Palomuuri

Wikipediasta
(Ohjattu sivulta Pakettisuodatin)
Siirry navigaatioon Siirry hakuun
Tämä artikkeli käsittelee tietoteknistä järjestelmää. Sanan muita merkityksiä on erillisellä täsmennyssivulla.

Palomuuri on tietotekniikassa järjestelmä, jonka on tarkoitus estää asiaton pääsy verkosta toiseen, varsinkin internetistä lähiverkkoon.[1]

Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisään tulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivät oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla muun muassa tietosuojan turvaamiseksi.

Kokonaisvaltainen palomuurijärjestelmä koostuu useimmiten kahdenlaisista komponenteista:

  1. Pakettisuodatin
  2. Yhdyskäytävä

Palomuuri saattaa vastaanottaa ohjeita tunkeilijan havaitsemisjärjestelmältä estettävästä liikenteestä.

Palomuurit käytännössä

[muokkaa | muokkaa wikitekstiä]
Yksinkertaistettu kuva palomuurin toiminnasta.

Useimmiten palomuureja on isommissa yritysverkoissa useampia. Palomuurien perusongelma on, että niiden läpi hyökännyttä murtautujaa ei voida enää estää tekemästä tuhojaan. Niinpä yrityksillä on eteisverkko eli demilitarisoitu alue (engl. demilitarized zone, DMZ), joka sijaitsee luotetun sisäverkon ja Internetin välissä. Internetin ja eteisverkon sekä eteisverkon ja sisäverkon välissä on palomuurit. Eteisverkkoon sijoitetaan kaikki julkiset palvelimet. Vaikka tunkeutuja pääsisi murtautumaan kyseisille palvelimille, olisi hänellä vielä toinen palomuuri edessään ennen sisäverkkoa.

Tosiasiassa nykyiset palomuurilaitteet osaavat toteuttaa jopa useita erilaisia eteisverkkoja sisältävän konfiguraation yhdellä laitteella. Palomuurilaitteeseen vain lisätään verkkoliittymiä, ja sille määritetään onko liittymän takana luotettu verkko, täysin turvaton verkko vai jotain siltä väliltä.

Palomuuritekniikat

[muokkaa | muokkaa wikitekstiä]

Yksinkertaisin palomuuri on pakettisuodatin. Pakettivirrasta seulotaan paketit lähde- ja kohdeosoitteen sekä porttien perusteella. Näitä on kahdentyyppisiä, tilattomia (stateless) ja tilallisia (stateful). Tilaton palomuuri vertaa jokaista pakettia säännöstöön; jos paketti ei ole sallittu, sitä ei välitetä eteenpäin. Tilallinen palomuuri mahdollistaa liikenteen tarkemman valvonnan. Tilallinen palomuuri pitää kirjaa muodostetuista TCP-yhteyksistä ja virallisista UDP-yhteyksistä ja sallii vain yhteyteen kuuluvat paketit. TCP-yhteyksillä tutkitaan myös se, että tilasiirtymät ovat laillisia, eli käytännössä tilallinen palomuuri pitää yllä samoja tietoja kuin TCP/IP-paketti.

Tilattoman palomuurin ongelma on se, että paluupakettien portteja ei voida kaikissa protokollissa tietää tarkasti, joten esimerkiksi joidenkin verkkopelien toimivuuden vuoksi kaikki portit yli portin 1024 on avattava paluuyhteydelle, jolloin tällä porttialueella olevaan palveluun voidaan ottaa yhteys ilman palomuurin väliintuloa.

Tilallinen palomuuri tarkistaa jokaisen paketin kohdalla kuuluuko se johonkin olemassa olevaan yhteyteen. Olemassa oleviin yhteyksiin liittyvät paketit päästetään läpi. Kun TCP-yhteys avataan, tutkitaan ensin, onko yhteys sallittu palomuurin sääntöjen perusteella. Hyväksytyn yhteyden tiedot lisätään palomuurin yhteyslistaan, ja jatkossa kaikki kyseiseen yhteyteen liittyvät paketit päästetään läpi, samoin myös usein sallitaan yhteyteen liittyvät ICMP-sanomat. Yhteyden sulkeutuessa, tai kun yhteys on ollut käyttämättömänä tietyn ajan, yhteyden tiedot poistetaan yhteyslistalta, eikä kyseiseen yhteyteen kuuluvia paketteja enää päästetä läpi. Tilallisessa palomuurissa on sama ongelma tuntemattomien protokollien kanssa kuin tilattomassakin, mutta siihen voidaan tarvittaessa lisätä sääntöjä tunnettuja protokollia varten. Pakettisuodatin toimii kuljetuskerroksella.

Sovelluspalomuurissa paketin sisältämää dataa tarkkaillaan. Jos paketin portti on vaikka 25 (SMTP), niin paketista tarkistetaan sisältääkö se laittomia komentoja. Myös muille palomuurityypeille ongelmallinen aktiivinen FTP toimii tämäntyyppisessä palomuurissa, koska palomuuri lukee avattavan datakanavan portin numeron FTP-komentokanavan sanomasta ja sallii yhteyden siihen. Palomuuri voi myös suodattaa liikennettä sisällön perusteella, esimerkiksi estää HTTP-paketeista tunnettuja turvallisuusaukkoja hyödyntävät murtoyritykset. Sovelluspalomuuri toimii sovelluskerroksella.

Useimmat nykyaikaiset työasemakohtaiset palomuurit ovat sovellus- ja tilallisen palomuurin yhdistelmiä. Niissä myös sovellus voi vaikuttaa siihen sallitaanko jokin yhteys. Erona perinteisiin palomuureihin on se, että tiedetään tarkkaan mitkä palvelut on sallittuja ja samoin mikä liikenne kohdistuu työasemaan, kun taas perinteiset palomuurit joutuvat toimimaan vähempien tietojen perusteella.

Palomuurien heikkouksia

[muokkaa | muokkaa wikitekstiä]

Palomuuri suodattaa vain lävitseen kulkevia yhteyksiä. Niinpä verkkoon voi päästä vaihtoehtoisia reittejä, kuten soittosarjojen kautta, langattoman lähiverkon tukiasemien kautta ja ennen kaikkea fyysisesti pääsemällä yrityksen toimitiloihin.

Palomuuri ei myöskään kykene suodattamaan esimerkiksi IPSec-salattua liikennettä, josta ei näy kohdeporttia tai välttämättä edes kohdekonetta. Tämän takia salattu VPN-liikenne pyritään viemään erilliselle eteisverkolle, josta se voidaan viedä vielä salaamattomanakin palomuurin läpi uudelleen.

  1. palomuuri. Kielitoimiston sanakirja. Helsinki: Kotimaisten kielten keskus, 2024.

Aiheesta muualla

[muokkaa | muokkaa wikitekstiä]