Tulemüür (informaatika)

Allikas: Vikipeedia
Illustratsioon tulemüüri tööst
Illustratsioon tulemüüri seadistamisest Ubuntu keskkonnas

Tulemüür (inglise Firewall) on tarkvara või seade, mis turvakaalutlustel piirab ja reguleerib võrguliiklust arvutivõrgus või võrkude vahel vastavalt seadistatud reeglitele. Tavaliselt kasutatakse tulemüüri interneti ja kohaliku kohtvõrgu vahel. Tulemüüri esmane otstarve on väljastpoolt juurdepääsu takistamine ressursidele, millele pole sellist juurdepääsu ette nähtud. On ka tulemüüre mis piiravad väljuvat liiklust. Tarkvaraline tulemüür on integreeritud ka Windowsi operatsioonisüsteemidesse alates Windows XP-st.

Tulemüüri saab implementeerida nii tarkvaraliselt, riistvaraliselt kui ka kombinatsioonina mõlemast. Tavaliselt kasutatakse tulemüüri, et ennetada autoriseerimata Interneti kasutajate ligipääsu privaatvõrkudele, eriti kohtvõrkudele. Kõik saabunud ja saadetud teated läbivad tulemüüri, mis uurib igat teadet ja blokeerib need, mis ei vasta eelnevalt täpsustatud turvanõuetele.

Tulemüür võib töötada mitmel erineval viisil:

  1. Pakett-filtrid: Pakett-filtreerimisel põhinevad tulemüürid uurivad võrguliikluses igat paketti eraldi ning vastavalt kasutaja poolt kehtesatud reeglitele lubab need läbi või tõrjub eemale. Kuigi keeruline seadistada, on see üsna efektiivne ja arvutikasutajale oma olemuselt arusaadav. Vastuvõtlik IP spuufimisele.
  2. Rakenduskihi tulemüür: kehtestab turvanõuded teatud rakendustele nagu FTP ja Telnet serveritele. Selline lähenemine on äärmiselt efektiivne turvakaalutlustest lähtudes, kuid võib vähendada üldist jõudlust.
  3. Olekuteadlik tulemüür: kehtestab turvanõuded kui TCP või UDP ühendusele. Kui juba ühendus on loodud, siis paketid võivad liikuda ilma edasise kontrollita.
  4. Proksi: püüab kinni kõik teated, mis saabuvad või mida saadetakse läbi võrgu. Proxy server varjab efektiivselt tegelikku võrguaadresi.

Ajalugu[muuda | redigeeri lähteteksti]

Termin tulemüür tähendas algselt seina tule või potentsiaalse tulekahju edasipääsu tõkestamiseks hoonetes. Uss Morris oli üks esimesi, kes levis arvutist arvutisse kasutades ära tolleaegsete arvutite haavatavust. Kuigi see polnud oma eesmärgi poolest pahatahtlik, oli see esimene laiahaardelisem rünnak Interneti turvalisuse vastu. Interneti kogukond ei osanud sellist rünnakut oodata ega polnud ka sellega tegelemiseks valmis.[1]

Esimene põlvkond: paketi-filtrid[muuda | redigeeri lähteteksti]

Esimene artikkel tulemüüri tehnoloogia kohta avaldati aastal 1988, kui insenerid Digital Equipment Corporation´ist arendasid filtersüsteeme, mida teatakse praegu pakett-filtri tehnoloogia nime all. See võrdlemisi lihtne süsteem oli esimene teerajaja edasises kaugele arenenud ning tehnilises interneti turvalisuse maailmas. Bill Cheswick ja Steven M. Bellovin Belli laboratooriumist jätkasid nende uurimist ja arendasid selle põjal esimese töötava mudeli oma kompanii tarvis.

Seda tüüpi pakettide filtreerimine ei pööra mingit tähelepanu sellele, kas pakett on osake olemasolevast ühendusest või mitte (s.t. mingit informatsiooni ühenduse oleku kohta ei salvestata). Selle asemel filtreeritakse pakette ainult pakettides endas sisalduva informatsiooni põhjal, kasutades selleks enamasti kombinatsiooni paketi lähte- ja sihtaadressist, protokollist ning TCP ja UDP puhul pordi numbrist.

TCP ja UDP protokollid moodustavad suurema osa suhtlusest üle Interneti ja kuna TCP ja UDP liiklus konventsionaalselt kasutab teada-tuntud porte teatud tüüpi liikluse jaoks, siis ühenduse olekust mittemidagi teadev filter saab eristada ja kontrollida sellist tüüpi liiklust (nagu veebilehitsemine, kaugprintimine, e-kirja saatmine, faili ülekandmine), kui just masinad kummalgi pool pakett-filtrit ei kasuta mittestandartseid porte.

Pakette filtreerivad tulemüürid töötavad peamiselt OSI mudeli kolmel esimsel kihil, mis tähendab, et suurem osa tööd tehakse ära võrgu ja füüsiliste kihtide vahel ning ainult natukene piiludes transpordikihti, et aru saada lähte- ja sihtkoha pordinumbritest[2]. Kui pakett pärineb saatjalt ja jõuab tulemüürini, siis seade kontrollib, kas pakett vastab filtreerimisreeglitele ja vastavalt sellele, kas laseb paketi läbi või tõrjub eemale. Kui pakett läbib tulemüüri, siis filtreerimine toimub protokolli/pordinumbri baasil. Näiteks, kui eksisteerib reegel tulemüüri seadetes, mis keelab ligipääsu läbi telneti, siis tulemüür plokib IP protokollid, milles kasutatakse pordinumbrit 23.

Teine põlvkond: rakenduskihi tulemüür[muuda | redigeeri lähteteksti]

Peamine kasu rakenduskihi tulemüürist/rakenduskihi filtreerimisest on, et see saab aru teatud rakendustest ja protokollidest (nagu File Transfer Protocol, DNS, või veebilehitsemine), ja see võimaldab avastada, kui mittesoovitud protokoll proovib siseneda läbi mittestandartse pordi või kui protokolli ahistatakse mingil muul kahjulikul viisil.

Rakenduskihi tulemüür on palju turvalisem ja usaldusväärsem võrreldes pakett-filtri tulemüüriga, kuna see töötab kõigil seitsmel OSI mudeli kihil, rakendusest kuni füüsilise kihini. See on küll sarnane pakett-filtri tulemüürile, aga siin on võimalik informatsiooni filtreerida lisaks ka sisust lähtudes. Parim näide rakenduskihi tulemüürist on ISA(Internet Security and Acceleration) server. Rakenduskihi tulemüür suudab filtreerida kõrgema kihi protokolle nagu FTP, Telnet, DNS, DHCP, HTTP, TCP, UDP ja TFTP (GSS). Näiteks, kui organisatsioon tahab plokeerida kogu informatsiooni, mis on seotud sõnaga "foo", siis saab käivitada sisu filtreerimise tulemüüris, et see sõna edaspidi plokeeritakse. Tarkvaral põhinevad tulemüürid on seega aeglasemad kui olekuteadlikud tulemüürid. Kui mõni saatja poolne pakett plokeeritakse tulemüüri poolt, siis saatjat sellest üldiselt ei teavitata. Põhimõtteliselt suudavad rakenduskihi tulemüürid peatada kogu soovimatu välise ligipääsu kaitstud masinatesse. Põhjalikult uurides iga paketi sisu saavad tulemüürid ennetada võrgu-usside või troojalaste pääsemist võrguga ühendatud arvutisse. Igasugused lisakriteeriumid, mida pakettide läbivaatamisel arvestatakse, lisavad teatava ajakulu pakettide toimetamisele sihtkohta.

Kolmas põlvkond: olekuteadlikud tulemüürid[muuda | redigeeri lähteteksti]

Aastast 1989-1990 kolm kolleegi Belli laboratooriumist, Dave Presetto, Janardan Sharma, and Kshitij Nigam, arendasid kolmanda põlvkonna tulemüüre kutsudes neid riistvara-taseme tulemüürideks.

Kolmanda generatsiooni tulemüürid, lisaks esimese ja teise põlvkonna tulemüüridele vaatab ka iga paketi asetust paketiseeria sees. Üldiselt viidataks sellele tehnoloogiale kui olekuteadlikule pakettide inspekteerimisele, kuna säilitatakse teave kõigist ühendustest, mis tulemüüri läbivad, ning on võimelised määrama, kas konkreetne pakett kujutab endast uue ühenduse algust, on osa praegusest ühendusest või on hoopis vigane pakett. Kuigis selles tulemüüris on ikka hulk staatilisi reegleid, ühenduse olek võib ise olla üheks kriteeriumiks, mis ütleb, millised kindlad reeglid kehtestada. Seda tüüpi tulemüüre on võimelised ära kasutama Denial-of-service rünnakud, mis võivad täita ühendustabeleid ebaseaduslike ühendustega.

Järgnevad edasiarendused[muuda | redigeeri lähteteksti]

Aastal 1992, Bob Braden and Annette DeSchon at the Southern California Ülikoolist viimistlesid tulemüüri kontseptsioni. Toode nimega "Visas" oli esimene süsteem, millesse oli integreeritud visuaalne liides koos värvide ja ikoonidega ning mida oli kerge implementeerida ja ligipääseda arvuti operatsioonisüsteemist, nagu Microsoft'i Windows või Apple'i MacOS. Aastal 1994 Iisraeli kompanii Check Point Software Technologies ehitas selle vabalt kättesaadavaks tarvaraks, mida teatakse FireWall-1 nime all.

Tänapäevaste tulemüürdide pakettide sügavuti läbi uurimise deep packet inspection funktsionaalsuse saab ühendada sissetungimist ennetavate süsteemidega.

Praegu töötab Middlebox Communication töörühm organisatsioonist Internet Engineering Task Force (IETF) protokollide standardiseerimsie kallal, mis võimaldaks tulemüüride paremat haldamist.

Areng toimub ka selles suunas, et integreerida kasutaja idntiteet tulemüüri reeglitesse. Paljud tulemüürid kätkevad endas omadust, et kasutaja seotakse mingi konkreetse IP või MAC aadressiga, mis on väga üldine ja millest on kerge mööda saada. NuFW tulemüür pakub tõelist identifitseerimisel põhinevat tulemüüri, mis mis nõuab igal ühenduse jaoks kasutajalt signatuuri. authpf BSD süsteemidel laeb tulemüüri seaded automaatselt iga kasutaja jaoks pärast autentimist läbi SSH.

Proksi[muuda | redigeeri lähteteksti]

Next.svg Pikemalt artiklis Proksi

Proksi, mis jookseb selleks pühendatud serveril või üldotstarbelisel arvutil, võib käituda justkui tulemüür reageerides sissetulevatele pakettidele (näiteks, ühendumissoovidele) ning on võimeline ka teatud liiklust plokeerima.

Proxy serverid teevad sisesüsteemiga jändamise välisest võrgust raskemaks ja ühe sisesüsteemi väärkasutus ei põhjusta tingimata turvaauku, mida saaks ära kasutada väljastpoolt tulemüüri (vähemalt nii kaua kui proxy püsib tervena ja õigesti seadistatuna). Vastupidiselt, sissetungijad võivad kaaperdada mõne avalikult kättesaadava süsteemi ja kasutada seda kui proxy serverit omadel eesmärkidel. Kuigi siseaadressiruumi kasutamine suurendab turvalisust, võivad häkkerid ikkagi kasutada meetodeid nagu IP spuufimine, et saata pakette sihtvõrkudesse.

Võrguaadresside tõlkimine[muuda | redigeeri lähteteksti]

Next.svg Pikemalt artiklis Võrguaadresside tõlkimine

Tulemüürid kasutavad tihtipeale võrguaadresside tõlkimise funktsionaalsust ning arvutid, mis jäävad kaitsva tulemüüri taha üldiselt omavad aadressi privaatseks kasutamiseks mõeldud aadressiruumis. Tulemüüridel on sageli olemas funktsionaalsus, mis peidab tulemüüriga kaitstud arvuti tegeliku võrguaadressi. Algselt oli selline võrguaadresside tõlkimine mõeldud aadresseerimaks piiratud ressurssidega IPv4 marsruuditavaid aadresse, mida võiksid kasutada nii kompaniid kui eraisikud ning et vähendada avalike aadresside hulka ja seega ka maksumust iga võrku ühendatud arvuti jaoks. Võrguaadresside varjamine kaitstud masinates on saanud oluliseks kaitsevahendiks võrguluure vastu.

Vaata ka[muuda | redigeeri lähteteksti]

Viited[muuda | redigeeri lähteteksti]

Välislingid[muuda | redigeeri lähteteksti]