Tulimuurien tehtävä tietoliikenteessä on erottaa kaksi tai usaempaa verkkoa omiksi turva-alueikseen. Usemmiten tulimuureilla erotetaan organisaation oma verkko Internetistä, mutta myös organisaation sisällä voidaan tehdä turva-alueisiin jakoja.
Tässä dokumentissa käsitellään tulimuureissa käytettyjä tekniikoita, lähinnä kuinka ne toimivat, sekä lisäksi tarkastella eri tekniikoiden huonoja ja hyviä puolia. Tavoitteena onkin teknisen tiedon avulla saada lukija suhtautumaan kriittisemmin tulimuureihin ja niiden tekniikoihin.
Organisaatioiden liittäessä sisäisiä verkkojaan osaksi Internetiä on tullut ajankohtaiseksi myös miettiä turvaratkaisuja. Myös organisaation sisällä verkon tietoturvatietoisuuden kehittyminen kasvattaa paineita turvallisuusratkaisujen hankkimiseen.
Usein eritetään tulimuurin hankkimista patenttiratkaisuna useimpiin verkkoturvallisuuden ongelmiin. Ajatuksena tuntuu olevan että "me olemme turvassa koska meillä on tulimuuri". Tuontapaiset ajatukset ovat todella epärealistisia ja samalla vaarallisia.
Tässä dokumentissa kuvataan tulimuurehin liittyviä tekniikoita. Tarkoituksena on saada lukija ymmärtää miten tulimuureja voidaan käyttää verkon suojauksessa ja osoittaa joitain eri tekniikoiden huonoja puolia. Tulimuurin pitää aina olla vain osa kokonaisvaltaista tietoturvaratkaisua [1].
Pakettisuodatus on yksinkertaisin ja samalla nopein tulimuurien toteutustekniikka. Sen yksinkertaisuuden vuoksi lähes kaikki reitittimet sisältävät jonkinlaisen mahdollisuuden käyttää tätä tekniikkaa. Pakettisuodatus tosin usein tukee vain muutamaa yhteyskäytäntöä.
Pakettisuodatus tapahtuu siten että käydään suodatuslistaa läpi alkio kerrallaan kunnes löytyy suodatussääntö jonka kenttien arvot täsmäävät tarkasteltavan paketin kanssa. Näin löydetty sääntö kertoo pitääkö paketti hylätä vai hyväksyä. [2]
Suodatuslistan sääntö sisältää vain muutamia paketin kenttiä. Näitä kenttiä ovat lähettäjän ja vastaanottajan osoitteet, porttinumero UDP- ja TCP-yhteyskäytäntöjen yhteydessä, ICMP-yhteyskäytännön operaatiokoodi sekä TCP-yhteyskäytännön otsikon lippukenttä. [2]
Tilallinen pakettisuodatuksen ero pakettisuodatukseen on loogisen yhteyden tilatiedon ylläpito. Yhteydellisen TCP-yhteyskäytännön kohdalla on luonnollista yhteyden avauksen yhteydessä luoda tilatieto yhteydestä. Myös yhteydettömästä UDP-yhteyskäytännöstä voidaan luoda vastaava "loogisen yhteyden" tilatieto, koska useimmiten osapuolet eivät vaihda porttinumeroita kesken UDP-pakettien liikenteen.
Tilatietojen ansiosta TCP-yhteyskäytännön suodatus tulee paljon paremmaksi, samoin UDP-yhteyskäytännön yhteydessä voidaan käyttää hyväksi tilatietoja.
Yleensä tilallisen suodatuksen yhteydessä käytetään sovellustason yhteyskäytäntökohtaisia suodatuksia, joiden tehtävä on estää liikenteen läpimeno jos se näyttää hyökkäykseltä. [3]
Sovellustason välitystekniikka samankaltainen kuin proxy-tekniikka. Erona on läpinäkyvyys: siinä missä proxy-tekniikkaa vaatii useimmiten sovelluksilta tietoa proxyn olemassaolosta, tulimuureissa oleva sovellustason välitys on pääsääntöisesti läpinäkyvä sovelluksille.
Sovellustason välitystä käyttävässä tulimuurissa on erilaisia välitinohjelmistoja, joko yleiskäyttöisiä tai sitten sovellustason yhteyskäytäntöjä toteuttavia. Nämä välitinohjelmat suorittavat mahdollisesti normaalia enemmän auditointia ja voivat vaatia käyttäjän erityistä todentamista. [2]
Tulimuuri useimmiten on laitettu toteuttamaan periaatetta jossa sallitaan ulospäin yhteydet, mutta estetään kaikki ulkopäin tulevat yhteydet. Tämä periaate kuulostaa hyvältä ja turvalliselta, mutta yhteydet ovat lähes aina kaksisuuntaisia.
Tilattoman pakettisuodatuksen ongelmana on se että siinä joudutaan sallimaan myös paketit ulkoa sisäänpäin jotta kaksisuuntaiset yhteyskäytännöt toimisivat. Ainoastaan yhteyden aloitukset on estetty ulkoapäin. Seurauksena tästä on se että hyökkääjä saa toimitettua verkon sisälle haluamiaan paketteja kunhan ne eivät ole yhteyden avauksia, mikä selviää TCP-yhteyskäytännön otsikon lippukentän SYN- ja ACK-lipusta [4].
Käytännössä tästä ei ole suurta haittaa tämänhetkisen tietämyksen perusteella, mutta tulevaisuudessa tätä ominaisuutta voitaisiin hyödyntää esimerkiksi kohdeorganisaation sisäisen verkon hidastamisessa lähettämällä sinne suuren määrän paketteja. Erityisesti tilattomassa pakettisuodatus hyväksyy kaikki kaikki paketit jotka ovat IP-tasolla fragmentoituneet.
Tilallinen pakettisuodatus ja sovellustason välitys mahdollistavat tämän ominaisuuden käytön estämisen.
Tärkeä ominaisuus tulimuurille on se kyky estää mahdollisia tulevaisuudessa keksittyjä hyökkäyksiä vastaan. Varsinkin pakettien suodatus on tässä suhteessa ongelmallinen. Pakettien suodatusta voidaan tässä suhteessa verrata fyysisessä verkkotekniikassa esiintyvään toistimeen, joka toistaa, ja mahdollisesti myös vahvistaa, signaalin virheet. Sovellustason välitys sen sijaan ei päästä alkuperäisiä paketteja suojeltavaan verkkoon, vaan muodostaa itse omat pakettinsa.
Myös tulimuureissa on suunnittelu- ja toteutusvirheitä. Eräässä kaupallisesta tulimuurissa oli sallittuna SNMP-yhteyskäytäntö, mitä hyväksikäyttäen kuka tahansa pystyi lukemaan tulimuurin asetustietoja.
Ei ole olemassa "100% turvallista" tulimuuria, jollei Marcus J. Ranumin ehdottamia sivuleikkureita hyväksytä. Tulimuuri pienentää, muttei koskaan poista kokonaan, riskiä siitä että hyökkääjät pääsevät suojeltavaan verkkoon ja sen laitteisiin käsiksi. [5]
Usein on tapana ostaa tulimuuri ilman että on tietoa sen sisältämästä tekniikoista ja luottaa sokeasti sen tuomaan suojaukseen. Tämä on väärä suhtautumistapa. Tulimuuri on aina vain osa laajempaa turvallisuuskäytäntöä, noudattaen vain siihen asetettuja sääntöjä.
| [1] | Marcus J. Ranum, maintainer,
"Internet Firewalls Frequently Asked Questions",
1995, viitattu 2.2.1998. <URL:http://www.clark.net/pub/mjr/pubs/fwfaq/index.htm> |
| [2] | William R. Cheswick, Steven M. Bellovin, "Firewalls and Internet Security, Repelling the Wily Hacke", Addison-Wesley Publishing Company, 1994, ISBN 0-201-63357-4 |
| [3] | Frederick M. Avolio,
"Application Gateways and Stateful Packet Filters, A Brief Note
Comparing and Contrasting",
Trusted Information Systems, Inc.
viitattu 2.2.1998. <URL:http://www.tis.com/docs/products/gauntlet/firewallcomp.html> |
| [4] | Jon Postel, editor,
"Transmision Control Protocol", STD 7, RFC 793,
Information Sciences Institute, University of Southern California,
Syyskuu 1981, viitattu 2.2.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc793.txt> |
| [5] | Marcus J. Ranum,
"The ULTIMATELY Secure Firewall",
viitattu 2.2.1998. <URL:http://www.clark.net/pub/mjr/pubs/a1fwall/index.htm> |
| Douglas E. Comer, "Internetworking With TCP/IP, Vol I: Principles, Protocols, and Architecture, Second Edition", Prentice-Hall, Inc., 1991, ISBN 0-13-474321-0 |
| J. Postel,
"User Datagram Protocol", STD 6, RFC 768,
ISI,
Elokuu 1980, viitattu 2.2.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc768.txt> |
| J. Postel,
"Internet Control Message Protocol", STD 5, RFC 792,
ISI,
Syyskuu 1981, viitattu 2.2.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc792.txt> |