Palomuuri

Tämä artikkeli käsittelee tietoteknistä järjestelmää. Sanan muita merkityksiä on erillisellä täsmennyssivulla.

Tähän artikkeliin tai osioon ei ole merkitty lähteitä, joten tiedot kannattaa tarkistaa muista tietolähteistä.
Voit auttaa Wikipediaa lisäämällä artikkeliin tarkistettavissa olevia lähteitä ja merkitsemällä ne ohjeen mukaan.

Palomuuri on tietotekniikassa järjestelmä, jonka on tarkoitus estää asiaton pääsy verkosta toiseen, varsinkin internetistä lähiverkkoon.^[1]

Useimmiten palomuuria tarvitaan avoimesta Internet-yhteydestä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisään tulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava minimi. Nykyisin on myös yleistä, että vastuuntuntoisesti suodatetaan myös ulkomaailmaan lähtevää liikennettä, jotteivät oman verkon asiakkaat voi häiriköidä muiden verkkoihin (esimerkiksi väärennetyillä lähdeosoitteilla). Useiden yritysten sisällä suositaan työntekijöiden koneilta ulospäin lähtevän liikenteen kontrollointia palomuurin avulla muun muassa tietosuojan turvaamiseksi.

Kokonaisvaltainen palomuurijärjestelmä koostuu useimmiten kahdenlaisista komponenteista:

Pakettisuodatin
Yhdyskäytävä

Palomuuri saattaa vastaanottaa ohjeita tunkeilijan havaitsemisjärjestelmältä estettävästä liikenteestä.

Palomuurit käytännössä

Useimmiten palomuureja on isommissa yritysverkoissa useampia. Palomuurien perusongelma on, että niiden läpi hyökännyttä murtautujaa ei voida enää estää tekemästä tuhojaan. Niinpä yrityksillä on eteisverkko eli demilitarisoitu alue (engl. demilitarized zone, DMZ), joka sijaitsee luotetun sisäverkon ja Internetin välissä. Internetin ja eteisverkon sekä eteisverkon ja sisäverkon välissä on palomuurit. Eteisverkkoon sijoitetaan kaikki julkiset palvelimet. Vaikka tunkeutuja pääsisi murtautumaan kyseisille palvelimille, olisi hänellä vielä toinen palomuuri edessään ennen sisäverkkoa.

Tosiasiassa nykyiset palomuurilaitteet osaavat toteuttaa jopa useita erilaisia eteisverkkoja sisältävän konfiguraation yhdellä laitteella. Palomuurilaitteeseen vain lisätään verkkoliittymiä, ja sille määritetään onko liittymän takana luotettu verkko, täysin turvaton verkko vai jotain siltä väliltä.

Palomuuritekniikat

Yksinkertaisin palomuuri on pakettisuodatin. Pakettivirrasta seulotaan paketit lähde- ja kohdeosoitteen sekä porttien perusteella. Näitä on kahdentyyppisiä, tilattomia (stateless) ja tilallisia (stateful). Tilaton palomuuri vertaa jokaista pakettia säännöstöön; jos paketti ei ole sallittu, sitä ei välitetä eteenpäin. Tilallinen palomuuri mahdollistaa liikenteen tarkemman valvonnan. Tilallinen palomuuri pitää kirjaa muodostetuista TCP-yhteyksistä ja virallisista UDP-yhteyksistä ja sallii vain yhteyteen kuuluvat paketit. TCP-yhteyksillä tutkitaan myös se, että tilasiirtymät ovat laillisia, eli käytännössä tilallinen palomuuri pitää yllä samoja tietoja kuin TCP/IP-paketti.

Tilattoman palomuurin ongelma on se, että paluupakettien portteja ei voida kaikissa protokollissa tietää tarkasti, joten esimerkiksi joidenkin verkkopelien toimivuuden vuoksi kaikki portit yli portin 1024 on avattava paluuyhteydelle, jolloin tällä porttialueella olevaan palveluun voidaan ottaa yhteys ilman palomuurin väliintuloa.

Tilallinen palomuuri tarkistaa jokaisen paketin kohdalla kuuluuko se johonkin olemassa olevaan yhteyteen. Olemassa oleviin yhteyksiin liittyvät paketit päästetään läpi. Kun TCP-yhteys avataan, tutkitaan ensin, onko yhteys sallittu palomuurin sääntöjen perusteella. Hyväksytyn yhteyden tiedot lisätään palomuurin yhteyslistaan, ja jatkossa kaikki kyseiseen yhteyteen liittyvät paketit päästetään läpi, samoin myös usein sallitaan yhteyteen liittyvät ICMP-sanomat. Yhteyden sulkeutuessa, tai kun yhteys on ollut käyttämättömänä tietyn ajan, yhteyden tiedot poistetaan yhteyslistalta, eikä kyseiseen yhteyteen kuuluvia paketteja enää päästetä läpi. Tilallisessa palomuurissa on sama ongelma tuntemattomien protokollien kanssa kuin tilattomassakin, mutta siihen voidaan tarvittaessa lisätä sääntöjä tunnettuja protokollia varten. Pakettisuodatin toimii kuljetuskerroksella.

Sovelluspalomuurissa paketin sisältämää dataa tarkkaillaan. Jos paketin portti on vaikka 25 (SMTP), niin paketista tarkistetaan sisältääkö se laittomia komentoja. Myös muille palomuurityypeille ongelmallinen aktiivinen FTP toimii tämäntyyppisessä palomuurissa, koska palomuuri lukee avattavan datakanavan portin numeron FTP-komentokanavan sanomasta ja sallii yhteyden siihen. Palomuuri voi myös suodattaa liikennettä sisällön perusteella, esimerkiksi estää HTTP-paketeista tunnettuja turvallisuusaukkoja hyödyntävät murtoyritykset. Sovelluspalomuuri toimii sovelluskerroksella.

Useimmat nykyaikaiset työasemakohtaiset palomuurit ovat sovellus- ja tilallisen palomuurin yhdistelmiä. Niissä myös sovellus voi vaikuttaa siihen sallitaanko jokin yhteys. Erona perinteisiin palomuureihin on se, että tiedetään tarkkaan mitkä palvelut on sallittuja ja samoin mikä liikenne kohdistuu työasemaan, kun taas perinteiset palomuurit joutuvat toimimaan vähempien tietojen perusteella.

Palomuurien heikkouksia

Palomuuri suodattaa vain lävitseen kulkevia yhteyksiä. Niinpä verkkoon voi päästä vaihtoehtoisia reittejä, kuten soittosarjojen kautta, langattoman lähiverkon tukiasemien kautta ja ennen kaikkea fyysisesti pääsemällä yrityksen toimitiloihin.

Palomuuri ei myöskään kykene suodattamaan esimerkiksi IPSec-salattua liikennettä, josta ei näy kohdeporttia tai välttämättä edes kohdekonetta. Tämän takia salattu VPN-liikenne pyritään viemään erilliselle eteisverkolle, josta se voidaan viedä vielä salaamattomanakin palomuurin läpi uudelleen.

Lähteet

↑ palomuuri. Kielitoimiston sanakirja. Helsinki: Kotimaisten kielten keskus, 2024.

Aiheesta muualla

Commons

Wikimedia Commonsissa on kuvia tai muita tiedostoja aiheesta Palomuuri.

Windows XP Service Pack 2:n Windowsin palomuurin vianmääritys

Verkkorikollisuus ja nettikiusaaminen

Häirintä internetissä

Häirintä on usein
rikoksena rangaistavaa.

Kiusaaminen	Floodaus Šokkisivusto Tietokonepila Trollaus (nettiriidan haastaminen) Natsikortti

Ahdistelu	Kunnianloukkaus Seksuaalinen häirintä Someraivo

Vainoaminen	Henkilökohtaisen tiedon levittäminen (Doksaus) Maalittaminen (Swattaus) Salakatselu

Huijaaminen	Internethuijaus Huijausviestit ja ketjukirjeet

Poliittinen terrorismi	Alt-right Incel Vihapuhe Valeuutinen Streisandin ilmiö

Verkkorikollisuus

Katso myös pimeä verkko

Varkaudet ja huijaukset	Verkkourkinta eli tietojenkalastelu Manipulointi (engl. social engineering) Internethuijaus Nigerialaiskirjeet (Sakawa) Romanssihuijaus Roskaposti

Murtautuminen ja hyökkäykset	Bottiverkko (Orjakone) IP-osoitteen väärentäminen Krakkeri (tai Hakkeri) Merkistökrakkaus Mies välissä -hyökkäys Palvelunestohyökkäys (Smurf-hyökkäys) Pirstoumahyökkäys TCP-kaappaus Tietomurto

Haittaohjelmat (Katso aikajana)	Haittaohjelma Tietokonevirus (Matkapuhelinvirus) Hyökkäysohjelmat (WinNuke) Mato Troijalainen Vakoiluohjelma Valeohjelmat Looginen pommi Snifferi Näppäilytallennin Piilohallintaohjelma Scareware

Piratismi	BitTorrent (Pirate Bay) Crack Tekijänoikeuden loukkaus (eli piratismi) Takaisinmallinnus (engl. reverse engineering)

Tunnettuja rikollisia	Mark Abene Cozy Bear -ryhmä Fancy Bear -ryhmä GNAA Goatse Security -ryhmä (weev) Kevin Mitnick Kevin Poulsen Lulz Security -ryhmä (Sabu) Gary McKinnon Lauri Love MafiaBoy Lizard Squad -ryhmä

Torjunta

Oikeusjärjestelmä	Tietotekniikkarikollisuus Nettipoliisi (Nettivinkki, FBI)

Mielipidevaikuttaminen	Kiusaamiseen puuttuminen Me Too -kampanja

Suojausohjelmat	Tunkeilijan havaitsemisjärjestelmät (Palomuuri) Virustorjunta