Tulemüür (informaatika)

Allikas: Vikipeedia
Illustratsioon tulemüüri tööst
Illustratsioon tulemüüri seadistamisest Ubuntu keskkonnas

Tulemüür (inglise Firewall) on tarkvara või seade, mis turvakaalutlustel piirab ja reguleerib võrguliiklust arvutivõrgus või võrkude vahel vastavalt seadistatud reeglitele. Tavaliselt kasutatakse tulemüüri interneti ja kohaliku kohtvõrgu vahel. Tulemüüri esmane otstarve on väljastpoolt juurdepääsu takistamine ressursidele, millele pole sellist juurdepääsu ette nähtud. On ka tulemüüre mis piiravad väljuvat liiklust. Tarkvaraline tulemüür on integreeritud ka Windowsi operatsioonisüsteemidesse alates Windows XP-st.

Tulemüüri saab implementeerida nii tarkvaraliselt, riistvaraliselt kui ka kombinatsioonina mõlemast. Tavaliselt kasutatakse tulemüüri, et ennetada volitamata Interneti kasutajate ligipääsu privaatvõrkudele, eriti kohtvõrkudele. Kõik saabunud ja saadetud teated läbivad tulemüüri, mis uurib igat teadet ja blokeerib need, mis ei vasta varem määratud turvanõuetele.

Tulemüür võib töötada mitmel viisil:

  1. Pakett-filtrid: Pakett-filtreerimisel põhinevad tulemüürid uurivad võrguliikluses igat paketti eraldi ning vastavalt kasutaja poolt kehtestatud reeglitele lubab need läbi või tõrjub eemale. Kuigi keeruline seadistada, on see üsna efektiivne ja arvutikasutajale oma olemuselt arusaadav. Vastuvõtlik IP spuufimisele.
  2. Rakenduskihi tulemüür: kehtestab turvanõuded teatud rakendustele nagu FTP- ja Telneti serveritele. Selline lähenemine on väga efektiivne turvakaalutlustest lähtudes, kuid võib vähendada üldist jõudlust.
  3. Olekuteadlik tulemüür: kehtestab turvanõuded kui TCP- või UDP-ühendusele. Kui ühendus on loodud, võivad paketid liikuda ilma edasise kontrollita.
  4. Proksi: püüab kinni kõik teated, mis saabuvad või mida saadetakse läbi võrgu. Proksiserver varjab efektiivselt tegelikku võrguaadresi.

Ajalugu[muuda | redigeeri lähteteksti]

Termin tulemüür tähendab tulekindlat seina tule või potentsiaalse tulekahju edasipääsu tõkestamiseks hoonetes. Nn "Uss Morris" oli üks esimesi, mis levis arvutist arvutisse kasutades ära tolleaegsete arvutite haavatavust. Kuigi see polnud oma eesmärgi poolest pahatahtlik, oli see esimene laiahaardelisem rünnak Internetti ühendatud arvutite turvalisuse vastu. Interneti kogukond ei osanud sellist rünnakut oodata ega polnud ka sellega tegelemiseks valmis.[1]

Esimene põlvkond: paketi-filtrid[muuda | redigeeri lähteteksti]

Esimene artikkel tulemüüri tehnoloogia kohta avaldati aastal 1988, kui insenerid Digital Equipment Corporationist arendasid filtersüsteeme, mida teatakse praegu pakett-filtri tehnoloogia nime all. See võrdlemisi lihtne süsteem oli esimene teerajaja edasises kaugele arenenud ning tehnilises interneti turvalisuse maailmas. Bill Cheswick ja Steven M. Bellovin Belli laboratooriumist jätkasid nende uurimist ja arendasid selle põhjal oma firma jaoks esimese töötava mudeli.

Seda tüüpi pakettide filtreerimine ei pööra mingit tähelepanu sellele, kas pakett on osake olemasolevast ühendusest või mitte (st mingit informatsiooni ühenduse oleku kohta ei salvestata). Selle asemel filtreeritakse pakette ainult pakettides sisalduva informatsiooni põhjal, kasutades selleks enamasti kombinatsiooni paketi lähte- ja sihtaadressist, protokollist ning TCP ja UDP puhul pordi numbrist.

TCP- ja UDP-protokollid moodustavad suurema osa suhtlusest üle Interneti ja kuna TCP- ja UDP-liiklus konventsionaalselt kasutab teada-tuntud porte teatud tüüpi liikluse jaoks, siis ühenduse olekust mittemidagi teadev filter saab eristada ja kontrollida sellist tüüpi liiklust (nagu veebilehitsemine, kaugprintimine, e-kirja saatmine, faili ülekandmine), kui just arvutid kummalgi pool pakett-filtrit ei kasuta mittestandardseid porte.

Pakette filtreerivad tulemüürid töötavad peamiselt OSI-mudeli kolmel esimesel kihil, mis tähendab, et suurem osa tööd tehakse ära võrgu ja füüsiliste kihtide vahel ning ainult natuke piiludes transpordikihti, et aru saada lähte- ja sihtkoha pordinumbritest[2]. Kui pakett pärineb saatjalt ja jõuab tulemüürini, siis seade kontrollib, kas pakett vastab filtreerimisreeglitele, ja vastavalt sellele kas laseb paketi läbi või tõrjub eemale. Kui pakett läbib tulemüüri, siis filtreerimine toimub protokolli/pordinumbri baasil. Näiteks, kui eksisteerib reegel tulemüüri seadetes, mis keelab ligipääsu läbi Telneti, siis tulemüür blokib IP-protokollid, milles kasutatakse pordinumbrit 23.

Teine põlvkond: rakenduskihi tulemüür[muuda | redigeeri lähteteksti]

Peamine kasu rakenduskihi tulemüürist/rakenduskihi filtreerimisest on, et see saab aru teatud rakendustest ja protokollidest (nagu File Transfer Protocol, DNS või veebilehitsemine), ja see võimaldab avastada, kui mittesoovitud protokoll proovib siseneda mittestandardse pordi kaudu või kui protokolli ahistatakse mingil muul kahjulikul viisil.

Rakenduskihi tulemüür on palju turvalisem ja usaldusväärsem võrreldes pakett-filtri tulemüüriga, kuna see töötab kõigil seitsmel OSI mudeli kihil, rakendusest kuni füüsilise kihini. See on küll sarnane pakett-filtri tulemüürile, aga siin on võimalik informatsiooni filtreerida lisaks ka sisust lähtudes. Parim näide rakenduskihi tulemüürist on ISA(Internet Security and Acceleration) server. Rakenduskihi tulemüür suudab filtreerida kõrgema kihi protokolle nagu FTP, Telnet, DNS, DHCP, HTTP, TCP, UDP ja TFTP (GSS). Näiteks, kui organisatsioon tahab blokeerida kogu informatsiooni, mis on seotud sõnaga "foo", siis saab käivitada sisu filtreerimise tulemüüris, et see sõna edaspidi blokeeritakse. Tarkvaral põhinevad tulemüürid on seega aeglasemad kui olekuteadlikud tulemüürid. Kui mõni saatja poolne pakett blokeeritakse tulemüüri poolt, siis saatjat sellest üldiselt ei teavitata. Põhimõtteliselt suudavad rakenduskihi tulemüürid peatada kogu soovimatu välise ligipääsu kaitstud arvutitesse. Põhjalikult uurides iga paketi sisu saavad tulemüürid ennetada võrgu-usside või trooja hobuste pääsemist võrku ühendatud arvutisse. Igasugused lisakriteeriumid, mida pakettide läbivaatamisel arvestatakse, lisavad teatava ajakulu pakettide toimetamisele sihtkohta.

Kolmas põlvkond: olekuteadlikud tulemüürid[muuda | redigeeri lähteteksti]

Aastast 1989-1990 kolm kolleegi Belli laboratooriumist, Dave Presetto, Janardan Sharma ja Kshitij Nigam, arendasid kolmanda põlvkonna tulemüüre, kutsudes neid riistvara-taseme tulemüürideks.

Kolmanda generatsiooni tulemüürid, lisaks esimese ja teise põlvkonna tulemüüridele vaatab ka iga paketi asetust paketiseeria sees. Üldiselt viidataks sellele tehnoloogiale kui olekuteadlikule pakettide inspekteerimisele, kuna säilitatakse teave kõigist ühendustest, mis tulemüüri läbivad, ning on võimelised määrama, kas konkreetne pakett kujutab endast uue ühenduse algust, on osa praegusest ühendusest või on hoopis vigane pakett. Kuigi selles tulemüüris on ikka hulk staatilisi reegleid, ühenduse olek võib ise olla üheks kriteeriumiks, mis ütleb, millised kindlad reeglid kehtestada. Seda tüüpi tulemüüre on võimelised ära kasutama Denial-of-service rünnakud, mis võivad täita ühendustabeleid ebaseaduslike ühendustega.

Järgmised edasiarendused[muuda | redigeeri lähteteksti]

Aastal 1992, Bob Braden ja Annette DeSchon Lõuna-California Ülikoolist viimistlesid tulemüüri kontseptsiooni. Toode Visas oli esimene süsteem, millesse oli integreeritud visuaalne liides koos värvide ja ikoonidega ning mida oli kerge implementeerida ja ligipääseda arvuti operatsioonisüsteemist, nagu Microsoft Windows või Apple MacOS. Aastal 1994 Iisraeli firma Check Point Software Technologies ehitas selle vabalt kättesaadavaks tarvaraks, mida teatakse FireWall-1 nime all.

Tänapäevaste tulemüüride pakettide sügavuti läbiuurimise deep packet inspection funktsionaalsuse saab ühendada sissetungimist ennetavate süsteemidega.

Praegu töötab Middlebox Communication töörühm organisatsioonist Internet Engineering Task Force (IETF) protokollide standardimise kallal, mis võimaldaks tulemüüride paremat haldamist.

Areng toimub ka selles suunas, et integreerida kasutaja identiteet tulemüüri reeglitesse. Paljud tulemüürid kätkevad endas omadust, et kasutaja seotakse mingi konkreetse IP või MAC aadressiga, mis on väga üldine ja millest on kerge mööda saada. NuFW tulemüür pakub tõelist identifitseerimisel põhinevat tulemüüri, mis nõuab iga ühenduse jaoks kasutajalt signatuuri. authpf BSD süsteemidel laadib tulemüüri seaded automaatselt iga kasutaja jaoks pärast autentimist läbi SSH.

Proksi[muuda | redigeeri lähteteksti]

Next.svg Pikemalt artiklis Proksi

Proksi, mis jookseb selleks pühendatud serveril või üldotstarbelisel arvutil, võib käituda justkui tulemüür, reageerides sissetulevatele pakettidele (näiteks, ühendumissoovidele) ning on võimeline ka teatud liiklust blokeerima.

Proxy serverid teevad sisesüsteemiga jändamise välisest võrgust raskemaks ja ühe sisesüsteemi väärkasutus ei põhjusta tingimata turvaauku, mida saaks ära kasutada väljastpoolt tulemüüri (vähemalt nii kaua kui proxy püsib tervena ja õigesti seadistatuna). Vastupidiselt, sissetungijad võivad kaaperdada mõne avalikult kättesaadava süsteemi ja kasutada seda kui proxy serverit omadel eesmärkidel. Kuigi siseaadressiruumi kasutamine suurendab turvalisust, võivad häkkerid ikkagi kasutada meetodeid nagu IP spuufimine, et saata pakette sihtvõrkudesse.

Võrguaadresside tõlkimine[muuda | redigeeri lähteteksti]

Next.svg Pikemalt artiklis Võrguaadresside tõlkimine

Tulemüürid kasutavad tihtipeale võrguaadresside tõlkimise funktsionaalsust ning arvutid, mis jäävad kaitsva tulemüüri taha üldiselt omavad aadressi privaatseks kasutamiseks mõeldud aadressiruumis. Tulemüüridel on sageli olemas funktsionaalsus, mis peidab tulemüüriga kaitstud arvuti tegeliku võrguaadressi. Algselt oli selline võrguaadresside tõlkimine mõeldud aadresseerimaks piiratud ressurssidega IPv4 marsruuditavaid aadresse, mida võiksid kasutada nii asutused kui ka eraisikud ning et vähendada avalike aadresside hulka ja seega ka maksumust iga võrku ühendatud arvuti jaoks. Võrguaadresside varjamine kaitstud arvutites on saanud oluliseks kaitsevahendiks võrguluure vastu.

Vaata ka[muuda | redigeeri lähteteksti]

Viited[muuda | redigeeri lähteteksti]

Välislingid[muuda | redigeeri lähteteksti]