You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-16

Aleksi Lehtonen

Henkilökohtaiset palomuurit

Johdanto

Henkilökohtaiset palomuurit -aiheen käsittelyssä on syytä rajautua nimenomaan ilmaisiin palomuuriohjelmistoihin, koska ne ensinnäkin kokemukseni mukaan ajavat asiansa henkilökohtaisessa käytössä siinä missä kaupallisetkin tuotteet ja toisekseen kaupallisiin ohjelmistoihin tutustuminen vaatisi maksullisen lisenssin. Samaten kustannussyistä ei tässä työssä voida käsitellä laitteistopalomuureja. Lisäksi rajaudutaan tutustumaan ohjelmistoihin Windows-alustalla, koska se perinteisesti vähiten tietoturvallisena käyttöjärjestelmänä on myös kaikkein kriittisin palomuuriohjelman toiminnalle.

Työssä tarkoituksenani on vertailla kolmea ilmaista palomuuriohjelmaa nimenomaan henkilökohtaisen käytön näkökulmasta - eli tilanteessa, jossa yksi ihminen käyttää yhtä tietokonetta - asentamalla ne ja testaamalla niiden ominaisuuksia tällä tavoin näkökulmaan sopivassa ajoympäristössä. Palomuurien tietoturvaa testataan web-pohjaisilla sovelluksilla. Valitut palomuuriohjelmistot ovat ZoneAlarm?, Sygate Personal Firewall ja Kerio Personal Firewall. Nämä kolme on valittu, koska ne ovat kenties kolme suosituinta ja yleisintä ilmaista ohjelmistoa tässä käytössä.

Palomuurit henkilökohtaisessa käytössä

Yleistä

Palomuuri on ohjelmistolla tai laitteistolla toteutettu järjestelmä, jonka tehtävänä on valvoa tietoliikennettä suojattavan verkon ja tähän liitetyn ulkoverkon välillä. Henkilökohtaisen palomuurin (engl. personal firewall, desktop firewall) tapauksessa tämä tarkoittaa käyttäjän tietokoneen suojaamista ulkoverkon vihamieliseltä toiminnalta ohjelmistopohjaisella ratkaisulla.

Tässä työssä testatut kolme palomuuriohjelmistoa ovat tyypiltään pakettisuodatuspalomuureja. Niiden toiminta perustuu IP-pakettien osoitteiden perusteella tehtävään paketin hylkäämiseen tai hyväksyntään. Suodatussääntöjen avulla liikennettä voidaan suodattaa niin IP- kuin porttiosoitteidenkin perusteella. Myös tietopaketin tyyppi ja kellonaika voi vaikuttaa suodattimen toimintaan. [FiCom]

Tietokoneeseen verkon kautta kohdistuvat uhat

Henkilökohtaiseen tietokoneeseen kohdistuvat uhat voidaan jakaa kolmeen ryhmään: tunkeutumisiin, palvelunestohyökkäyksiin ja tietovarkauksiin. Tunkeutumisella tarkoitetaan tietokoneen luvatonta käyttöä verkon yli, jolloin tunkeutuja voi tutkia tai muuttaa koneella olevia tietoja sekä asetuksia [FiCom]. Tunkeutuja voi lisäksi onnistua tätä kautta suorittamaan tietovarkauden tai päästä asentamaan erilaisia haittaohjelmia, kuten takaovia, joiden kautta tällä tavoin saastutetut koneet voidaan kytkeä esimerkiksi hajautetuksi roskapostitusverkoksi. Tällaisia zombie-koneita syntyy Tietoturvayhtiö CipherTrustin? mukaan 179 000 uutta joka päivä [MBnet]. Palvelunestohyökkäyksellä taas tarkoitetaan tietokoneen halvaannuttamista kuormittamalla sitä esimerkiksi jatkuvilla ylimääräisillä toimintakomennoilla [FiCom].

On erittäin tärkeää huomata, että vaikka palomuuritekniikka estää suojaamansa verkon kautta tulevat hyökkäykset, ei paraskaan tekninen ratkaisu kykene suojaamaan tietokonetta käyttäjän huolimattomuudelta. Tästä syystä palomuurin oikea käyttö vaatiikin jatkuvaa ylläpitoa ja huolellisuutta. [FiCom] Vakavan tietoturvauhan muodostavat myös palomuurin ohittavat yhteydet, kuten erillinen langaton verkko ja mahdollinen fyysinen pääsy tietokoneelle. Osaava palomuuri kykenee toki vähentämään ylläpitotarvetta tarjoamalla mahdollisuuden verkkoliikenteen tapahtumien seuraamiseen esimerkiksi tapahtumalokien ja hälytystoimintojen avulla, kulkeehan kaikki verkkoliikenne palomuurin läpi [Viestintävirasto].

Testatut ohjelmistot

Ohjelmien testauksesta

Tässä työssä testatut ohjelmistot ovat ZoneAlarm? 6.1, Sygate Personal Firewall 5.6 ja Kerio Personal Firewall 4.2.2. Viimeksi mainittu toimii asennuksesta 30 päivän ajan kuten täysversio, jonka jälkeen siirtyy limited edition -tilaan. Kahdesta muusta ohjelmasta on olemassa sekä ilmais- että kaupalliset versiot. Itse palomuurin suhteen ei ilmaisissa ja kaupallisissa ole eroja, vaan kaupalliset ohjelmistot sisältävät lisäksi palveluja mainosten ja haittaohjelmien torjuntaan.

Ohjelmien testaus suoritetaan asentamalla ne yksi kerrallaan Windows XP Pro SP1 -käyttöjärjestelmään. Internet-yhteys on koneessa toteutettu HomePNA?:lla. Huomiota kiinnitetään ohjelman käyttöönottoon, toimintaan ja ominaisuuksiin, joita arvioidaan erityisesti käytettävyyden kannalta: Ohjelman normaali toiminta ei esimerkiksi saa vaatia käyttäjältä liikaa toimenpiteitä, koska palomuurin tehtävä on olla automaattinen suojausjärjestelmä ja siten useimmiten huomaamaton. Ohjelman tulisi myös käyttäjältä lisätietoja kysyessään pyrkiä antamaan tarpeellinen määrä tietoa, jotta käyttäjä ymmärtää, mihin on vastaamassa.

Tietoturvatesti

Palomuurien tietoturvatesti toteutettiin web-pohjaisilla sovelluksilla Shields UP! Ja Sygaten Security Scan.

[Shields UP! | https://www.grc.com/x/ne.dll?bh0bkyd2]

Shields UP! ei havainnut missään kolmesta testatusta palomuuriohjelmistosta tietoturvaongelmia tiedostonjaon ja tietoliikenneporttien suhteen. Kaikki portit olivat tälle testille näkymättömiä. Esimerkkinä perusporttitestin tulos eräällä kerralla:
==GRC Port Authority Report created on UTC: 2005-12-14 at 17:50:31==

==Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113, ==
==                            119, 135, 139, 143, 389, 443, 445, ==
==                            1002, 1024-1030, 1720, 5000==

==    0 Ports Open==
==   0 Ports Closed==
==   26 Ports Stealth==

==   26 Ports Tested==
==ALL PORTS tested were found to be: STEALTH.==

==TruStealth: PASSED - ALL tested ports were STEALTH,==
==                   - NO unsolicited packets were received,==
==                   - NO Ping reply (ICMP Echo) was received.==

[Sygate Online Services - Security Scan |http://scan.sygate.com/]

Sygaten Security Scan ei myöskään havainnut tietoturvaongelmia testatuissa ohjelmissa. Esimerkkinä pikatesti eräällä kerralla:

sygate_securitytest.png

Testaushavainnot ja ohjelmistojen vertailua

Testiohjelmistojen asennukseen, käyttöönottoon ja ominaisuuksiin liittyvä havaintomateriaali esitetään seuraavassa. Sivun lopussa on lyhyesti eritelty ohjelmien hyviä ja huonoja puolia sekä vertailtu niitä keskenään.

Zone Alarm

Asentaminen

Zone Alarmin asennusohjelma kertoo joka vaiheessa selkeästi, mitä ollaan tekemässä ja mitä tapahtuu seuraavaksi. Ohjelma estää välittömästi asennuksen alettua kaiken verkkoliikenteen, mutta ei mitenkään informoi käyttäjää tästä. Käyttäjältä pyydetään sähköpostiosoitetta, ilmoittaen virheellisesti syyksi päivitysten lataamismahdollisuus. Tosiasiassa sitä ei tarvita, vaan päivitykset haetaan tarvittaessa ohjelman kotisivulta.

Zone Alarm pyrkii helpottamaan palomuurin käyttöönottoa kysymällä, annetaanko webin selailuun välttämättä tarvittaville sovelluksille, kuten oletusselaimelle, automaattisesti verkonkäyttöoikeudet. Käytännössä tämä ominaisuus havaittiin toimimattomaksi, koska ohjelma kuitenkin myöhemmässä vaiheessa kysyi oikeuksia oletusselaimelle.

Asennuksen lopuksi kysytään, haluaako käyttäjä maksullisen vai ilmaisen palomuurin käyttöönsä. Ilmainen versio - joka tässä työssä valittiin - ei tarjoa anti-spyware-ominaisuuksia, sähköpostivirustutkaa, käyttäjäntunnistukseen liittyviä suojausmenetelmiä, mainosten estimiä eikä automaattista palomuurin konfigurointia.

Käyttäjältä pyydetään lupa tietokoneen uudelleenkäynnistämiseen ennen palomuurin käytön aloittamista. Käytännössä lupa on pakko myöntää välittömästi, koska kyselyikkunassa ei ole esimerkiksi ´Käynnistän tietokoneeni uudelleen myöhemmin´-vaihtoehtoa:

[internal://zonealarm_restart.png]

{Tässä työssä on aivan liikaa kuvia, jotta ohjaaja ehtisi suppeakaistansa kautta saada ne paikoilleen. Työ jää opiskelijalle ja ylempänä on malli koodista, jolla TWikiin ladatut kuvat tulevat näkyviin kun internal-koodi korvataan sellaisella.}

Käyttöönotto

[internal://zonealarm_access.png]

Tällaisia oikeuskyselyjä tulee jokaisen verkkoyhteyttä haluavan ohjelman osalta. Ensimmäisellä käyttökerralla selvittiin noin kymmenellä kyselyllä. ´Remember this setting´-ruutu ruksaamalla ei samaan kyselyyn tarvitse vastata toiste. Tarvittaessa More Info -näppäimellä aukeaa web-sivu, joka pyrkii kertomaan käyttäjälle selväkielisesti, voidaanko oikeudet turvallisesti myöntää.

[internal://zonealarm_security_net.png] [internal://zonealarm_security_prog.png]

Palomuurin perustoiminnallisuus säädetään lähinnä näillä kahdella liukusäätimellä, jotka löytyvät pääikkunan välilehtien kautta. Kuvissa oletusasetukset.

[internal://zonealarm_protected.png]

Oletusarvoisesti ohjelma näyttää kaiken estetyn liikenteen molempiin suuntiin: vasemmalla koneelta verkkoon, oikealla toisin päin. Käytännössä ´Don´t show this message again´ on ruksattava, koska näitä ilmoituksia tulee peruskäyttäjälle häiritsevän tiheään.

Ominaisuudet

Päänäkymä

[internal://zonealarm_mainwindow.png]

Ohjelman pääikkuna ei muistuta lainkaan tavanomaista Windows-ikkunaa, mutta on kertaalleen läpi käymisen jälkeen toimiva. Välilehtiä on sekä vasemmassa reunassa pystysuunnassa, että oikealla yläosassa. Kaikki ohjeet annetaan keskiosassa olevalla palstalla. Ikkuna voidaan myös pienentää kompaktiin kokoon, mutta käyttötarkoitusta on tällaiselle hyvin hankala keksiä:

[internal://zonealarm_main_compact.png]

Hieman epäselvästi punainen stop-nappi estää kaiken verkkoliikenteen ja avonaisen riippulukon kuva kaiken Internet-liikenteen.

Lokinäkymä

[internal://zonealarm_log.png]

Lokitiedosto tarjoaa tarvittaessa hyvinkin tarkkaa tietoa yksittäisestä tapahtumasta More Info -näppäintä painamalla, jolloin avautuu web-sivusto selittäen tarkasti kaiken tapahtumaan liittyvän. Ikävä kyllä tallennettavan lokitiedoston pituuteen, sisältöön tai sen viemään levytilaan ei mitenkään pääse vaikuttamaan.

Anti-virus Monitoring

Yo. kuvassa välilehtenä näkyvä Anti-Virus Monitoring mahdollistaa virustutkan toiminnan tarkkailun palomuurista käsin. Ominaisuus ei tue kaikkia virustutkia, kuten ei käyttämääni AntiViri?ä, eikä tuetuista tutkista ole myöskään listaa saatavilla, joten ominaisuutta ei päästy testaamaan.

Sygate Personal Firewall

Asentaminen

Sygaten asennus on äärimmäisen pelkistetty: käyttäjältä kysytään ainoastaan asennuskansio. Asennuksen jälkeen ohjelma pyytää lupaa käynnistää tietokone uudelleen tarjoten myös käyttäjälle mahdollisuuden tehdä se hieman myöhemmin.

Käyttöönotto

[internal://sygate_allow.png]

Palomuuri oli alusta asti käyttäjälle niin näkymätön kuin mahdollista. Uudelleenkäynnistyksen jälkeisessä käyttöjärjestelmän lataamisessa ohjelma kysyi ainoastaan yhden tarkennusta vaativan seikan, joka näkyy yo. kuvassa, lisätietoja sisältävä ikkuna avattuna. Tässä suhteessa Sygate vaatii käyttäjältä jonkin verran tietoteknisiä taitoja, sillä se ei opasta käyttäjää tämän enempää.

[internal://sygate_prog.png]

Sygaten kyselyikkuna tietyn ohjelman vaatiessa verkkoyhteyttä.

Ominaisuudet

Päävalikko

[internal://sygate_menu.png]

Tehtäväpalkin kuvakkeesta avautuvasta valikosta on suora pääsy kaikkiin ohjelman toimintoihin, eli pääikkunaa (valikossa oletuksena eli lihavoituna) ei ole tarpeen avata jokaista toimintoa varten.

__Options__-näkymästä voidaan eri välilehdille jaettuna säätää ohjelman asetuksia. Voidaan valita, käynnistyykö ohjelma aina käyttöjärjestelmän lataamisen yhteydessä, estetäänkö kaikki verkkoliikenne aina näytönsäästäjän ollessa toiminnassa, jaetaanko tiedostoja ja tulostimia tietyssä verkossa, mitä lokistiikkaa tallennetaan ja kuinka monen päivän ajalta, ilmoitetaanko käyttäjälle palomuurin uusista versioista automaattisesti jne. Kaikki asetukset voidaan lisäksi lukita salasanan taakse, jottei kukaan tietämättömyyttään tai vahinkoa aiheuttaakseen kykene niitä muuttamaan.

Advanced Rules tarjoaa mahdollisuuden palomuurin toiminnan hyvin tarkkaan määrittelyyn esimerkiksi tietyn protokollan, aliverkon, IP- tai MAC-osoitteen perusteella.

Applications näyttää listauksen kaikista niistä ohjelmista, jotka ovat yrittäneet päästä verkkoon palomuurin ollessa toiminnassa. Käyttäjän valintojen mukaan pääsy joko sallitaan aina, ei sallita koskaan tai sallitaan kysyttäessä. Tästä näkymästä päästään näitä kolmea vaihtoehtoa myös muuttamaan. Lisäksi näytetään ohjelmien versionumerot ja sijainti levyllä. Mikäli tietylle ohjelmalle on tarpeen määritellä oikeuksia tarkemmin, tarjoaa Advanced-näkymä monipuoliset vaihtoehdot mm. sallittujen porttien ja tietyn oikeusaikataulun laadintaan:

[internal://sygate_advanced_app.png]

Päänäkymä

[internal://sygate_mainwindow.png]

Pääikkuna sisältää havainnollista tietoa verkkoliikenteestä ja ajossa olevista sovelluksista. Security Test -näppäin vie Sygaten web-pohjaiselle [testisivustolle | http://scan.sygate.com/].

Lokinäkymä

[internal://sygate_log.png]

Sygaten torjumat hyökkäykset ja muuta asiaan liittyvää informaatiota tarjoaa tämä security log -näkymä. Hyökkäyksen vakavuusaste näkyy selkeästi sarakkeessa Severity. Alareunassa on tarkempi kuvaus tapahtumasta. Liikennettä voidaan seurata myös yksittäisten, torjuttujen tai läpipäästettyjen, UDP- ja TCP-pakettien perusteella. Käyttäjä voi jäljittää haluamansa IP-osoitteen BackTrace?-toiminnolla. Muuten hyvin toimivan lokinäkymän käytettävyyttä vähentää se, ettei ikkunaa voi pienentää kuvassa näkyvää kokoa pienemmäksi. Tämä saattaa koitua ongelmaksi, mikäli kuvaruudun resoluutio on pieni.

Kerio Personal Firewall

Kerio ei kerro, mitkä ominaisuudet ovat käytössä myös ohjelman taantuessa ilmaisversioon. Tästä syystä jotkin esitetyistä ominaisuuksista saattavat liittyä ainoastaan kaupalliseen versioon, mutta palomuurin ydintoiminnot ovat luonnollisesti myös ilmaisversiossa.

Asentaminen

[internal://kerio_install.png]

Kerion asennus on hyvin minimalistinen, mitään ylimääräistä ei kysellä. Käyttäjän on tehtävä ainoastaan yllä olevassa ruudussa näkyvä valinta siitä, haluaako hän aloittaa ohjelman käytön edistyneessä tilassa vai perustilassa, jossa käyttäjältä ei kysytä yhtään mitään. Muihin ohjelmiin vertailun helpottamiseksi tämä ohjelma asennettiin edistyneeseen tilaan.

Asennuksen lopuksi Kerio haluaa käynnistää koneen uudelleen, mutta suostuu myös odottamaan uudelleenkäynnistystä käyttäjän toimesta.

Käyttöönotto

[internal://kerio_trusted.png]

[internal://kerio_app.png]

[internal://kerio_outgoing.png]

Uudelleenkäynnistyksen jälkeen Kerio ottaa häiritsevällä tavalla koneen haltuunsa: edes Tehtävienhallinta ei vastaa Ctrl+Alt+Delete -painallukseen. Aluksi ohjelma kysyy luottaako käyttäjä löydettyyn verkkoon (ylin kuva). Ohjelma ei luovuta, ennen kuin on saanut kysyttyä jokaisen verkkoyhteyttä haluavan ohjelman ja jokaisen jotakin toista ohjelmaa käynnistävän ohjelman suhteen käyttäjältä, sallitaanko liikenne (kaksi alinta kuvaa).

Ominaisuudet

Päänäkymä

[internal://kerio_preferences.png]

Päänäkymä preferences-välilehti avoinna. Tämä on pienin koko, mihin ikkunan voi skaalata, joten ongelmia saattaa ilmetä pienillä resoluutioilla. Preferences sisältää huomattavan vähän säätämismahdollisuuksia ja informaatiota, ottaen huomioon tilantarpeen ja sen, että operoidaan edistyneessä tilassa.

Lokinäkymä

[internal://kerio_log.png]

Kerion lokitietoa [Shields UP! | https://www.grc.com/x/ne.dll?bh0bkyd2] -porttitestauksen jäljiltä.

Apuohjelmakohtaiset estoasetukset

[internal://kerio_app_blocking.png]

Kerio pyrkii myös estämään troijan hevonen -tyyppiset hyökkäykset kysymällä lupaa tietyn apuohjelman käynnistämiseen, ja varoittaa, mikäli jokin sallittu apuohjelma myöhemmin muuttuu. Lisäksi on mahdollista estää tiettyä ohjelmaa käynnistämästä jotakin toista ohjelmaa, jottei mikään kielletty ohjelma voisi saada epäsuoraa verkkoyhteyttä.

Vertailua

Zone Alarm

Hyvää: * Helppo asennus ja käyttöönotto * Yksinkertainen ja selkeä toiminnallisuus * Toimiva ohjeistus

Huonoa: * Lisäasetukset usein piilotettu hankalasti löydettäviin paikkoihin * Asetuksia rajallinen määrä

Muuta: * Ei noudata Windows-ikkunan perusrakennetta

Sygate Personal Firewall

Hyvää: * Kaikkia toimintoja voi säätää monipuolisesti * Kaikki ominaisuudet helposti löydettävissä

Huonoa: * Osa ikkunoista vie turhan paljon tilaa työpöydällä * Käyttö vaatii jonkin verran tietoteknisiä taitoja

Kerio Personal Firewall

Hyvää: * Selkeä, minimalistinen asennus * Tarjoaa mahdollisuuden joko perus- tai edistyneeseen käyttöön

Huonoa: * Kaupallisen ja ilmaisen version välisistä eroista ei ohjelmassa kerrota * Koneen täydellinen haltuunotto asennuksen yhteydessä uudelleenkäynnistyksen jälkeen * Pääikkuna vie suuren tilan työpöydällä, vaikka sen informaatioarvo on joillain välilehdillä todella pieni

Yhteensä

* Jokainen ohjelma lunasti henkilökohtaisen tietokoneen palomuurille asetetut vaatimukset. * Zone Alarm sopii parhaiten käyttäjälle, joka tarvitsee nimenomaan toimivan ja helppotajuisen kokonaisuuden, jonka oppimiskynnys on matala * Sygate Personal Firewall lienee paras vaihtoehto käyttäjälle, jolla on jonkinverran tietoteknisiä taitoja ja joka haluaa käyttäjälle näkymättömän, mutta tarvittaessa hyvinkin edistyneisiin toimintoihin venyvän palomuurin * Kerio Personal Firewallin vahvuus on monipuolisuus, mutta käyttäjää saattaa häiritä se, että palomuuri pyrkii puuttumaan jokaiseen koneella tapahtuvaan asiaan

Päätelmät

Testihavaintojen perusteella voidaan sanoa jokaisen kolmen palomuurin täyttävän henkilökohtaisen tietokoneen palomuurin vaatimukset. Kuitenkin yksi ohjelmista oli sekä käytettävyydeltään että ominaisuuksiltaan jonkin verran kilpailijoitaan parempi. Sygate Personal Firewallissa yhdistyy helppo asennus ja käyttöönotto sekä tarvittaessa hyvinkin edistykselliset toiminnot.

Käyttäjää jonkin verran enemmän ohjeistavaa palomuuria etsivälle saattaa Zone Alarm olla oikea ratkaisu. Kerio Personal Firewall taas sopii sille, joka haluaa käyttää hieman aikaa palomuurin ominaisuuksien virittelyyn, eikä häiriinny siitä, että palomuuri haluaa ottaa kantaa jokaiseen koneella tapahtuvaan asiaan.

Lähteet

Palomuuriohjelmistojen kotisivuja:

Web-sovelluksia palomuurien pitävyyden testaamiseksi:

Verkkoartikkeleita:


Johdantoon ja Testatut ohjelmistot -osioon tein joitakin rakennetta selkeyttäviä muutoksia saamieni kommenttien perusteella. Testaushavaintojen jakaminen useammalle sivulle olisi ollut hyvä ratkaisu, mutta Moodle ei alustana tähän oikein taivu, joten ikävä kyllä jouduin jättämään toteutuksen tältä osin ennalleen. Tämän työn puitteissa ei voitu myöskään tutustua tarkemmin käytettyihin web-pohjaisiin testausohjelmiin, eikä pakettisuodatuspalomuurien toimintaan. Laitteistopalomuurit oli myös sivuutettava, koska en mainitunlaisia laitteita omista. Myöskään Windows XP SP2 -yhteensopivuutta ei päästy testaamaan, koska en kyseistä service packia omalle koneelleni aio asentaa. Kiitos kaikille kommentoijille.
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 05 Oct 2009 - 23:47:05 - JukkaJaervenpaeae?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback