimia myös välipalvelimena, jolloin sisäverkon rakenne ja toiminta voidaan salata ulkoverkolta ja yhteyksiä voidaan rajoittaa tarvittaessa lisää. Välipalvelinta käytettäessä sisäverkon käyttäjä ottaa yhteyttä ulkoverkon kohteisiin välipalvelimen välityksellä. Jos sisäverkon käyttäjä haluaa esim. avata jonkin www-sivun hän ottaa yhteyttä välipalvelimeen, joka ottaa käyttäjän pyynnöstä yhteyden www-sivun palvelimeen ja välittää sitten datan käyttäjälle. Käytännössä sisäverkon käyttäjä kokee kuitenkin ottavansa suoraan yhteyden www-palvelimen. WWW-palvelin taas kokee olevansa yhteydessä ainoastaan välipalvelimeen, eikä näin ollen saa tietoonsa tietoja sisäverkon rakenteesta, osoitteista tai muista aroista asioista.

Välipalvelimen avulla palomuurin toimintaa voidaan tehostaa siten, että tulevaa ja/tai lähetettävää dataa hylätään tai hyväksytään myös datan sisällön perusteella. FTP:ssä voidaan esimerkiksi sallia tiettyjä käskyjä mutta hylätä vaarallisia käskyjä. Lisäksi välipalvelimen avulla voidaan rajoittaa eri käyttäjien oikeuksia. Tiettyjen sisäverkon käyttäjien voidaan esim. sallia lukevan kaikkia www-sivuja kun toisille annetaan valtuudet avata ainoastaan tietyt www-sivut. Välipalvelimen avulla voidaan periaatteessa tarkistaa kaikkien saapuvien ja lähtevien viestien sisältö. Palomuuri voi esim. hylätä jonkin sähköpostiviestin, mikäli palomuuri havaitsee sen sisältävän sisäverkon käyttäjien tunnuksia tai salasanoja.

Mikä tekee palomuurista henkilökohtaisen?

Palomuurit ovat pitkään olleet raskaita ja kalliita ratkaisuja, jotka ovat käytännössä olleet vain yritysten ja organisaatioiden ulottuvilla. Kun markkinoille on tullut yksityiskäyttäjälle ja pienyritykselle sopivia palomuuriratkaisuja on niitä nimitetty henkilökohtaisiksi palomuureiksi (personal firewalls), englannin kielessä käytetään lisäksi nimitystä "desktop firewall". Henkilökohtaisen palomuurin ja tavallisen palomuurin erona on siis se, että henkilökohtainen palomuuri on sopiva yhden yksittäisen tietokoneen suojaksi tai pienen lähiverkon suojaksi.

Palomuurikin saattaa olla tietoturvauhka

(Tämä kappale ei suoranaisesti liity henkilökohtaisiin palomuureihin vaan palomuureihin yleensä.)

Palomuurin avulla voidaan valvoa sekä saapuvaa että lähtevää informaatiota hyvinkin tarkasti haluttaessa. Kuten aikaisemmin mainittiin voidaan sähköposteja hylätä niiden sisällön perusteella ja lokitietoihin voidaan kerätä tietoja palomuurin kautta luoduista yhteyksistä. Näiden tietojen avulla voidaan turvata sisäverkko mutta toisaalta vaarantaa yksittäisen käyttäjän tietoturvasuoja. Palomuuri voidaan asettaa tallentamaan käyttäjien sähköpostiviesteistä tai ilmoittamaan lähiverkon ylläpitäjälle käyttäjien vierailuista tietyillä www-sivuilla. On siis syytä pohtia onko esim. työnantajan valtuuksia syytä rajoittaa vai onko työnantajalla oikeus valvoa oman lähiverkkonsa käyttöä parhaaksi katsomallaan tavalla.

<< Etusivu Eteenpäin >>