Tulemüüri kasutamise vajadus

Allikas: Kuutõrvaja

Sissejuhatus

Internet ehk avalik võrk koosneb suurematest ja väiksematest võrgusegmentidest, kuhu on ühendatud kokku arvutid (nt töökohad või serverid). Võrgusegmendid on omavahel ühendatud nn võrgu sõlmpunktide kaudu - kaks võrgusegmenti võivad suhelda otse üle ühe ühise võrgusõlmpunkti, aga võrgusegmentide vahele võib jääda ka mitmeid teisi võrgusõlmi, mis on omavahel ühendatud nt magistraalühendustega.

Tavaliselt kuulub võrgusegment mingile haldusüksusele, näiteks ettevõttele või riiklikule struktuurile. Võrgusegment võib olla jaotatud omakorda alamsegmentideks, mille osad vastavad haldusüksuse osadele. Selline võrgu osadeks jaotamine ehk segmenteerimine võimaldab osalistel ennast internetis iseseisvalt teostada ning samal ajal on vastutus võrgus toimuva eest erinevate osaliste vahel ära jagatud.

Selleks, et kontrollida läbi võrgu sõlmpunkti toimuvat liiklust kasutatakse spetsiaalselt selleks tarbeks ettevalmistatud seadmeid, mida nimetatakse tulemüürideks. Tulemüür võib esineda olemasoleva võrgu sõlmpunkti juures iseseisva seadme kujul või moodustadagi samaaegselt sõlmpunkti enda.

Põhimõtteliselt töötab tulemüür kahes suunas

  • kaitsdes võrgusegmenti muu avaliku võrgu eest ja
  • kaitsdes muud avalikku võrku kõnealuses võrgusegmendis toimuva eest

Käesolevate tekstide kontekstis võiks kujutleda tulemüüri mitte kontinentidevahelise magistraalühenduse otspunktis töötava seadmenseadmena, vaid seadmena, mis teenindab näiteks ühele keskmise suurusega organisatsioonile kuuluvas võrgusegmendis töötavaid sadu arvuteid.

Tulemüür

Tulemüür paigutatakse tavaliselt eraldamaks kõnealuseid arvuteid muust arvutivõrgust, tavaliselt kohtvõrku nn internetist ning samaagselt toimib ta ka kohtvõrgu ruuterina. Otseselt on tulemüüri ülesandeks lubada läbi vaid tulemüüri seadistamisel kasutatud reeglitele vastav liiklus ning kõike muud takistada. Kaudselt võimaldab tulemüür saada jälile võimalikele probleemidele kohtvõrgus, nt nakatunud arvuti püüab internetis oleva isandaga konktakti võtta või väljast toimuva ründe sooritajaid tuvastada.

Üldiselt kõneldakse tulemüürist kahes kontektsis kusjuures üks ei välista teist ja kõige paremaid tulemusi annab nende kombineeritud kasutamine

  • töökohaarvuti tulemüür - töökohaarvutis töötav tulemüür töötab otse operatsioonisüsteemi kontrolli all ning olles sedavõrd lähedal kaitstavale objektile annab ta võimaluse suhteliselt täpselt kontrollida andmevahetust. Põhimõtteliselt on sellisel juhul puuduseks, et kui nt viirus arvutit kahjustab, siis ei ole välistatud, et kahjustada saab ka tulemüüri enda funktsionaalsus. Lisaks nõuab töökohaarvutis töötav tulemüür osa arvutusressursist endale, mida võiks muul juhul saada kasutada töö tegemiseks.
  • kohtvõrgu tulemüür - kuna kohtvõrgu ruuterit läbi kõik interneti ja kohtvõrgu vahel andmevahetus, siis on see väga otsekohene seal samas liiklust ka kontrollida. Kontroll võib lihtsamal juhul põhineda vaid arvestades lähte ja sihtpunti IP aadresse ning porte lubades ja keelates pakkettidel läbi tulemüüri liikumist. Keerulisemal juhul saab tulemüüris liiklust prioritiseerida või kasutada teenuse vahendajate (application proxy) abi.

Käesolevas tekstis käsitletakse OpenBSD tarkvara kasutamist kõhtvõrgu perimeetril töötava tulemüürina.

Miks on tarvis võrguperimeetril töötavat tulemüüri:

  • kontrollida kohtvõrgu ja interneti vahel toimuvat andmevahetust mõlemas suunas, eesmärgiga takistada juba kohtvõrgu perimeetril lubamatut sissepääsu kohtvõrgu ressurssidele; samuti väljapääsu kohtvõrgust ebasoovitavatesse kohtadesse
  • avastada ja ja koguda infot internetist kohtvõrku või kohtvõrgust internetti toimuvate rünnete kohta
  • logida teatud tunnustele vastavat liiklust, et tagant järele vajadusel korreleerida seda muude sündmustega

Tulemüüril on keeruline ülesanne, samal ajal kui ta peab efektiivselt takistama mitte-soovitavat liiklust, peab ta läbi laskma kasutajate liiklust.