1 Sisällysluettelo
2 Lyhenteet ja termit
3 Johdanto
4 Historiaa
5 Internet
6 Palomuurit
7 Palomuurien komponentit
7.1 Verkkopolitiikka
7.2 Kehittyneet autentikointimenetelmät
7.3 Pakettien suodatus
7.4 Sovellusyhdyskäytävät
8 Palomuuriarkkitehtuurit
8.1 Paketteja suodattava palomuuri (Packet Filtering Firewall)
8.2 Dual-homed Gateway -palomuuri
8.3 Screened Host -palomuuri
8.4 Screened Subnet -palomuuri
9 Yhteenveto
10 Kirjallisuusviitteet
Tämä kirjoitus käsittelee yleisesti Internetin
turvallisuutta ja sen parantamismenetelmiä. Pääasiassa
sisältö keskittyy kuitenkin yhteen turvallisuutta parantavaan
ratkaisuun, palomuuriin. Palomuuri on menetelmä, joka jakaa
verkkoja luotettaviin ja epäluotettaviin osiin. Esimerkiksi
yrityksen sisäinen verkko on luotettava ja sen ulkopuolinen
verkko (Internet) on epäluotettava.
Ihmisten välinen luottamus on edellytysehtona turvallisuudelle.
Ihminen on lopulta kaikkein epäilyttävin osa turvallisuusjärjestelmässä.
Työntekijä, joka on katala, huolimaton tai tietämätön
yrityksen tietopolitiikasta, voi asettaa parhaimmankin turvallisuuden
kyseenalaiseksi /3/.
Luvussa neljä annetaan pieni katsaus turvallisuuden historiaan,
jolla on ollut vaikutusta palomuureihin. Luku viisi käsittelee
Internetiä, ja luku kuusi on yleistä asiaa palomuureista.
Luvussa seitsämän keskitytään kaikkien palomuurien
yleisiin osiin ja luku kahdeksan sisältää palomuuriratkaisuja
esimerkkien valossa.
Luvussa kahdeksan palomuuriarkkitehtuurien nimet on jätetty
suomentamatta, koska sopivia ja kuvaavia vastesanoja oli vaikea
löytää. Suomenkielistä lähdemateriaalia
oli niukasti saatavilla.
Monet yritykset eivät vielä tiedosta turvallisuusriskejään.
Hakkereiden yrityksiä ja onnistumisia ei välttämättä
edes huomata. Esimerkiksi DISA suoritti hyökkäyksiä
koeluontoisesti 9000:een DoD:n tietokonesysteemiin ja onnistumisprosentti
oli 88. Kohdeorganisaatioista alle 20 % jäljitti tunkeutumiset
ja vain viisi prosenttia näistä organisaatioista oikeastaan
reagoivat niihin /2/.
Vuonna 1985 Yhdysvaltojen hallitus julkaisi ensimmäisen osan
tietokoneen turvallisuuskriteereistä, jotka tietokoneammattilaiset
voisivat ymmärtää ja rakentaa systeemeihin. Julkaisu
on nimeltään Trusted Computer Security Evaluation Criteria
(Orange Book) ja se sisältää luokituksen erilaisiin
turvallisuusluokkiin D
A1. D vastaa systeemiä, jossa
ei ole lainkaan turvallisuutta ja A1-luokka pitää sisällään
jo täsmälliset menetelmät turvallisuuden määrittelyyn.
NCSA, riippumaton turvallisuusjärjestö, on yrittänyt
tuoda jonkilaista selkoa markkinointifirmojen aikaansaamaan turvallisuushehkutukseen.
Se perusti kesäkuussa 1995 yhdistyksen nimeltä Firewall
Product Developers' Consortium (FWPD), joka muodostuu palomuuri-tuotteiden
päävalmistajista. FWPD:n tarkoituksena oli tutkia tavallisia
palomuureihin liittyviä asioita, kuten asiakkaiden koulutusta,
standardointia, tuotteiden testausta ja luokittelua sekä
tutkimusta, koska yhtenäisiä määrittelyjä
ei aikaisemmin ollut. FWPD on rakenteeltaan samanlainen, kuin
AVPD jonka NCSA perusti vuonna 1991. AVPD on esimerkiksi määritellyt
yleiset nimitykset erilaisille viruksille.
Tarve uusille ja luotettaville turvallisuutta parantaville tuotteille
on valtava. Computer Emergency Response Team (CERT) on raportoinut,
että tietojen väärinkäytösten määrä
vuosina 1990-1994 lisääntyi 130:sta 2300:aan /1/.
Systemaattista ja automatisoitua uusien yhteyksien penkomista
on harjoittanut harrastajahakkereiden lisäksi myös eri
maiden hallitukset ja yritykset /1/.
Yhä useampi organisaatio liittää oman verkkonsa
osaksi Internetiä päästäkseen käsiksi
avautuviin markkinoihin sekä suuriin tietomääriin.
Internetiin kytkeytymisestä voi olla myös haittaa jos
tietoturva-asioihin ei kiinnitetä tarpeeksi huomiota. Kaikki
Internetin käyttäjät eivät valitettavasti
ole luotettavia, vaan pyrkivät keinolla millä hyvänsä
saamaan käsiinsä tietoa, joka ei heille kuulu. Jos Internetiin
liittyvä yritys ei ole tarpeeksi hyvin varautunut se voi
asettaa itsensä ja toimintansa vaaraan aktiivisten väärinkäyttäjien
edessä.
Internetin jatkuvasti laajentuessa, myös turvallisuusriskit
kasvavat. Yritysverkkoja liitetään toisiinsa Internetin
välityksellä ja tällöin tulevat yrityksien
tietovarastot sekä tiedonsiirto haavoittuvaisiksi. Tietovirtoja
salakuunnellaan, yhteyksiä huijataan IP-osoitteita väärentämällä.
Turvallisuuden toteuttaminen Internetissä on vaikeaa, koska
pitäisi tietää, voivatko käyttäjät,
tietokoneet, palvelut ja eri verkot luottaa toisiinsa.
Palomuuri on kokoelma järjestelmiä, reitittimiä
sekä politiikkaa, jotka on sijoitettu verkon pääyhteyteen
ulkomaailmaan. Se pakottaa kaikki verkkoyhteydet läpäisemään
yhdyskäytävän, jossa ne tutkitaan ja arvioidaan.
Palomuuri mahdollistaa tarkemman autentikointimenetelmän
yksinkertaisen salasanan tilalle. Sen avulla voidaan rajoittaa
pääsyä valikoituihin järjestelmiin tai estää
tiettyjä TCP/IP-palveluja. Hyvin konfiguroitu palomuuri voi
toimia organisaation "PR-koneena" ja antaa siten paremman
kuvan organisaatiosta muille Internetin käyttäjille
/3/.
Palomuurisysteemi voi olla reititin, PC tai yksi tai useampi isäntäkone
(host) koottuna tietyllä tavalla rajapinnaksi verkon eri
osien välille. Se sijoitetaan yleensä yrityksen ainoaan
Internet-yhdyskäytävään, mutta voidaan myös
sijoittaaa suojelemaan jotain pienempää osaverkkoa tai
-kokonaisuuta. Palomuuri estää ei-toivotut ja mahdollisesti
vahingolliset tunkeutumiset verkkoon. Se ei takaa 100 %:n suojaa,
mutta sen avulla voidaan kuitenkin parantaa turvallisuutta merkittävästi.
Lähtökohtana pitää olla tarkka suunnitelma,
joka määrittelee miksi palomuuria tarvitaan ja miten
sitä käytetään. Väärin rakennettu
ja ylläpidetty palomuuri voi aiheuttaa enemmän harmia
kuin hyötyä, koska tällöin turvallisuudentunne
voi olla virheellinen.
Palomuurin voi rakentaa usealla tavalla, mutta kaikkiin kuuluu
pääpiirteissään seuraavat komponentit /3/:
Verkkopolitiikka (network policy), kehittyneet autentikointimenetelmät
(advanced authentication mechanisms), pakettien suodatus
(packet filtering), sovellusyhdyskäytävät
(application gateways). Komponentteja on tarkemmin esitelty seuraavissa
kappaleissa.
Verkkopolitiikka voidaan jakaa kahteen eri tasoon, jotka vaikuttavat
palomuurien suunnitteluun, installointiin ja käyttöön.
Korkeamman tason politiikka määrittelee verkkoon pääsyn
(Service Access Policy /3/) eli mitkä palvelut on
sallittu tai kokonaan kielletty rajoitetusta verkon osasta. Se
määrittelee myös, kuinka näitä palveluita
käytetään sekä olosuhteet ja mahdolliset poikkeustapaukset
politiikassa. Alemman tason politiikka (Firewall Design Policy
/3/) määrittelee, kuinka palomuuri toimii rajoittaessaan
pääsyä ja suodattaessaan palveluita, jotka oli
määritelty ylemmällä tasolla.
Palomuuri voi toimia monella eri tavalla, mutta yleensä se
estää kokonaan pääsyn Internetistä yritykseen,
mutta sallii pääsy toiseen suuntaan. Toinen tyypillinen
mahdollisuus on sallia rajoitettu pääsy Internetistä
yritykseen, mutta vain tiettyihin järjestelmiin, kuten tietokanta-
tai sähköpostipalvelimeen.
NIST:n suositusten mukaan organisaation tulisi kehitellä
politiikka, joka määrää selvästi käytettävät
palvelut ja kuinka niitä käytetään, kun suunnitellaan
palomuuria.
Palomuurin toimintatapa on yleensä toinen seuraavista:
Verkkopolitiikka on palomuurikomponenteista tärkein ja seuraavaksi
esitetyt komponentit ovatkin sen toteuttavat osat.
Käyttäjät tunnistetaan yleensä tunnuksesta
ja siihen liittyvästä salasanasta, jonka tulisi olla
sellainen merkkiyhdistelmä, joka on vaikeasti arvattavissa.
Tällainen staattinen salasana ei kuitenkaan usein ole riittävä,
koska tunkeilijat voivat tarkkailla Internet-liikennettä
ja poimia sen esiin. Kehittyneemmät tunnistusmenetelmät,
kuten älykortit tai ohjelmistopohjaiset mekanismit (esim.
PGP, SSH) on suunniteltu poistamaan perinteisen salasanan heikkouksia.
Yhteistä kehittyneemmille järjestelmille on se, että
vaikka käytetty salasana saataisiinkin selville, ei sitä
pystytä käyttämään uudelleen. Yleinen
käytetty menetelmä on yhden kerran salasana (one-time
password), jolloin yhtä salasanaa käytetään
vain yhdellä sisäänkirjautumiskerralla.
Koska palomuuri usein sijoitetaan Internetin yhdyskäytävään
kontrolloimaan pääsyä yritysverkkoon, on loogista
sijoittaa autentikointiohjelmisto tai -laitteisto siihen. Näin
saadaan toiminto keskittettyä yhteen paikkaan.
IP-pakettien suodattaminen toteutetaan usein suodatukseen suunnitelluilla
reitittimillä, jotka voivat suodattaa paketteja seuraavien
arvojen perusteella:
Suodatusta voidaan käyttää estämään
yhteydet tietyistä osoitteista tai tiettyihin osoitteisiin
sekä tietyistä verkkoporteista tiettyihin portteihin.
Kun estetään joidenkin porttien käyttö, on
mahdollista estää ei-haluttujen palvelujen käyttö.
Voidaan sallia esimerkiksi vain SMTP-palvelu sähköpostia
varten. Voidaan myös tehdä edellisten rajoitusten eri
kombinaatioita, jolloin saadaan aikaiseksi varsin skaalautuva
järjestelmä. Esimerkiksi yhteen IP-osoitteeseen voidaan
sallia vain SMTP-palvelu ja johonkin toiseen vain FTP- ja Telnet-palvelut.
Oheisessa taulukossa (Taulukko 1) on esimerkkitapaus
reitittimen konfiguraatiosta /3/.
Esimerkkitapauksen osoitteisiin 123.4.*.* on liikennöinti
sallittu seuraavasti: Telnet yhteydet on sallittu vain
osoitteeseen 123.4.5.6, joka voi olla Telnet-sovelluspalvelin.
SMTP yhteydet on sallittu vain osoitteisiin 123.4.5.7 ja
123.4.5.8 jotka voivat olla kaksi sähköpostipalvelinta.
NNTP on sallittu vain osoitteesta 129.6.48.254 vain osoitteeseen
123.4.5.9. NTP on sallittu kaikkiin osoitteisiin. Kaikki muut
palvelut ja paketit on estetty.
Seuraavassa kuvassa (Kuva 1) /3/ on esitetty pakettien
suodatus reitittimen avulla.
Pakettien suodatusmenetelmällä on myös huonoja
puolia. Reitittimen konfiguroiminen voi olla joskus hyvin monimutkaista.
Muita testausmenetelmiä kuin kokeileminen ei reitityssääntöjen
oikeellisuuden tarkistamiseen ole. Kaikki reitittimet eivät
tue login-toimintoa, joten jos vaarallinen paketti pääsee
läpi, ei sitä voida jäljittää ennen kuin
murtautuminen on tapahtunut. Usein joudutaan tekemään
suodatussääntöihin poikkeuksia, jolloin konfigurointi
on entistä monimutkaisempaa ja vaikeampaa hallita.
Usein palomuurit tarvitsevat ohjelmistosovelluksen suodattamaan
yhteyksiä palveluihin, kuten Telnet ja FTP. Näitä
sovelluksia kutsutaan proxy-palvelimiksi, ja tietokone, jossa
proxy toimii, kutsutaan sovellusyhdyskäytäväksi.
Sovellusyhdyskäytävän avulla voidaan poistaa joitakin
paketteja suodattavan reitittimen ongelmia.
Turvallisuutta saadaan parannettua, kun yhdistetään
reitittimet ja proxypalvelin. Käyttäjä joutuu ottamaan
ensin yhteyden proxyyn ja vasta sitä kautta vastapään
koneeseen.
Seuraavassa kuvassa (kuva 2) /3/ on esitetty proxy-palvelimen
käyttö. Proxy-palvelimessa toimii käytettävien
sovelluksien proxy-versiot, jotka ovat yksinkertaistettuja versioita
varsinaisista sovelluksista. Versiot eivät tue kaikkia toimintoja,
jolloin niiden hallitseminen yksinkertaistuu /7/. Toinen
hyöty proxy-palvelimen käytöstä on, että
protokollaa voidaan suodattaa. FTP-yhteyttä voidaan esimerkiksi
suodattaa siten, että put-komento estetään,
jos halutaan, että ulkopuolinen käyttäjä ei
voi kirjoittaa.
Sovellusyhdyskäytävän avulla voidaan kätevästi
piilottaa tietoa. Esimerkiksi sisäisen järjestelmän
tietoja ei tarvitse antaa ulospäin DNS-palvelulla, koska
yhdyskäytävä voi olla ainoa ulospäin näkyvä
kone.
Seuraavissa kappaleissa on esitetty erilaisia palomuuriarkkitehtuureja.
Toteutukset eroavat toisistaan huomattavasti, mutta riippuu aina
tapauksesta ja organisaation tarpeista, mikä ratkaisu on
paras. Jos organisaation toiminta on huippusalaista, sen verkkoa
ei pitäisi ollenkaan yhdistää epäluotettavaan
verkkoon, ja kun yhteyttä ulkomaailmaan ei ole, ei myöskään
palomuuria tarvita.
Paketteja suodattava palomuuuri on yleisin ja yksinkertaisin toteuttaa,
jos kyseessä on pieni ja yksinkertainen organisaatio. Ratkaisulla
on kuitenkin huonoja puolia, kuten kappaleessa 7.3 kerrottiin.
Palomuurin rakenne on esitetty seuraavassa kuvassa (Kuva 3)
/3/.
Dual-homed Gateway on parempi vaihtoehto paketteja suodattavalle
palomuurille. Se on järjestelmä, jolla on kaksi tai
useampi verkkoliityntää, jotka kaikki on kytketty eri
verkkoihin. Järjestelmä sijoitetaan sisäisen ja
ulkoisen verkon väliin. Se estää oletusarvoisesti
kaiken liikenteen verkkojen välillä. Paketteja suodattava
reititin voidaan lisäksi asentaa Internet-yhteyteen, jolloin
turvallisuus parantuu.
Dual-homed Gateway on täydellinen este IP-liikenteelle Internetin
ja suojattavan verkon välillä. Palvelut ja pääsy
toteutetaan proxy-palvelimella yhdyskäytävässä.
Palomuuri toteuttaa politiikkaa, joka estää kaikki palvelut,
paitsi ne, joista on proxyversiot. Palomuuurilla on kyky erottaa
liikennettä, joka liittyy Infopalvelimeen muusta liikenteestä
sisäisestä verkosta ulkoiseen. Infopalvelin voidaan
sijoittaa yhdyskäytävän ja reitittimen väliin,
kuten on esitetty seuraavassa kuvassa (Kuva 4) /3/.
Kuten Dual-homed Gateway -palomuuri screened host -palomuuri
yhdistää paketteja suodattavan reitittimen sekä
sovellusyhdyskäytävän. Samoin on käytössä
infopalvelin, johon voidaan ohjata haluttu liikenne. Sovellusyhdyskäytävällä
on kuitenkin vain yksi liityntäpinta. Kaikki ulkoatuleva
sekä ulosmenevä liikenne kulkee sen kautta. Reititin
suodattaa liikennettä kuten edellä on kerrottu, ja yhdyskäytävä
päästää läpi vain ne palvelut, joiden
proxyversiot ovat olemassa (esimerkiksi Telnetin ja FTP:n versiot).
Reititin päästää läpi liikennettä
seuraavalla tavalla:
Screened host -palomuuri on hieman turvattomampi, koska "luotettava"
liikenne pääsee joissakin tapauksissa sovellusyhdyskäytävän
läheisyyteen ja ohi ilman estettä. "Luotettavat
palvelut" voivat olla esimerkiksi palveluita, joilla ei ole
proxyversioita ja ovat muuten jollain tavalla niin luotettavia,
että ne on päätetty päästää
läpi. Seuraavassa kuvassa (Kuva 5) /3/ on esitetty
screened host -tyyppinen palomuuriratkaisu.
Screened subnet -palomuuri on variaatio kahdesta edellisestä
arkkitehtuurista. Sitä voidaan käyttää, kun
halutaan sijoittaa kaikki palomuurin osat omiksi kokonaisuuksiksi.
Palomuurin hyvä puoli on, että jokaiselle osalle voidaan
antaa vain yksinkertainen erityinen tehtävä, joista
yhdessä voi kuitenkin muodostua hyvinkin monimutkainen järjestelmä.
Kuten seuraavassa kuvassa (Kuva 6) /3/ esitetään,
screened subnet -palomuuri muodostuu kahdesta suodattavasta reitittimestä,
joilla saadaan aikaiseksi palomuurin sisäinen verkko (screened
subnet). Tässä osaverkossa on sovellusyhdyskäytävä,
mutta voi olla myös joitakin muita palvelimia, jotka vaativat
tarkoin kontrolloidun pääsyn. Internet-rajapinnan reititin
toimii kuten aikaisemmissa arkkitehtuureissa, ja sisäinen
reititin suodattaa sisältäpäin tulevaa ja sisällepäin
menevää liikennettä seuraavien sääntöjen
mukaisesti:
Turvallisuusongelmat tulevat esiin, kun organisaatioilla, jotka
liitetään verkkoon, ei ole yhteistä luottamusta.
Joitakin tekniikoita on kehitetty takaamaan tietoturvallisuutta
tiedonsiirrossa Internetin välityksellä. Voidaan käyttää
erilaisia kryptaus-, autentikointi- ja suodatusmenetelmiä.
Ennen kuin organisaatio voi valita käytettävät
mekanismit, tulee sen laatia tietopolitiikka.
Palomuuria käytetään kontrolloimaan tiedonsiirtoa
eri verkkojen välillä. Organisaatio asettaa sen jokaiseen
ulkoiseen yhdyskäytävään suojaamaan verkkoa
luvattomalta liikenteeltä. Palomuurin toteutustapa riippuu
monesta tekijästä, kuten tietopolitiikasta tai ulkoisien
yhteyksien määrästä. Jos yhteyksiä on
useita, tulee kaikkien palomuurien toteuttaa yhtenäistä
politiikkaa, koska hakkerit löytävät ajan myötä
vähitenvartioidun sisäänpääsyn. Lähes
kaikissa palomuureissa on jonkinlainen suodattava reititin sekä
sen apuna linnoitettu tietokone (bastion host). Palomuuri voi
käyttää myös osaverkkoa erottamaan ulkoisen
liikenteen organisaation tuotantoverkosta.
Palomuureja on joskus kutsuttu yritysverkkojen kondomeiksi. Ne
tarjoavat osallistujille digitaalisen suojan pakettitason yhdynnässä
nopeasti kasvavan ja kaupallistuneen Internetin kanssa. Kuten
kondomeista, monet ovat kuulleet palomuureista, ja jotkut jopa
käyttävät niitä. Kuitenkin turvallisuusonnettomuuksien
lisääntyminen Internetin vuoksi vahvasti osoittaa, että
liian harvat käyttävät niitä oikein /1/.
/1/ Byte Magazine, October 1995, "Internet Firewalls".
/2/ Washington Technology, January 1995.
/3/ NIST (National Institute of Standards and Technology)
Special Publication 800-10, "Keeping Your Site Comfortably
Secure: An Introduction to Internet Firewalls. Ladattavissa
seuraavasta www-osoitteesta: http://burgau.inesc.pt/docs/security/firewall/800-10.abstract.html
/4/ Douglas E. Comer, Internetworking With TCP/IP,
Volume1: Principles, protocols, and architecture, third edition.
/5/ ftp://ftp.tis.com/pub/firewalls/
/6/ http://www.ncsa.com/
/7/ Byte magazine, April 1995, "Build a Firewall"
/8/ Kari Saarelainen, Lähiverkkojen tekniikka, 2. painos.