Mikä on palomuuri? Määritelmä ja selitys

Palomuuri – merkitys ja määritelmä

Palomuuri on tietokoneen verkkoturvallisuusjärjestelmä, joka rajoittaa Internet-liikennettä, joka suuntautuu yksityiseen verkkoon, siitä ulos tai kulkee sen sisällä.

Tämä ohjelmisto tai oma laite-ohjelmistoyksikkö toimii estämällä tai sallimalla datapaketteja valikoivasti. Se on yleensä tarkoitettu auttamaan haitallisen toiminnan ehkäisyssä ja estämään sen, että kukaan – sekä yksityisen verkon sisä- että ulkopuolella – ei joudu tekemisiin valtuuttamattoman verkkotoiminnan kanssa.

Mikä on palomuuri?

Palomuureja voidaan pitää portillisina rajoina tai väylinä, jotka hallinnoivat sallitun ja kielletyn verkkotoiminnan liikettä yksityisessä verkossa. Termi on peräisin fyysisten seinien käsitteestä: nämä ovat esteitä, jotka hidastavat tulipalon leviämistä ennen kuin palontorjuntayksikkö kykenee sammuttamaan sen. Samoin verkkoturvallisuuden palomuureja käytetään verkkoliikenteen hallinnointiin – ja niitä käytetään yleensä verkon uhkien hidastamiseen.

Palomuurit luovat kaventumia verkkoliikenteen kanavoimiseksi: niissä liikenne tarkistetaan ohjelmoitujen parametriasetusten mukaan ja tarvittaviin toimiin ryhdytään. Jotkin palomuurit kirjaavat liikennettä ja liitäntöjä auditointilokeihin, joista ilmenee, mitä on sallittu ja mitä taas estetty.

Palomuureja käytetään yleensä yksityisen verkon tai tämän isäntälaitteiden rajojen asettamiseen. Näin ollen palomuurit ovat yksi turvallisuusväline käyttäjien pääsynhallinnan laajemmassa kategoriassa. Nämä esteet asetetaan yleensä kahteen paikkaan — tietyille tietokoneille verkossa tai käyttäjän tietokoneille ja itse muille päätepisteille (isännät).

Miten palomuurit toimivat?

Palomuuri päättää, minkä verkkoliikenteen annetaan kulkea ja mitä liikennettä taas pidetään vaarallisena. Se toimii suodattamalla hyvän huonosta ja luotettavan epäluotettavasta. Ennen yksityiskohtiin menemistä on hyvä ymmärtää verkkopohjaisten verkkojen rakenne.

Palomuurit on tarkoitettu yksityisten verkkojen ja niissä olevien päätepistelaitteiden, eli isäntäkoneiden turvaamiseen. Isäntäkoneet ovat laitteita, jotka "puhuvat" muiden verkon isäntien kanssa. Ne lähettävät ja vastaanottavat sisäisten verkkojen välillä sekä huolehtivat tuloista ja lähdöistä ulkoisten verkkojen välillä.

Tietokoneet ja muut päätepistelaitteet hyödyntävät verkkoja luodakseen yhteyden Internetiin ja toisiinsa. Internet on kuitenkin jaettu aliverkkoihin turvallisuuden ja tietoturvan vuoksi. Aliverkon perussegmentit ovat seuraavat:

1. Ulkoiset julkiset verkot viittaavat yleensä julkiseen/globaaliin Internetiin tai eri ekstranetteihin.
2. Sisäinen yksityinen verkko on kodin verkko, yrityksen intranetit ja muut "suljetut" verkot.
3. Ympäröivät verkot ovat rajaverkkoja, jotka on tehty verkkolinnakkeista — tietokoneisännistä, joissa on tiukennettu turvallisuus ja jotka ovat valmiina kestämään ulkoisen hyökkäyksen. Varmennettuna puskurina sisäisten ja ulkoisten verkkojen välillä näitä voidaan käyttää myös minkä tahansa sisäisen verkon tarjoaman ulospäin suuntautuvan palvelun isännöimiseen (esim. verkkopalvelimet, sähköposti, FTP, VoIP jne.). Nämä ovat ulkoisia verkkoja turvallisempia mutta vähemmän turvallisia kuin sisäiset verkot. Ne eivät ole aina läsnä yksinkertaisissa verkoissa, kuten kodin verkoissa, mutta niitä voidaan usein käyttää järjestöjen tai kansallisissa intraneteissä.

Suodattavat reitittimet ovat erityisiä yhdyskäytävätietokoneita, jotka on asetettu verkkoon segmentoimista varten. Ne tunnetaan kodin palomuureina verkkotasolla. Kaksi yleisintä segmenttimallia ovat suojattu päätelaitepalomuuri ja suojattu aliverkon palomuuri:

• Suojatut päätelaitepalomuurit hyödyntävät yhtä suodattavaa reititintä ulkoisten ja sisäisten verkkojen välillä. Nämä verkot ovat tämän mallin kaksi aliverkkoa.
• Suojatut aliverkkopalomuurit käyttävät kahta suodattavaa reititintä — yksi niistä tunnetaan nimellä pääsyreititin ja se on ulkoisen ja ympäröivän verkon välillä, ja toinen tunnetaan nimellä sisäinen reititin ja se on ympäröivän ja sisäisen verkon välissä. Tämä saa aikaan järjestyksessä kolme aliverkkoa.

Sekä ympäröivä verkko että isäntäkoneet itse voivat isännöidä palomuuria. Tämän tekemiseksi se asetetaan yksittäisen tietokoneen ja tämän yksityiseen verkkoon liitännän välille.

• Verkkopalomuurit sisältävät yhden tai useamman palomuurin käytön ulkoisten verkkojen ja sisäisten yksityisten verkkojen välillä. Ne säätävät tulevaa ja lähtevää verkkoliikennettä ja erottavat ulkoiset julkiset verkot – kuten maailmanlaajuinen Internet – paikallisista verkoista, kuten kodin langattomat verkot, yrityksen intranetit tai kansalliset intranetit. Verkkopalomuurit voivat olla mitä tahansa seuraavaa laitetyyppiä: oma laite, ohjelmisto ja virtuaalinen.
• Päätelaitepalomuurit tai "ohjelmistopalomuurit" sisältävät palomuurien käytön yksittäisissä käyttäjän laitteissa ja muita yksityisen verkon päätepisteitä esteenä laitteiden välissä verkossa. Nämä laitteet, tai isännät, vastaanottavat mukautettua säätöä liikenteelle, joka suuntautuu tiettyihin tietokonesovelluksiin tai on peräisin niistä. Päätelaitepalomuurit voivat toimia paikallisilla laitteilla käyttöjärjestelmäpalveluna tai päätepisteen turvallisuussovelluksena. Päätelaitepalomuurit voivat myös sukeltaa syvemmälle verkkoliikenteeseen ja hyödyntää HTTP:n ja muiden verkkoprotokollien suodattamista kyeten näin hallinnoimaan, mitä sisältöä koneellesi tulee, pelkän tietojen alkuperän hallinnoimisen sijaan.

Verkkopalomuuri edellyttää määritystä laajaa yhteyksien aluetta varten, kun taas päätelaitepalomuuri voidaan mukauttaa kunkin koneen tarpeita vastaavaksi. Päätelaitepalomuurit edellyttävät kuitenkin enemmän ponnisteluja mukauttamista varten, joten verkkopohjaiset palomuurit ovat ihanteellisia yleiseksi hallintaratkaisuksi. Molempien palomuurien käyttö molemmissa paikoissa samanaikaisesti on kuitenkin ihanteellinen monikerroksisen suojausjärjestelmän kannalta.

Liikenteen suodatus palomuurin välityksellä hyödyntää esiasetettuja tai dynaamisesti opittuja sääntöjä yhteysyritysten sallimiseksi ja kieltämiseksi. Näiden sääntöjen mukaan palomuuri sääntelee verkkoliikenteen virtausta yksityisen verkon ja yksityisten tietokonelaitteiden välityksellä. Tyypistä riippumatta kaikki palomuurit kykenevät suodattamaan jollakin seuraavien yhdistelmällä:

• Lähde: mistä yhteysyritys on peräisin.
• Määränpää: mihin yhteysyritys on suunnattu.
• Sisältö: mitä yhteysyritys yrittää lähettää.
• Pakettiprotokollat: Mitä kieltä yritetty yhteys puhuu viestinsä välittämiseksi. Niistä verkkoprotokollista, joilla isännät "puhuvat" keskenään, TCP/IP-protokollia käytetään pääasiassa viestimiseen Internetissä ja intranetissa/aliverkoissa.
• Sovellusprotokollat: Yleisiä protokollia ovat HTTP, Telnet, FTP, DNS ja SSH.

Lähde ja kohde kerrotaan Internetin protokollan (IP) osoitteilla ja porteilla. IP-osoitteet ovat kunkin isännän ainutlaatuisia laitenimiä. Portit ovat annetun lähde- ja kohdeisäntälaitteen alataso, joka vastaa suuren rakennuksen toimistohuoneita. Porteille annetaan yleensä tiettyjä tarkoituksia, joten tietyt protokollat ja IP-osoitteet, jotka hyödyntävät poikkeavia portteja tai käytöstä poistettuja portteja, voivat aiheuttaa huolta.

Näiden tunnisteiden avulla palomuuri voi päättää, tuleeko yhteyttä yrittävä tietopaketti hylätä – hiljaisesti vai lähettämällä virheviesti lähettäjälle – vai lähettää edelleen.

Palomuurityypit

Eri tyyppisissä palomuureissa on erilaisia suodatustapoja. Vaikka kukin tyyppi suunniteltiinkin korvaamaan edelliset palomuurisukupolvet, suuri osa ydinteknologiasta on siirtynyt sukupolvelta toiselle.

Palomuurityypit on eroteltu sen perusteella, mikä niiden lähestymistapa on seuraaviin:

1. Yhteyden seuranta
2. Suodatussäännöt
3. Auditointilokit

Kukin tyyppi toimii eri tasolla vakioidussa viestintämallissa nimeltään Open Systems Interconnection model (OSI). Tämä malli mahdollistaa paremman näkymän siitä, miten kukin palomuuri reagoi yhteyksiin.

Staattinen paketin suodattava palomuuri

Staattiset paketin suodattavat palomuurit, joita kutsutaan myös tilattomiksi tarkistuspalomuureiksi, toimivat OSI-verkkokerroksessa (3. kerros). Nämä tarjoavat perustason suodatusta tarkistamalla kaikki yksittäiset tietopaketit, joita verkossa lähetetään, sen perusteella, mistä ne ovat ja minne ne pyrkivät. Aiemmin hyväksyttyjä yhteyksiä ei tunnetusti seurata. Tämä tarkoittaa, että jokainen yhteys tulee hyväksyä uudelleen jokaisen lähetetyn tietopaketin myötä.

Suodatus perustuu IP-osoitteisiin, portteihin ja pakettiprotokolliin. Nämä palomuurit kaikessa yksinkertaisuudessaan estävät sen, että kaksi verkkoa loisivat suoran yhteyden ilman lupaa.

Suodattamista koskevat säännöt on asetettu manuaalisesti luodun käyttöoikeuksien hallinnointilistan avulla. Säännöt ovat hyvin tiukkoja, ja ei-toivottua liikennettä on vaikea valvoa verkon käytettävyyttä vaarantamatta. Staattisen suodatuksen tehokas käyttö edellyttää manuaalista tarkistusta. Se voi olla hallinnoitavissa pienissä verkoissa, mutta siitä voi tulla ongelmallista isoissa.

Sovellusprotokollien lukemisen kyvyttömyys tarkoittaa, että paketissa välitetyn viestin sisältöä ei voida lukea. Sisältöä lukematta paketin suodattavien palomuurien suojauslaatu on vaillinainen.

Piiritason yhdyskäytävän palomuuri

Piiritason yhdyskäytävät toimivat istuntotasolla (5. kerros). Nämä palomuurit etsivät toiminnallisia paketteja yhteysyrityksessä ja – jos ne toimivat kunnolla – ne mahdollistavat jatkuvan avoimen yhteyden kahden verkon välillä. Tämän jälkeen palomuuri lopettaa yhteyden valvonnan.

Yhteyksien lähestymistavan lisäksi piiritason yhdyskäytävä voi muistuttaa välityspalvelinpalomuureja.

Jatkuva valvomaton yhteys on vaarallinen, sillä yhteys voidaan avata laillisesti, mikä voi myöhemmin mahdollistaa haitallisen tekijän vaivattoman sisäänpääsyn.

Tilallinen pakettisuodatus

Tilattoman pakettisuodatuksen palomuureja kutsutaan myös dynaamisiksi pakettisuodatinpalomuureiksi, ja ne ovat ainutlaatuisia staattiseen suodatukseen verrattuna, sillä ne kykenevät valvomaan meneillään olevia yhteyksiä ja muistamaan menneet yhteydet. Ne toimivat käyttämällä kuljetuskerrosta (4. kerros), mutta nämä palomuurit voivat tänä päivänä valvoa monia kerroksia, sovelluskerros mukaan lukien (7. kerros).

Kuten staattisen suodatuksen palomuuri, tilattoman pakettisuodatuksen palomuurit sallivat tai estävät liikenteen teknisten ominaisuuksien mukaan, kuten erityiset pakettiprotokollat, IP-osoitteet tai portit. Tämän lisäksi nämä palomuurit voivat ainutlaatuisesti seurata ja suodattaa yhteyksien tilan tilataulua käyttämällä.

Tämä palomuuri päivittää suodatussäännöt aiempien suodatusreitittimien tilataulukkoon kirjaamien yhteystapahtumien perusteella.

Yleensä suodatuspäätökset perustuvat järjestelmänvalvojan säännöille, kun tietokoneen ja palomuurin asetukset tehdään. Tilataulukon avulla nämä dynaamiset palomuurit voivat tehdä omat päätöksensä aiempien vuorovaikutusten avulla, joista se on "oppinut". Esimerkiksi kuljetustyypit, jotka aiheuttivat häiriötä aiemmin, suodatetaan tulevaisuudessa. Tilattoman pakettisuodatuksen joustavuus on vakiinnuttanut sen yhtenä läsnä olevimmista saatavilla olevista suojauksista.

Välityspalvelinpalomuuri

Välityspalvelinpalomuurit tunnetaan myös sovellustason palomuureina (7. kerros), ja ne ovat ainutlaatuisia sovellusprotokollien lukemisessa ja suodattamisessa. Ne yhdistävät sovellustason tarkistuksen tai syväpakettitarkistuksen (deep packet inspection, DPI) ja tilallisen pakettisuodatuksen.

Välityspalvelinpalomuuria lähemmäksi todellista fyysistä estettä ei ole mahdollista päästä. Muista palomuurityypeistä poiketen se toimii ylimääräisin kahtena isäntänä ulkoisten verkkojen ja sisäisten isäntätietokoneiden välillä, joista yksi on edustaja (tai "välityspalvelin") kullekin verkolle.

Suodatus perustuu sovellustason tietoihin eikä pelkkiin IP-osoitteisiin, portteihin ja peruspakettiprotokolliin (UDP, ICMP), kuten pakettipohjaisissa palomuureissa. FTP:n, HTTP:n, DNS:n ja muiden protokollien lukeminen ja ymmärtäminen mahdollistaa syvällisemmän tutkimuksen ja ristikkäinsuodatuksen monille erilaisille tietopiirteille.

Samoin kuin portinvartija, se ensisijaisesti etsii ja arvioi tulevaa tietoa. Jos ongelmaa ei havaita, tiedot päästetään eteenpäin käyttäjälle.

Tämän kaltaisen voimakkaan suojauksen haittapuoli on, että välillä se puuttuu myös vaarattomaan tulevaan tietoon, mikä johtaa toimintoviiveisiin.

Uuden sukupolven palomuuri (Next-Generation Firewall, NGFW)

Kehittyvät uhkat peräänkuuluttavat tehokkaampia ratkaisuja, ja uuden sukupolven palomuurit pysyvät aallonharjalla yhdistämällä perinteisen palomuurin toiminnot verkon tunkeutumisen estojärjestelmiin.

Uhkakohtaiset uuden sukupolven palomuurit on suunniteltu tutkimaan ja tunnistamaan erityisiä uhkia, kuten edistyneet haittaohjelmat, tarkemmin. Ne ovat yritysten ja kehittyneiden verkkojen suosiossa, ja ne tarjoavat kattavan ratkaisun uhkien pois suodattamiseen.

Hybridi palomuuri

Kuten nimestä voi arvata, hybridit palomuurit hyödyntävät kahta tai useampaa palomuurityyppiä yksittäisessä yksityisessä verkossa.

Kuka keksi palomuurit?

Palomuurien keksiminen tulisi nähdä prosessina. Tämä johtuu siitä, että ne kehittyvät jatkuvasti ja että kehityksessä ja evoluutiossa on ollut mukana monia henkilöitä.

1980-luvun loppupuolelta 1990-luvun keskiväliin jokainen kehittäjä on laajentanut erilaisia palomuuriin liittyviä komponentteja ja versioita ennen kuin palomuurista tuli kaikkien modernien palomuurien perustana käytetty tuote.

Brian Reid, Paul Vixie ja Jeff Mogul

1980-luvun loppupuolella Mogul, Reid ja Vixie työskentelivät kukin Digital Equipment Corp (DEC) -yrityksessä kehittämässä pakettisuodatusteknologiaa, josta olisi hyötyä tulevaisuuden palomuureissa. Se johti ajatukseen ulkoisten yhteyksien seulomisesta ennen kuin nämä tulevat kosketuksiin sisäisen verkon tietokoneiden kanssa. Jotkut voivat pitää tätä pakettisuodatinta ensimmäisenä palomuurina, mutta se oli kuitenkin enemmänkin komponenttiteknologiaa, joka tuki tulevia todellisia palomuurijärjestelmiä.

David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick ja Steven Bellovin

1980-luvun loppupuolelta 1990-luvun alkuun AT&T Bell Labs -yrityksen monet työntekijät tutkivat ja kehittivät piiritason yhdyskäytävän palomuurin varhaista konseptia. Tämä oli ensimmäinen palomuuri, joka tarkistaisi ja sallisi jatkuvat yhteydet sen sijaan, että kunkin tietopaketin jälkeen tarvittaisiin toistuvia uudelleenvaltuutuksia. Presotto, Sharma ja Nigam kehittivät piiritason yhdyskäytävän palomuurin vuosina 1989–1990, ja heidän jälkeensä Cheswick ja Bellovin työstivät palomuuriteknologiaa vuonna 1991.

Marcus Ranum

Vuosina 1991–1992 Ranum keksi turvavälipalvelimet DEC:issä työskennellessään. Siitä tuli olennainen osa ensimmäistä sovellustason palomuurituotetta eli vuoden 1991 välipalvelinpohjaista Secure External Access Link (SEAL) -tuotetta. Tämä oli jatkumoa Reidin, Vixien ja Mogulin työlle DEC:issä, ja se oli ensimmäinen kaupallisesti julkaistu palomuuri.

Gil Shwed ja Nir Zuk

Vuodesta 1993 vuoteen 1994 Check Point -yrityksen perustaja Gil Shwed ja tuottelias kehittäjä Nir Zuk olivat tärkeässä asemassa ensimmäisen laajalti käyttöönotetun ja käyttäjäystävällisen palomuurituotteen kehittämisessä – kyseessä oli Firewall-1. Gil Shwed keski sen ja jätti patenttihakemuksen vuonna 1993. Tätä seurasi Nir Zukin työ helppokäyttöisestä graafisesta käyttöliittymästä vuoden 1994 Firewall-1 -tuotteelle, mikä oli olennaisen tärkeä palomuurien laajemman käyttöönoton edistämisessä yrityksissä ja kodeissa ennakoitavissa olevaa tulevaisuutta varten.

Nämä kehitykset olivat avainasemassa muokkaamassa palomuurituotetta sellaisena kuin me sen tunnemme tänään, ja niistä kutakin käytetään jossakin määrin monissa kyberturvallisuusratkaisuissa.

Palomuurien tärkeys

Mikä on siis palomuurin tarkoitus ja mikä tekee siitä tärkeän? Suojaamattomat verkot ovat alttiina kaikelle liikenteelle, joka yrittää päästä järjestelmän sisälle. Oli se haitallista tai ei, verkkoliikenne tulisi aina tarkistaa.

Tietokoneiden liittäminen muihin IT-järjestelmiin tai Internetiin luo tilaa monille eduille, kuten helpolle yhteistyölle, resurssien yhdistämiselle ja luovuuden tehostamiselle. Tämä voi kuitenkin tapahtua täydellisen verkon ja laitteen suojauksen kustannuksella. Hakkerointi, identiteettivarkaus, haittaohjelmat ja verkkohuijaukset ovat yleisiä uhkia, joita käyttäjille voi koitua, kun he altistuvat vaaroille liittämällä tietokoneensa verkkoon tai Internetiin.

Kun rikollinen toimija löytää verkkosi ja laitteesi, näihin voidaan helposti päästä sisälle ja ne voidaan altistaa toistuville uhkille. Ympärivuorokautiset Internet-yhteydet lisäävät riskiä (koska verkkoosi voidaan päästä milloin tahansa).

Ennakoiva suojaus on olennaisen tärkeää kaikenlaisten verkkojen käytössä. Käyttäjät voivat suojata verkkonsa pahimmilta vaaroilta palomuurin avulla.

Mitä palomuurin suojaus tekee?

Mitä palomuuri tekee ja mitä vastaan se voi suojata? Verkkoturvallisuuden palomuurin ideana on kaventaa verkon hyökkäykselle altis pinta yhdeksi yhteyspisteeksi. Sen sijaan, että verkon jokainen isäntä altistettaisiin suoraan laajalti Internetille, kaiken liikenteen tulee ensin ottaa yhteyttä palomuuriin. Tämä toimii myös päinvastoin, eli palomuuri voi suodattaa ja estää ei-sallitun liikenteen sekä tulo- että menosuunnassa. Lisäksi palomuurien avulla luodaan verkkoyhteysyritysten kirjausketju turvallisuustietoisuuden lisäämiseksi.

Koska liikenteen suodatus voi olla sääntö, jonka yksityisen verkon omistajat ovat laatineet, tuloksena on yksittäisiä käyttötapauksia palomuureille. Suosittuihin käyttötapauksiin kuuluvat seuraavien hallinnointi:

• Suodatus rikollisilta tekijöiltä: ei-toivotut yhteydet oudosti käyttäytyvästä lähteestä voidaan estää. Tällä voidaan estää salakuuntelua ja edistyneitä jatkuvia uhkia (advanced persistent threat, APT).
• Lapsilukot: aikuiset voivat asettaa lapsilleen loukkaavan verkkosisällön katselun eston.
• Työpaikan verkkoselausrajoitukset: työnantajat voivat estää työntekijöiden yritysverkkojen käytön tiettyihin palveluihin ja sisältöön, kuten sosiaaliseen mediaan, pääsemiseksi.
• Kansallisesti hallinnoitu intranet: kansalliset hallitukset voivat estää kansalaisten pääsyn verkkosisältöön ja palveluihin, jotka saattavat poiketa valtion johdon näkemyksistä tai arvoista.

Palomuurit eivät ole niinkään tehokkaita seuraavissa:

1. Laillisten verkkoprosessien väärinkäytösten tunnistaminen: palomuurit eivät ennakoi ihmisen aikomuksia, joten ne eivät voi määrittää, pyritäänkö "laillisella" yhteydellä saada aikaan haittaa. Esimerkiksi IP-osoitteen huijaus ( IP-huijaus) tapahtuu, koska palomuurit eivät varmenna lähde- ja kohde-IP-osoitteita.
2. Sellaisten yhteyksien ennaltaehkäisy, jotka eivät kulje palomuurin kautta: Verkkotason palomuurit eivät yksinään pysäytä haitallista sisäistä toimintaa. Sisäisten palomuurien, kuten isäntäpohjaiset palomuurien, tulee olla läsnä ympäröivän palomuurin lisäksi, jotta verkkosi voidaan jakaa ja sisäisten "palojen" liikettä voidaan hidastaa.
3. Soveltuvan suojauksen tarjoaminen haittaohjelmilta: Vaikka haittakoodeja sisältävät yhteydet voidaan pysäyttää, jos niitä ei sallita, hyväksyttäväksi katsottu yhteys voi silti tuoda näitä uhkia verkkoosi. Jos palomuuri jättää huomiotta yhteyden sen virheellisen määrityksen tai hyväksikäytön vuoksi, virustorjuntaohjelmaa tarvitaan silti kaikkien sisääntulevien haittaohjelmien poistamiseksi.

Esimerkkejä palomuureista

Käytännössä palomuurien todelliset sovellukset ovat saaneet sekä ylistävän että ristiriitaisen vastaanoton. Vaikka palomuurien onnistumisen historia onkin pitkä, tätä turvallisuustyyppiä tulee käyttää oikein hyväksikäyttöjen välttämiseksi. Lisäksi palomuureja tiedetään käytettäneen eettisesti kyseenalaisilla tavoilla.

Kiinan suuri palomuuri, Internetin sensuuri

Kiinalla on ollut noin vuodesta 2000 lähtien sisäiset palomuurirakenteet, joiden avulla se on luonut tarkoin valvotun intranetinsä. Palomuureille on ominaista, että niillä voidaan luoda globaalin internetin mukautettu versio valtion sisällä. Ne saavuttavat tämän estämällä valikoitujen palvelujen ja tietojen käytön tai niihin pääsyn tämän kansallisen intranetin puitteissa.

Kansallinen valvonta ja sensuuri mahdollistavat sananvapauden jatkuvan tukahduttamisen ja valtion imagon säilyttämisen. Lisäksi Kiinan palomuurin avulla hallitus voi rajoittaa Internetiin pääsyn paikallisille yrityksille. Se hallinnoi erilaisia asioita, kuten hakukoneita ja sähköpostipalveluja, joita on paljon helpompi muokata hallituksen tavoitteiden mukaisiksi.

Kiinan sensuuria on protestoitu sisäisesti jatkuvasti. Virtuaalisten erillisverkkojen ja välityspalvelinten käyttö kansallisen palomuurin kiertämiseksi on saanut aikaan sen, että monet ovat saaneet tyytymättömyyttä huokuvan äänensä kuuluviin.

Yhdysvaltain liittovaltio joutui vaaraan etätyön heikkouksien vuoksi koronapandemian aikana

Vuonna 2020 väärin määritetty palomuuri oli vain yksi turvallisuusheikkouksista, jotka johtivat anonyymiin Yhdysvaltain liittovaltion tietoturvarikkomukseen.

Uskotaan, että kansallinen toimija käytti hyväkseen Yhdysvaltain liittovaltion kyberturvallisuuden erinäisiä puutteita. Monien mainittujen turvallisuusongelmien joukossa oli se, että käytössä olevassa palomuurissa oli monia lähteviä portteja, jotka oli sopimattomasti avattu liikenteelle. Heikon ylläpidon lisäksi liittovaltion verkossa oli todennäköisesti uusia haasteita etätyön vuoksi. Verkkoon päästyään hakkeri käyttäytyi tavalla, josta ilmeni, että sen aikomuksena oli edetä muista avoimista reiteistä muihin virastoihin. Tämän tyyppinen teko vaarantaa viraston, johon tunkeuduttiin, tietomurrolle , mutta se altistaa myös monet muut.

Yhdysvaltain sähkönjakeluverkoston operaattorin päivittämätön palomuuri joutui hyökkäyksen kohteeksi

Vuonna 2019 Yhdysvaltain sähkönjakelupalvelujen tarjoajalla oli palvelunestoa (Denial-of-Service, DoS) koskeva haavoittuvuus, jota hakkerit käyttivät hyödykseen. Ympäröivän verkon palomuurit juuttuivat uudelleenkäynnistyksen käytön silmukkaan noin kymmeneksi tunniksi.

Myöhemmin arvioitiin sen johtuneen tunnetusta mutta korjaamattomasta laiteohjelmiston haavoittuvuudesta palomuureissa. Vakiomenetelmää päivitysten tarkistamiseksi ennen käyttöönottoa ei ollut vielä toteutettu, mikä aiheutti päivitysviiveitä ja väistämättömän turvallisuusongelman. Onneksi turvallisuusongelma ei johtanut merkittävään verkkoon tunkeutumiseen.

Nämä tapahtumat korostavat, miten tärkeitä säännölliset ohjelmistopäivitykset ovat. Ilman niitä palomuurit ovat vain yksi monista verkkoturvallisuusjärjestelmistä, joita voidaan hyödyntää.

Miten palomuurisuojausta käytetään

Palomuurin oikeaoppiset asetukset ja ylläpito ovat olennaisia tekijöitä, joiden avulla pidät verkkosi ja laitteesi suojassa. Seuraavassa on joitakin vinkkejä, jotka opastavat sinua palomuuriverkon turvallisuuskäytännöissä:

1. Päivitä palomuurisi aina niin pian kuin mahdollista: Laiteohjelmiston ja ohjelmiston korjaukset pitävät palomuurisi päivitettynä mahdollisia vasta havaittuja haavoittuvuuksia vastaan. Henkilökohtaiset ja kodin palomuurin käyttäjät voivat yleensä päivittää turvallisesti ja välittömästi. Suuremmissa organisaatioissa saattaa olla tarpeen tarkistaa ensin määritys ja yhteensopivuus verkossa. Jokaisella tulisi kuitenkin aina olla käytössä prosessit, jotka mahdollistavat pikaisen päivityksen.
2. Käytä virustorjuntaa: Palomuureja ei ole suunniteltu pysäyttämään haittaohjelmia ja muita tartuntoja. Ne voivat ohittaa palomuurin suojaukset, jolloin tarvitset turvallisen ratkaisun, joka on suunniteltu ottamaan ne pois käytöstä ja poistamaan ne. Kaspersky Total Security voi suojata henkilökohtaiset laitteesi, ja monet yritysten turvallisuusratkaisumme voivat suojella kaikkia verkkoisäntiä, jotka haluat pitää puhtaina.
3. Rajoita saatavilla olevia portteja ja isäntiä käyttöoikeusluettelolla: Käytä oletusasetuksena tulevan liikenteen yhteyden estoa. Rajoita tulevat ja lähtevät yhteydet tiukasti vain luotettujen IP-osoitteiden valkoiseen listaan. Vähennä käyttäjän käyttöoikeudet vain tarvittaviin. On helpompaa pysyä turvassa sallimalla pääsy tarvittaessa kuin perua pääsy ja lieventää haittaa vahingon sattuessa.
4. Segmentoitu verkko: Rikollisten toimijoiden lateraalinen liike on selvä vaara, joka voidaan torpata rajoittamalla keskinäistä viestintää sisäisesti.
5. Huolehdi siitä, että sinulla on aktiiviset verkon redundanssit seisokkien välttämiseksi: tietojen varmuuskopiointi verkkoisännille ja muille olennaisille järjestelmille voi ehkäistä tietojen ja tuottavuuden menetystä onnettomuuden sattuessa.

Kaspersky Endpoint Security sai kolme AV-TEST-palkintoa parhaasta suorituskyvystä, suojauksesta ja käytettävyydestä yrityksen päätepisteen turvallisuustuotteelle vuonna 2021. Kaspersky Endpoint Security osoitti poikkeuksellista suorituskykyä, suojausta ja käytettävyyttä yrityksille kaikissa testeissä.

Aiheeseen liittyviä linkkejä:

• Roskaposti ja tietojenkalastelu
• Mihin varmuuskopiotiedostoja tarvitaan?
• Miten poistaa virus tai haittaohjelma tietokoneelta?
• Mikä on haittakoodi?