You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2006-28
Jouni Kortelainen:

Palomuurit

Johdanto

Tutkielman tarkoituksena on vertailla ADSL -modeemien ja tietokoneen omien palomuurien tarjoamaa suodatusta keskenään, sekä kartoittaa hieman, mitä muita eroja niiden välillä on. Olen pyrkinyt pysymään varsin yleisellä tasolla, jotta teksti olisi luettavaa ja ymmärrettävää kaikille, joita asia vähääkään kiinnostaa.

Aluksi puran muutaman lyhenteen auki sekä kerron yleistä asiaa palomuureista ja tekniikoista. Sitten keskityn henkilökohtaisiin palomuureihin. Tämän jälkeen siirryn tutkailemaan ADSL -modeemien toimintaa. Otin mukaan myös operaattorien tarjoaman kunnon tietoturvan tai lähinnä sen nykyisen puutteen ainakin Suomessa.

Lyhenteitä

DDoS (Distributed Denial of Service) - Hajautettu palvelunestohyökkäys.
DHCP (Dynamic Host Configuration Protocol) - Jakaa IP -osoitteen automaattisesti verkkoon liitettäville laitteille.
DNS (Domain Name System) - Muuntaa verkkotunnukset IP -osoitteiksi.
HIPS (Host Intrusion Prevention System) - Kohteen tunkeutumisen esto järjestelmä.
IPS (Intrusion Prevention System) - Tunkeutumisen esto järjestelmä.
ISP (Internet Service Provider) - Internet palveluntarjoaja.
MAC (Media Access Control) - Verkkokortin fyysinen osoite.
NAT (Network Address Translation) - Verkko-osoitteen muunnos.
NIPS (Network Intrusion Prevention System) - Verkon tunkeutumisen esto järjestelmä.
QoS (Quality of Service) - Takaa tietyille palveluille aina tietyn kaistan.

Yleistä

Palomuurin toiminta riippuu siitä minkä tyyppinen palomuuri on kyseessä. Perusjako palomuureissa on nykyään verkkokerroksen palomuurit ja sovelluskerroksen palomuurit. Verkkokerroksen palomuuri lähinnä vain tutkii IP-osoitteita ja portteja, kun taas sovelluskerroksen palomuuri pääsee katsomaan mitä siellä pakettien sisällä kulkee. Riippumatta palomuurin tyypistä, sen tehtävänä on suodattaa kaikesta sen läpi kulkevasta liikenteestä vain se, mitä sen sääntöihin on konfiguroitu.

Nykyään lähes kaikki palomuurit toimivat tilallisina palomuureina. [1] Tämä tarkoittaa sitä, että palomuuri pitää kirjaa kunkin yhteyden tilasta, eikä jo avatun yhteyden kaikkia paketteja tarvitse tutkia läpikotaisin vaan ainoastaan yhteyden avauspaketit tutkitaan tarkasti. Tämän jälkeen riittää vain katsoa otsikkotiedoista, että paketti kuuluu jo avoinna olevaan yhteyteen ja päästää se läpi, tai pudottaa jos se ei kuulu.

Palomuurien yhteyteen kuuluu nykyään useasti jonkunlainen tunkeutumisen esto- tai havainnointijärjestelmä. Kaupallisesti erilaisia järjestelmiä on lukuisia, mutta keskityn tässä selostamaan muutamia perusperiaatteita, mitä kotikäyttäjän on ehkä hyvä niistä tietää.

IDS on tunkeutumisen havainnointijärjestelmä, joka vain tekee havainnon epäilyttävästä liikennöinnistä ja ilmoittaa käyttäjälle, että jokin saattaa olla vikana. Käyttäjän on itse tehtävä tämän jälkeen asialle jotakin. [2]

IPS on tunkeutumisen estojärjestelmä, mikä on tavallaan palomuuri ja IDS yhdistettynä. IPS:llä on säännöt ja politiikat kuin palomuurilla ja se vertaa verkkoliikennettä niihin. Mikäli se huomaa liikennettä joka rikkoo sääntöjä, se voidaan konfiguroida estämään kyseinen liikenne eikä vain antamaan hälytystä käyttäjälle. [3]

Nykyään on käytössä NIPS ja HIPS. NIPS tarkkailee nimensä (Network Intrusion Prevention System) mukaan verkkoliikennettä analysoiden sen läpi kulkevien pakettien sisältöä ja määrää. HIPS puolestaan tarkkailee yhden työaseman ohjelmia, mitä systeemikutsuja ne tekee, mitä paketteja ne lähettävät tai muitakin järjestelmän aktiviteetteja. On selvää, että HIPS on paljon tehokkaampi ja luotettavampi kuin NIPS, mutta suuressa verkossa jokaisen koneen säätäminen ja hallinnointi käy vaikeammaksi kuin yhden NIPS-laitteen konfigurointi. Kunnon HIPS-järjestelmä isoon verkkoon vaatiikin jonkin keskitetyn hallinnointijärjestelmän. [4]

NIPS ja HIPS-järjestelmien toteutuksissa on eroja ja hyvän järjestelmän tulisi omata oppiva, sekä tunnettuihin uhkiin perustuva tietokanta. Tietokanta tunnetuista hyökkäystyypeistä auttaa estämään ”vanhat” tunkeutumiset, mutta uusia erityyppisiä uhkia vastaan niistä ei ole apua. Oppiva järjestelmä oppii tunnistamaan normaalin verkkoliikenteen ja jos se huomaa jotain siitä poikkeavaa, se ryhtyy vastatoimiin sille määritellyllä tavalla. Joskus järjestelmän ”opetus” saattaa olla erittäin haastavaa moninaisen liikennöinnin takia. [5]

Henkilökohtainen palomuuri

Henkilökohtainen palomuuri [6] on tietokoneelle asennettu ohjelma, joka kontrolloi tietokoneen sisään ja ulosmenevää liikennettä säädetyn turvapolitiikan mukaisesti. Monet ohjelmat tekevät nykyään paljon muutakin, kuin ainoastaan valvovat pakettien kulkua. Jonkin tasoinen www-suodatus kuuluu jo lähes jokaiseen palomuurin ja lukuisia muita ominaisuuksia on tarjolla maksullisissa versioissa.

Esimerkiksi Zone Alarm Pro [7] sisältää seuraavanlaisia ominaisuuksia: Valvoo käyttöjärjestelmän rekistereihin tehtyjä muutoksia ja tarkkailee epäilyttävää käytöstä virusten, spywaren ym. varalta, anti-spyware toiminta, valvoo luottokorttitietoja, ponnahdusikkunoiden ja scriptiien esto, sähköpostien virus tarkkailu.

Useat henkilökohtaiset palomuurit ovat "opetettavia". Ne kyselevät ponnahdusikkunoilla haluaako käyttäjä sallia liikennettä tai muiden ohjelmien käynnistämisiä jne. ja muodostavat tämän perusteella sääntöjä, joiden mukaan ne toimivat. Henkilökohtaiset palomuurit on kuitenkin suurimmaksi osaksi tarkoitettu kaikille tietokoneen käyttäjille ja suurimmalla osalla heistä ei ole mitään käsitystä tietoturvasta saati tietoliikenteen toiminnasta, joten palomuurien käytöstä on pyritty tekemään heitä varten helppoa. Suurimmassa osassa henkilökohtaisia palomuureja löytyykin asetus, josta suurimman osan "turhista" säädöistä ja varoituksista piiloon, sillä peruskäyttäjä ei niistä usein mitään ymmärrä. Tämä helpottaa tietokoneen normaalia käyttöä, mutta saattaa myös aiheuttaa käyttäjille liiallisen turvallisuuden tunteen. Toisaalta, jos joku muu on laittanut säädöt kuntoon ei ongelma ole niin suuri.

Henkilökohtaisissa palomuureissa on perinteisen IP ja porttikohtaisen suodatuksen lisäksi säännöt kaikille ohjelmille, jotka haluavat liikennöidä. Käyttäjän on periaatteessa helppoa valita listasta miten mikäkin ohjelma saa liikennöidä. Eri vuorokauden ajoille voi jopa määrittää erilaiset säännöt. Näiden lisäksi joissain ohjelmissa on tunkeutumisen estojärjestelmät (NIPS, HIPS).

Kun halutaan mitata eri palomuurien tehokkuutta on ehkä olennaisimmassa asemassa niiden proaktiivisuus, sillä perus stattiset säännöt toimivat samalla tavalla aina. Moni voi luulla, että maksulliset palomuurit ovat jotenkin parempia, mutta Difinex LTD:n tutkimuksen "Proactive Security Challenge" tulokset ovat melko yllättäviä. Siinä 35:stä testatusta palomuuriohjelmasta seitsemän parhaan joukossa on neljä täysin ilmaista palomuuriohjelmistoa. Parhaan tuloksen (100%) saikin monien suosima, ilmainen Comodo Internet Security. Mainittakoon vielä, että suosittu ja maksullinen Norton Internet Security sai vain 67% ja F-Secure Internet Security 2010 puolestaan 8%. [12]

Ongelmia

Yleinen uhka mikä henkilökohtaisiin palomuureihin liittyy, tulee siitä, että se on suoraan kytköksissä käyttöjärjestelmään. Hyökkäys käyttöjärjestelmään voi vaikuttaa palomuuriin ja sama toimii myös toiseen suuntaan. Henkilökohtainen palomuuri tuo lisää kuormaa tietokoneelle ja suoraan siihen kohdistuneet hyökkäykset ovat vaarallisia, kuten mato Witty vuonna 2004 osoitti. [8]

Monet haittaohjelmat saattavat häiritä palomuuria, koska ne toimivat samassa ympäristössä ja täten aiheuttaa tietoturvauhkia. Lopulta palomuurien oma käytös on jonkin asteinen ongelma käyttäjille. Jatkuvasti silmille ponnahtavat varoitukset alkavat nopeasti kyllästyttää peruskäyttäjää ja pian hän hyväksyy ne lukematta. Tosin monessa palomuurissa varoitukset saa aika hyvin minimoitua, mutta se tarkoittaa päätöksen jättämistä ohjelmalle, mikä ei aina välttämättä ole se paras ratkaisu.

ADSL-modeemin palomuuri

Nykyään ulkoiset ADSL -modeemit ovat modeemin lisäksi myös sisäverkon kytkimiä täten toimien kodin tai pienen yrityksen ainoana ulkoisena tietoliikennelaitteena. Perinteisesti ADSL -modeemeissa oleva palomuuritoiminta on rajoittunut verkkokerrokselle, mutta modeemien ohjelmistot sisältävät muutakin kuin vain pelkän palomuurin. Niissä on yleensä mukana ainakin jonkin tasoinen IPS, tukku palveluja ja jokin syvempi pakettien tarkkailu järjestelmä, mikäli modeemin ominaisuuksiin kuuluu ylempien protokollien suodatusta tai tarkastelua.

Itse modeemin palomuuriin voi tehdä sääntöjä vain IP-osoitteiden, porttien ja liityntärajapintojen mukaan. Tämä takaa suhteellisen varman suojan sisältä ja ulkoa tulevalle liikenteelle, mutta modeemin palomuuri ei osaa ottaa kantaa jos laillista porttia käyttää jokin laiton sovellus kuten troijalainen.

Useimmat ADSL -modeemit omaavat NAT:in, joka antaa hyvän suojan ulkoapäin tulevia yhteydenottoja vastaan. WWW-suodatus perustuu monessa modeemissa vain URL-osoitteiden tai niiden osien suodatukseen. Käyttäjä voi määritellä esim. mitä sanoja hän ei halua sallittavan URL -osoitteissa ja modeemi vertaa näitä sanoja pyydettyyn URL -osoitteeseen aina www-sivua haettaessa. Jotkut modeemit sisältävät myös MAC-suodatuksen, minkä avulla voidaan rajata tarkemmin mitkä koneet saavat liikennöidä verkossa. ADSL -modeemit tarjoavat kaikenlaisia palveluita mitä pieni koti tai yritysverkko tarvitsee. Ne sisältävät palomuurin lisäksi yleensä ainakin QoS:in, DHCP -palvelimen, dynaamisen DNS:n, DoS -eston. Tietoturvan kannalta DoS –esto on tärkein ja yleensä ainoa perus ADSL- modeemin IPS ominaisuus. Se perustuu lähinnä puoliavoimien yhteyksien määrän tarkkailuun, mikä pudottaa yhteyksiä mikäli niiden määrä ylittää annetut raja-arvot. [10, 11]

Ongelmia

ADSL -modeemin palomuurin konfigurointi ei aina ole niin helppoa vaikkei sääntöjä olisikaan paljoa. Kokematon käyttäjä saattaa helposti tehdä virheellisen konfiguraation.

Useimmat kotikäyttäjät eivät jaksa katsella palomuurin lokia saati laittaa sen hälytyksiä tulemaan esim. omaan sähköpostiin. Tämän johdosta suurin osa ADSL -modeemin palomuurien hälytyksistä jää käyttäjältä luultavasti huomaamatta ja tilannetta aletaan ihmetellä vasta kun jokin ei toimi niin kuin pitäisi.

Operaattorin palomuuri

Helpoin tapa normaalikäyttäjälle olisi saada palomuuri ISP:n päähän internet liittymän mukana, jota käyttäjä hallitsisi nettisivun kautta. Muutama vuosi sitten ainakin Saunalahden liittymissä oli kyseinen ominaisuus. Nykyään monet Suomen operaattorit kauppaavat F-Securen palomuuriohjelmaa tietoturvapakettinaan. Tämä tuo taas ongelman käyttäjälle, joka ei ymmärrä mitään palomuurin tarkoituksesta saati sen konfiguroimisesta.

Operaattorin päässä oleva palomuuri toimisi tilallisena palomuurina sallien yhteydenotot vain sisältä ulospäin. Tämän lisäksi siinnä voisi olla rajoitukset tietyille porteille, jotka ovat suurin tietoturvauhka.

Lakiehdotus [9] näyttää esimerkkinä millainen kyseinen palomuuri voisi olla. Jos oletuksena kaikki säännöt olisivat päällä, se riittäisi tietokoneen peruskäyttöön ja tarjoaisi hyvän suojan ulkoapäin tuleville uhille. Kuten lähteessä mainitaan, niin kyseinen palomuuri olisi estänyt monen viruksen leviämisen kokonaan. Kyseinen palomuuri olisi erittäin hyödyllinen kaikille varsinkin siinnä vaiheessa, kun käyttöjärjestelmä asennetaan ensimmäisen kerran eikä tietoturva-asetuksia kukaan ole vielä säätänyt kohdalleen.

Tietokone ei saa olla verkossa ennen kuin palomuuri on laitettu kuntoon ja tämän tyyppinen ratkaisu olisi aina päällä eikä ongelmia tästä johtuen tulisi. Operaattorin päässä oleva yksinkertainen palomuuri ajaa saman asian kuin esim. Windows XP:n oma sisäinen palomuuri ja se on aina päällä riippumatta kotikoneen asetuksista.

Ongelmia operaattorin päässä olevan palomuurin kanssa tuskin monellekaan tulee, jos se pidetään riittävän yksinkertaisena ja selkotajuisena siten, että 99% käyttäjistä sen ymmärtää ja sen yhden prosentin ei siitä tarvitse mitään tietääkään kunhan eivät mene siihen koskemaan.

Yhteenveto

Henkilökohtainen palomuuri on useimmille tietokoneen käyttäjille tuttu, vaikkeivät monet ymmärräkään siitä muuta kuin, että se pitää tunkeutujat koneen ulkopuolella. Huonosti konfiguroitu palomuuri on yhtä hyvä kuin jos sitä ei ole ollenkaan, sillä se antaa väärää turvallisuuden tunnetta käyttäjälle. Tässä on näiden palomuurien ongelma. Yleisesti ottaen palomuurista ei ole käyttäjälle juurikaan hyötyä jos käyttäjä ei sitä osaa käyttää. Tämä asia ei vaan käytännössä tule koskaan toteutumaan ja tietoturvaongelmia riittää niin kauan kuin käyttäjät eivät opettele tietokoneen käyttöön liittyviä tietoturva-asioita.

Lakialoite, josta lähteessä [9] puhutaan, saisi tulla kaikkialla maailmassa pakolliseksi. Se olisi jo estänyt monet suuret virusepidemiat ja sen kaltainen ratkaisu on aivan riittävä normaalille tietokoneen käyttäjälle, jolta löytyy hyvä virustorjuntaohjelma koneestaan.

Paras ratkaisu vähänkään osaavan kotikäyttäjän kannalta hyvän tietoturvatason saavuttamiseksi tuntuu olevan ulkoinen palomuuri estämään suurimmat ulkoapäin tulevat hyökkäykset ja henkilökohtainen palomuuri, jolla rajoittaa ohjelmien liikennöintiä ulos. Käyttäjillä, jotka eivät ymmärrä verkkoliikennettä, olisi hyvä olla operaattoreilta perussuoja aina päällä. Tämän asian ajaa nykyään esim. Windows XP:n palomuuri, mutta maailmalla on paljon käyttäjiä, joilla on vielä mm.Win98 koneessaan ja heitä varten olisi hyvä olla joku suoja, joka on aina päällä.

Erityisesti mikäli käytät julkisella IP:llä verkkoa on hyvä tarkistaa oman koneesi näkyvyys ja avoimet portit esimerkiksi ShieldsUP!-palvelulla. Kyseiseltä sivustolta löytyy muutakin tietoturvaan liittyvää, johon kannattaa tutustua.

Lähteet

-- JarkkoSillanpaeae? - 18 Sep 2009
Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r5 - 17 Nov 2009 - 13:26:02 - JarkkoSillanpaeae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback