Palomuuri

Tiivistelmä

Palomuuri on erillinen laite tai ohjelmisto, joka suojaa verkkoa ohjaamalla liikennettä ja estämällä luvattoman pääsyn siihen. Se toimii ennalta asetettujen sääntöjen mukaisesti, hyväksyen tai hylkäen liikennettä perustuen esimerkiksi IP-osoitteisiin, porttinumeroihin ja protokolliin.

Palomuuri on varmasti tuttu käsite kaikille, jotka ovat jollakin tavalla käyttäneet tietokonetta. Se on keskeinen osa jokaisen kyberturvallisuutta, sillä palomuurin avulla voi estää tehokkaasti ei-toivotut yhteydet internetistä.

Tässä artikkelissa käymme läpi palomuureihin liittyviä asioita ja sitä, mitä hyötyä sen käyttämisestä on. Jokaisen omasta tietoturvastaan kiinnostuneen ihmisen kannattaa olla tietoinen näistä asioista, jotta netin käyttäminen olisi turvallista.

Mikä on palomuuri?

Palomuuri on ohjelmisto tai laitteisto, joka voidaan konfiguroida estämään tietojen vaihtaminen tietyistä sijainneista, sovelluksista tai porteista samalla, kun se sallii olennaisen ja tarpeellisen tiedon kulkemisen.

Näin ollen palomuuri ei estä kaikkea liikennettä, vaan haravoi siitä epätoivotun toivotusta liikenteestä.

Palomuureja käytetään estämään luvaton pääsy sellaisiin verkkoihin, jotka eivät ole luotettavia. Ne toimivat noudattamalla erilaisia turvallisuuskäytäntöjä ja niitä käytetään estämään haitallisten toimijoiden pääsy yksityisiin verkkoihin, kuten käyttäjän omaa kotiverkkoon.

Palomuuri voidaan toteuttaa laitteiston, ohjelmiston tai molempien yhdistelmänä. Markkinoilla on paljon erilaisia ratkaisuja, joita voidaan käyttää. Lisäksi käyttöjärjestelmät tarjoavat oman palomuurin käyttäjille, joten sitä ei välttämättä tarvitse enää nykyään erikseen hankkia.

Miten palomuurit toimivat?

Palomuurit käyttävät yleensä kahta tai useampaa seuraavista menetelmistä suojatakseen verkon ulkoreunoja:

  • Pakettisuodatus (Packet Filtering): Palomuurit suodattavat paketteja, jotka yrittävät tulla sisään tai ulos. Ne hyväksyvät tai hylkäävät liikenteen aina sen mukaan, miten ne on ennalta säädetty suodattamien osalta.
  • Sovellusportti (Application Gateway): Sovellusporttitekniikka keskittyy suodattamaan liikennettä tiettyjen sovellusten osalta, kuten Telnetin tai File Transfer Protocolin.
  • Piiritason yhdyskäytävä (Circuit-Level Gateway): Piiritason yhdyskäytävä soveltaa liikenteen suodattamista silloin, kun yhteys on muodostettu ja paketit alkavat liikkua laitteiden välillä.
  • Välityspalvelimet (Proxy Servers): Välityspalvelimet voivat peittää todelliset verkkosoitteet ja suodattaa jokaisen viestin, joka liikkuu verkosta ulos tai sisään.
  • Tilaustarkastus tai dynaaminen pakettisuodatus (Stateful Inspection): Tämä menetelmä vertaa paitsi paketin otsikkotietoja myös sen tärkeimpiä dataan liittyviä osia. Niitä verrataan sitten tietokantaan ja tutkitaan, löytyykö niistä samankaltaisuuksia. Tämä määrittää taas sen, onko datan sallittu liikkuvan palomuuri ylitse.

Verkkopalomuurisi toimii jollakin näistä periaatteista. Palomuurin säännöt määrittävät, minkälainen liikenne voi kulkea sisään ja ulos. Näitä taas säädellään palomuurissa olevie porttien avulla. Tietyt sovellukset lähettävät dataa tiettyyn porttiin, jolloin niitä on helppo suodattaa tai säännöstellä.

Kaikki verkkoliikenne pyrkii saapumaan määränpäähän, joka tunnistetaan IP-osoitteen ja portin mukaan. Palomuurissa on olemassa satoja portteja, joista jokainen on numeroitu.

Näin IP-osoite ja portin numero yhdessä muodostavat ikään kuin postiosoitteen, jossa IP-osoite vastaa kadunnumeroa, kun taas portti on talon ja asunnon numero.

Eri tyyppiset verkkosovellukset ja protokollat käyttävät portteja, jotka on omistettu kyseiselle liikenteelle. Hyper-Text Transport Protocol eli tavallinen HTTP-verkkoliikenne käyttää oletuksena porttia 80. Turvallisempi HTTPS käyttää taas porttia 443.

Sähköposti, joka toimitetaan Simple Mail Transfer Protocol (SMTP) -palvelun kautta, käyttää porttia 25. Jos sähköposti toimitetaan Internet Message Access Protocol (IMAP) -palvelun kautta, sen yhteydessä käytetään porttia 143.

Etätyöntekijät, jotka haluavat muodostaa yhteyden yrityksen verkkoon, saattavat käyttää Remote Desktop Protocol (RDP) -palvelua, jota käsitellään portissa 3389.

Kaikki nämä portit sisältävät sääntöjä, jotta palomuuri voi valvoa dataliikenteen turvallisuutta. Turvallisuutta painotetaan erityisesti tulevassa liikenteessä, koska uhat tulevat lähtökohtaisesti verkon ulkopuolelta. Palomuurin avulla voidaan kuitenkin yhtä helposti hallita myös sellaista liikennettä, joka on lähdössä verkosta.

Palomuuri – eri tyypit esittelyssä

On olemassa monia erilaisia palomuureja, joiden erot on hyvä tiedostaa. Seuraavassa listauksessa käymme läpi lähinnä verkkolaitteiden palomuurit, emmekä ota huomioon ohjelmistopohjaisia palomuureja, kuten Microsoft Windowsiin sisältyvää palomuuria.

Perinteinen verkkopalomuuri

Pakettien suodattamiseen perustuvat verkkopalomuurit ovat juuri sitä tyyppiä, jota olemme edellä pitkälti kuvailleet. Ne tarjoavat suojaa estämällä ei-toivotun liikenteen – joka koostuu monista pienistä tietopaketeista – ja epäilyttävien yhteyksien pääsemistä yritysverkkoon. Ne toimivat soveltamalla joukkoa sääntöjä suodattmien ja porttien osalta, jolloin palomuuri voi sallia tai kieltää pääsyn verkkoon näiden sääntöjen mukaisesti.

Ainoa palomuurin läpi sallittu liikenne on sellainen liikenne, joka täyttää sääntöihin perustuvat ehdot, jotka perustuvat yleensä lähtevään tai saapuvaan IP-osoitteeseen, porttinumeroon tai protokollaan. Kaikki muunlainen tietoliikenne estetään.

Nämä palomuurit ovat erittäin tehokkaita – jos ne vain on konfiguroitu oikein. Useimmat onnistuneet palomuurien murtamiset johtuvat palomuurisääntöjen väärästä konfiguroinnista tai vanhentuneesta laiteohjelmistosta. Kannattaa myös pitää mielessä, että mitä kyvykkäämpi palomuuri on, sitä monimutkaisempi sen käyttäminen ja ylläpito on.

Seuraavan sukupolven palomuuri

Nämä palomuurit laajentavat perinteisen verkkopalomuurin ominaisuuksia. Perinteiset verkkopalomuurit toimivat datapakettien suodattamisen periaatteella ja sallivat vain sellaiset paketit, jotka vastaavat niihin asetettuja sääntöjä. Kaikki muu suodatetaan pois.

Jos perinteinen palomuuri on portinvartija, joka tarkistaa taustasi, tutkii papereitasi ja kysyy matkasi tarkoitusta, seuraavan sukupolven palomuuri tekee kaiken tämän tarkastaa vielä tarkemmin, mitä kaikkea kannat mukanasi.

Ne tutkivat kunkin verkkopaketin sisältöä ja yhdistävät sen tiedon palomuurisääntöihin tehdäkseen tarkemman päätöksen sen suhteen, päästävätkö ne paketin läpi vai ei.

Esimerkiksi yrityksessä saatetaan haluta, että henkilöstö voi käyttää internetiä lounastauon aikana, mutta et halua heidän lataavan torrentteja tai videotiedostoja. Seuraavan sukupolven palomuurit sallivat sinun olla erittäin tarkka sen suhteen, minkälaisia sovelluksia ja tiedostoja palomuurin läpi päästetään.

Rajoituksia voidaan tehdä sovelluskohtaisesti. Näin esimerkiksi voidaan sallia Skypen äänipuhelut, mutta tiedostoja ei sen kautta saa tällöin siirtää.

Nämä laitteet tarjoavat erittäin korkean suojatason, minkä vuoksi niiden hallinta saattaa olla vaatimuksena, mikäli haluaa saada sertifikaatin tai tehdä töitä johonkin standardiin perustuen, kuten Payment Card Industry Data Security Standard (PCI-DSS), Health Insurance Portability and Accountability Act (HIPAA) tai ISO/IEC 27001 Information Security Management -standardiperheen mukaisesti.

Tiedon kulun tarkalla hallinnalla verkkoon voidaan päästää sisään ja ulos erilaista dataa, mutta samalla ehkäistä tehokkaasti tietoturvaan liittyviä uhkia. voit lieventää laajempaa uhkien kirjoa, mukaan lukien harhailevat työntekijät ja tyytymättömät työntekijät.

Seuraavan sukupolven palomuuri pystyy yleensä myös muihin turvallisuuteen liittyviin toimintoihin. Nämä saattavat olla saatavilla suoraan paketista tai valinnaisina lisäosina, mutta joskus niitä myydään tilausmalliin perustuen.

Tunkeutumisen havaitseminen, haittaohjelmien skannaus ja joidenkin salattujen liikenteiden tarkastelu ovat tyypillisiä lisäominaisuuksia.

Jokaiden datapaketin tarkastelu vie pienen määrän aikaa. Suuressa verkossa nämä pienet ajat voivat kuitenkin kumuloitua ja aiheuttaa viiveitä yhteydessä. Esimerkiksi palvelunestohyökkäykset perustuvat juuri tähän ominaisuuteen, jossa verkko ruuhkautetaan lähettämällä sinne paljon turhia pyyntöjä.

Verkon heikentymisen välttämiseksi voi olla tarpeen lisätä palomuureja ja kuormanjakoa, jolloin käyttökokemus paranee huomattavasti. Verkon toimintaa voidaan tehostaa myös lisäämällä nopeampia, tehokkaampia ja kalliimpia laitteita, jotka on rakennettu selviytymään suurista datamääristä.

Verkkosovelluspalomuurit

Verkkosovelluspalomuuri koostuu tyypillisesti välityspalvelimesta, joka sijoitetaan palvelimella toimivan sovelluksen ja kyseistä sovellusta internetin kautta käyttävien etäkäyttäjien välille.

Välityspalvelin toimii viestien välittäjänä ja hyväksyy yhteydet eri käyttäjiltä, jolloin se keskustelee palomuurin kanssa heidän puolestaan. Tämän yhteyksien välittämisen kautta syntyvä suoja suojaa esimerkiksi porttiskannauksilta ja muilta haitallisilta uhilta, kuten turhien datapakettien hyökkäyksiltä.

Verkkosovelluspalomuurit tarjoavat turvallisen puskurin verkkopalvelimen ja oikeiden sekä haitallisten toimijoiden välillä.

Verkkosovelluspalomuurit on rakennettu kevyiksi ja nopeiksi – niissä pyritään painottamaan yksinkertaisuutta ja nopeutta. Vastoin intuitiota yksinkertaisuus tekee niistä vähemmän alttiita hyökkäyksille ja turvallisuushaavoittuvuuksille. Lisäksi niitä on helppo ylläpitää ja päivittää ajan tasalle.

Verkkosovellukset on määritelmällisesti suunniteltu käytettäväksi internetin kautta, ja parhaat sovellukset voivat käsitellä valtavan määrän liikennettä.

Jotkut organisaatiot katsovat tämän olevan riittävä syy täyttää yrityksen tarpeet ja hankkia oma palomuuri sisäverkolle ja verkkosovelluspalomuuri sovellusliikenteelle.

Tietokantapalomuurit

Nämä ovat erikoistapaus verkkosovelluksiin perustuvista palomuureista. Ne on nimittäin räätälöity internetiin suuntautuvan tietokantasovellustentarpeisiin.

Tietokantapalomuurit on suunniteltu siten, että ne tunnistavat ja neutraloivat tietokantoihin kohdistuvia hyökkäyksiä, kuten SQL-injektioita ja sivustojen välisiä komentosarjahyökkäyksiä.

Tietovuodot ovat erittäin epätoivottuja ilmiöitä kaikin puolin, sillä ne aiheuttavat yrityksille mainehaittaa, luottamuksen puutetta käyttäjissä ja jopa mahdollisia sakkoja valvontaviranomaisilta. Lisäksi käyttäjät saattavat menettää arkaluontoisia tietoja kolmansille osapuolille.

Juuri edellä mainittujen syiden takia on tarpeen toteuttaa kaikki tarvittavat toimenpiteet tietokantojen ja niissä olevien tietojen suojaamiseksi.

Tietokantapalomuurit sisältävät yleensä hallintapaneelin, jotta liikennettä ja tietokannan oikeuksia voidaan tarkastella, tarkistaa ja raportoida. Parhaimmillaan ne ovat helppokäyttöisiä, mutta toki vaativat hyvää tietoteknistä tuntemusta niiden käyttäjältä.

Yhtenäinen uhkienhallinta

Yhtenäinen uhkienhallinta (Unified Threat Management Appliances) yhdistää ominaisuuksia useista eri palomuureista ja turvalaitteista saman laitteen alle.

Tyypillisiä ominaisuuksia on esimerkiksi:

  1. Perinteinen palomuuri
  2. Tunkeutumisia havaitseva järjestelmä
  3. Pakettien skannauksen haitallisten virusten ja haittaohjelmien varalta
  4. Verkko-osoitteiden mustalistan, joka estää henkilöstöä yhdistämästä tietyille verkkosivuille, kuten tunnettuihin phishing-verkkosivuille.

Nämä laitteet ovat kalliimpia kuin perinteinen palomuuri ja niihin liittyy yleensä kiinteitä kuluja, jotta laitteisiin voi saada virustorjuntapäivityksiä.

Ne ovat kuitenkin halvempia silloin, kun toinen vaihtoehto on käyttää sarjaa erillisiä huippuluokan palomuureja saman kattavuuden saavuttamiseksi. Jokaisen yrityksen kannattaakin pohtia sitä, minkälaiset kulut sopivat parhaiten omaan liiketoimintaan. Yhtenäinen uhkienhallinta voi olla hyvä vaihtoehto silloin, kun kaikkein kalleimpia ratkaisuja ei tarvita.

Pilvipohjaiset palomuurit

Pilvipohjaiset palomuurit on helppoa ymmärtää erillisenä palomuuri-palveluna. Ne ovat pilvessä isännöityjä palomuureja, joita tarjoavat erikoistuneet palvelujentarjoajat. Ne ovat erittäin helposti saatavilla, skaalautuvat hyvin ja kykenevät käsittelemään valtavia määriä liikennettä yhdellä kertaa.

Samoin ne tarjoavat verkkopalveluille suojaa palvelunestohyökkäyksiltä. Niitä ylläpitävät ja konfiguroivat oikeat ammattilaiset, joten sinun ei tarvitse tätä hankkia tällaista erikoisosaamista talon sisälle.

Paikalliset asetukset on helppo tehdä ja ne usein pyritty toteuttamaan siten, että pilvipohjaisia palomuureja on mahdollisimman helppo ottaa käyttöön. Usein loppukäyttäjien tarvitsee vain yksinkertaisesti ohjata yrityksen luoma liikenne sen reitittimistä pilvipohjaiseen palomuuriin.

Etä- tai mobiilikäyttäjät voivat muodostaa siihen palveluihin yhteyden VPN-verkon kautta tai käyttämällä sitä verkon välityspalvelimena.

Pilvipohjaiset palomuurit sopivat erityisen hyvin sellaisille käyttötapauksille, joissa on käytössä useita toimistoja ympäri maailman. Tietysti se sopii myös niille firmoille, joiden toiminta perustuu etätyöhön.

Konttipalomuurit

Konttipalomuurit (Container Firewall) on suunniteltu erityisesti virtuaalisten ja ulkoistettujen laskentaympäristöjen haasteisiin. Ne toimivat hyvin samalla tavalla kuin perinteinen verkkopalomuuri, mutta niiden on pystyttävä käsittelemään konttiympäristön sisäisen liikenteen lisäksi sekä tulevaa että lähtevää liikennettä ei-konttiympäristön ja internetin välillä.

Koska useimmat konttien hypervisorit toimivat Linuxissa, monet kontit mahdollistavat ohjelmistopohjaisen palomuurin. Jos hallinnoitavien konttien määrä on suuri, oman palomuurin ylläpitäminen jokaisen kohdalla muodostuu kestämättömäksi.

Segmentointipalomuurit

Segmentointipalomuuria käytetään suojaamaan yritysverkon alaosastoja, jotka on erotettu palvelemaan erilaisia toiminnallisia alueita, tiimejä, osastoja tai muita vastaavia, jotka tulee eristää pääverkosta syystä tai toisesta.

Niitä käytetään usein verkon sisäisesti eristämään alueita, jotka käsittelevät arkaluonteisia tietoja, kuten maksukorttitietoja. Tällä tavoin voidaan helposti ehkäistä tietoturvaan liittyviä ongelmia.

Yhdessä muiden toimenpiteiden, kuten fyysisen pääsynhallinnan kanssa, ne voivat muodostaa tärkeän osan liiketoiminnan suojauksesta.

Niitä käytetään myös aliverkkojen rajapinnoissa sellaisissa tapauksissa, joissa halutaan estää onnistuneen tunkeutumisen nopeaa leviämistä verkossa. Kun verkon topologia on suunniteltu modulaariseksi, sen tietoturva ei luhistu täysin yhden moduulin pettäessä. Jos jossain alueella tapahtuu tietoturvaloukkaus, ne voivat auttaa rajaamaan ja hidastamaan tunkeutumisen tai infektion leviämistä.

Verkon segmentointipalomuurit ovat hyödyllisiä varsinkin suurille organisaatioille tai sellaisille yrityksille, joilla on suuri ja monimutkainen verkonrakenne.

Perusvirheet palomuurissa

Palomuurin tehokkuutta voidaan heikentää nopeasti yksinkertaisilla virheillä. Kallis palomuurisi ei ehkä toimi niin hyvin kuin luulet varsinkin silloin, jos sitä ei käytetä riittävän ammattimaisesti.

Joillakin yrityksillä on edelleen oletusarvoiset admin-salasanat palomuureissaan. Tämä antaa verkkorikolliselle helpon tavan kytkeytyä etäyhteydellä palomuuriisi ja konfiguroida sen asetuksia siten, että ulkopuolisilla on helppo pääsy verkkoon milloin tahansa.

He muuttavat yleensä salasanan – jonka laitteen tai sovelluksen omistajan olisi pitänyt tehdä heti ensimmäiseksi– joten et pääse takaisin palveluun lukitsemaan hyökkääjiä ulos. Sen sijaan he ovat lukineet sinut ulos omasta järjestelmästäsi.

On myös hyvä huomata, että monet valmistajat toimittavat palomuurit joukolla avoimia portteja. Näin verkon hallitsijan on varmistettava, että suljet kaikki käyttämättömät portit ja luot sekä noudatat menettelyjä, joissa portit avataan vain hyväksytyn tarpeen perusteella.

Menettelyn osana on varmistettava se, että yhteyksissä vaaditaan todennusta kyseisissä porteissa ja että asianmukainen palomuurisääntöjen hallinta on ammattitaitoista.

Palomuurisääntöjen asettaminen voi helposti muuttua monimutkaiseksi. Helppo ja yleinen virhe on luoda vahingossa kaksi ristiriitaista sääntöä. Koska nämä ovat ristiriidassa keskenään ja kamppailevat toisiaan vastaan, molemmat säännöt epäonnistuvat eivätkä tule noudatetuiksi. Tämä jättää verkon alttiiksi haavoittuvuuksille, joita voidaan käyttää hyväksi.

Verkkorikolliset käyttävät porttiskannereita etsimään avoimia portteja. Jokaista avointa porttia kokeillaan automaattisesti. Tämän takia on ilmeistä, miksi on erittäin tärkeää, että avaat vain tarvitsemasi portit ja ne on turvattu asianmukaisella tavalla.

Porttiohjaus on tekniikka, jossa käytetään epätavallista ja ei-standarsoitua porttinumeroa jollekin, jolla on hyvin tarkasti määritelty portti.

Palomuurit toimivat ohjelmistolla, joihin tulee aina helposti bugeja. Siksi on elintärkeää, että ylläpidät palomuurejasi aktiivisesti ja asennat kaikki valmistajan julkaisemat turvapäivitykset heti kuin mahdollista.

Palomuuri – yhteenveto

Palomuuri on erittäin tärkeä tekijä tietoverkkojen tietoturvan kannalta. Viime kädessä ihminen on usein suurin tietoturvauhka, koska huonosti konfiguroidut palomuurit saattavat aiheuttaa monenlaisia ongelmia tietoturvan suhteen.

Jokaisen yrityksen kannattaakin miettiä tarkkaan, minkälaisia palomuureja juuri heidän liiketoimintansa vaatii. On täysin eri asia hankkia palomuureja käyttöön silloin, jos kyseessä on pieni freelancereiden muodostama hikipaja kuin monikansallinen suuryritys.

Lisäksi kannattaa muistaa, että palomuurien ylläpito vaatii hallinnointia sekä aikataulujen että menettelytapojen muodossa. Niiden merkitys korostuu sitä mukaan, mitä suuremmasta yrityksestä puhutaan.

Samankaltaiset termit

Marshall Gunnell

Marshall on kokenut teknologiatoimittaja ja peliharrastaja, joka asuu Tokiossa. Hän on ammattimainen sananiekka, jonka kirjoituksia ovat julkaisseet esimerkiksi VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier sekä lukuisat muut mediat. Hänen kirjoituksensa ovat tavoittaneet yli 70 miljoonan lukijan massiivisen joukon.