[Muokattu: 1.6.2011]

Yleistä palomuureista (1) [ < Tietoverkon rak... < Tietoverkkoturv... ]

Palomuuri ('firewall') on prosessi, joka suodattaa tietoliikennettä ulko- ja sisämaailman välillä. Sen tehtävänä on päästää läpi paikallisen politiikan mukaan oikeutettu liikenne ja hävittää muu. Torjuttavasta liikenteestä otetaan yleensä tunnistetietoja talteen lokitiedostoon, jotta voidaan myöhemmin päätellä, millaisia hyökkäyksiä ulkoapäin on tulossa tai myös, millaista asiatonta toimintaa sisällä tapahtuu (esim. Troijan hevosen toimesta).

Sisä- ja ulkomaailma tarkoittavat tässä kahta eri verkkoa, yleensä siten, että ulkopuolella on julkinen Internet ja sisäpuolella yrityksen tai vastaavan oma verkko (intranet). Yrityksellä voi olla sisä- ja ulkomaailman välissä (tai rinnalla) myös eteisverkko eli DMZ ('demilitarized zone'), mutta yhden palomuurin kannalta se on vain verkko, jolla on tietynlainen politiikka.

Suodatusta varten on usein oma koneensa, jossa ei ole muita prosesseja. Kotikäyttöön on luontevampaa asentaa ohjelmallinen palomuuri. Ainakin kiinteästi Internetiin kytkettyyn koneeseen sellainen kannattaa hankkia, ellei käyttöjärjestelmä (kuten MS-Windowsin uudet versiot) tarjoa sitä valmiina. Ilmaisohjelmiakin on.

Palomuurin yleiset vaatimukset ovat samanlaiset kuin viitemonitorilla luotetussa käyttöjärjestelmässä (ja yleisemmin TCB:ssä ):

  1. Sen pitää olla ohittamaton: kaiken liikenteen ulos ja sisäänpäin täytyy kulkea sen kautta. Sisä- ja ulkoverkon välinen reititin on luonteva paikka palomuurille. Edes työasemaan kytkettyä modeemia ei pidä käyttää sen ohittamiseen.
  2. Sen pitää olla riittävän suppea ja yksinkertainen, jotta sen toimivuudesta voidaan vakuuttua. Jos palomuuri ratkaisee kunkin tietoliikennepaketin kohtalon muista riippumatta, se voidaan pitää varsin yksinkertaisena. Suuntaus on kuitenkin siihen, että prosessi ottaa huomioon eri paketeista muodostuvaa kokonaisuutta, esim. lähetyksiin tulevia kuittauksia.
  3. Siihen itseensä ei voida murtautua. Tämä on tietysti kovin tiukka vaatimus ohjelmalliselle palomuurille henkilökohtaisessa tietokoneessa, jossa on runsaasti muita prosesseja. Toisaalta vaatimus on kovin alkeellinen ja minkä tahansa verkossa toimivan laitteen käyttöjärjestelmän pitäisi huolehtia riittävästä suodattamisesta. Erilliselle palomuurikoneelle vaatimus merkitsee lisähaastetta myös fyysiselle pääsynvalvonnalle ja etäältä tapahtuvalle ylläpidolle.
Karkeasti jaoteltuna palomuureja on kahdenlaisia.
  1. Paketteja suodattava reititin ratkaisee pakettien kohtalon niiden otsikkokentissä olevien tietojen perusteella. Näitä tietoja ovat erityisesti lähettäjän ja vastaanottajan IP-osoitteet ja porttinumerot, jotka ovat osoitteita IP:n päällä toimiville TCP- ja UDP-protokollille. Porttinumerot kertovat, mistä sovelluksesta on kyse ja tämä on tärkeä suodatusperuste. On myös syytä karsia sellaiset ulkoa tulevat paketit, joissa lähettäjäksi on merkitty jokin sisäpuolinen osoite - ja kääntäen.
  2. Sovellustason palomuuri suodattaa pakettia korkeammalla abstraktiotasolla, joka ottaa huomioon viestien merkityksen kunkin sovelluksen kannalta. Tämä tarkoittaa siis sitä, että tarkastellaan pakettien sisältöä eikä vain otsikkokenttiä. On mahdollista esimerkiksi havaita viruksia.
Palomuurit ovat ilmeisen välttämättömiä, mutta ne saattavat rohkaista verkon ylläpitäjää suhtautumaan huolettomasti niiden sisällä olevan alueen turvallisuuteen. Jos palomuuri murtuu, seurauksena voi tällöin olla, että koko järjestelmä on täysin avoinna hyökkääjälle. Murtuminen voi olla seurausta ohjelmisto- tai laitteistovirheistä, mutta todennäköisempää on, ettei palomuuria ole säädetty oikein politiikan mukaiseksi.