Palomuuriohjelman käyttäminen

Kun palomuuriohjelmaa otetaan käyttöön, se kyselee käyttäjältä liikenteestä ja ohjelmista. Tämä voi tuntua aluksi hämmentävältä ja toistuessa kysely alkaa turhauttamaan. Kysymykset ovat usein esitetty tyyliin: "Sovellus se ja se yrittää muodostaa verkkoyhteyttä". Usein kysymykseen on liitetty tarkempia tietoja sovelluksen liikenteestä ja näiden tietojen perusteella käyttäjän pitäisi tehdä tietoturvaan vaikuttavia päätöksiä. Kysytyt päätökset ovat usein tyyliä: Salli, Estä, salli kaikki, Estä kaikki, Luota sovellukseen, jne. Kyselyihin kannattaa kuitenkin hieman perehtyä, sillä niillä on tarkoituksensa.

Koska palomuurituotteita on tarjolla useita erilaisia, olen kirjoittanut tälle sivulle yleistietoa palomuuriohjelmien perustoiminnoista. Sivun tarkoitus on antaa yleiskuva sekä joitakin vinkkejä palomuuriohjelmien käyttöön. Syventävää tietoutta ja käyttöohjeita palomuureihin löytyy valmistajien tukisivustoilta.

Palomuuriohjelman toiminta

Jotta palomuuriohjelmaa voitaisiin käyttää paremmin, olisi hyvä ymmärtää jotain sen toiminasta ja miten se hallitsee tietokoneen verkkoliikennettä.

Asentuminen

Palomuuriohjelma asentuu käyttöjärjestelmän verkkoyhteyttä hallitsevaan osaan ja tämän jälkeen kaikki verkkoliikenne joutuu kulkemaan palomuurin kautta. Koska palomuuri hallitsee käyttöjärjestelmän verkkoliikennettä, tulisi häiriöiden ja sekaannusten välttämiseksi pitää päällä vain yhtä palomuuriohjelmaa kerrallaan.

Verkkoliikenne

Palomuuriohjelma näkee lähtevät ja tulevat verkkoyhteydet ja rajoittaa näitä sääntöjensä perusteella. Kun jokin ohjelma / sovellus muodostaa yhteyttä Internet-palvelimeen, yhteys koostuu normaalisti kahteen suuntaan tapahtuvasta liikenteestä, lähtevästä ja palaavasta tavujonosta. Normaalissa toiminnassa käyttäjä ei saa ilmoituksia palaavasta tavujonosta, vain yhteyttä muodostavasta lähtevästä tavujonosta. Palomuuri huolehtii palvelimelta palaavan liikenteen käsittelyn automaattisesti. Mikäli Internet-yhteys kuitenkin katkoo tai sovellus kaatuu, voi palomuurille tulla yllättäen sovellukselle tarkoitettua "vanhentunutta" palavaa liikennettä ja palomuuri voi hälyttää tästä liikenteestä.

Sovellusseuranta

Useat palomuuriohjelmat pitävät yllä sallinta- ja kieltolistoja siitä, mille sovellukselle verkkoyhteydet ovat sallittuja ja kuinka paljon sovelluksiin luotetaan. Usein käyttäjä kuitenkin joutuu opettamaan palomuuriohjelmaa ja kertomaan sille, luotetaanko ilmoituksien aiheuttajiin täysin, osittain tai ei ollenkaan. Luotetut sovellukset saavat luoda verkkoyhteyksiä vapaasti. Osittain luotetut sovellukset saavat liikennöidä vain säännöissä sallittuihin portteihin ja osoitteisiin. Ei luotetut -sovellukset eivät pääse muodostamaan verkkoyhteyksiä.

Palomuurisääntöjen määrittäminen

Käyttäjä joutuu ajoittain tekemään päätöksiä siitä, sallitaanko jonkin ohjelman liikennöidä Internetiin tai sallitaanko Internetistä liikennettä johonkin ohjelmaan. Kun jokin päätös on tehty, palomuuriohjelma kirjaa sen sääntölistoihinsa, josta sitä voidaan tarvittaessa muuttaa tai poistaa. Palomuuriohjelmilla on usein kaksi sääntölistaa; ensimmäisessä listassa käsitellään verkkoliikennettä ja toisessa sovelluksien tarkistustietoja.

Luotettujen sovelluksien tarkistustietojen muuttuessa, palomuuri kysyy onko sovellusta päivitetty. Mikäli sovellusta on päivitetty, pitää sovelluksen luottamus määrittää uudelleen. Mikäli sovellusta ei ole päivitetty, kannatta ajaa virustarkistus ja katsoa Internetin-hakuroboteilla liittyykö sovellukseen mahdollisesti tunnettuja uusia haittaohjelmia tai haavoittuvuuksia.

Ilmoituksien tulkinta

Palomuuriohjelman ilmoituksissa kannattaa tarkkailla ensisijaisesti yhteyden aiheuttavan sovelluksen nimeä ja siihen liittyvää kohdeporttia sekä kohdeosoitetta. Portin ja osoitteen avulla tunnistaa, millaisesta yhteydestä on kysymys. Mikäli kohdeosoitteena on koneesi oma osoite, on liikenne kohdistumassa ohjelman mahdollisesti tarjoamaan palveluun, tällöin kannattaa harkita kahdesti, salliiko yhteyden.

Esimerkki palomuurin yhteysilmoituksesta.

Sovellus Firefox yrittää muodostaa verkkoyhteyttä!

Sovellus: firefox.exe
Protokolla: TCP
Kohdeosoite: 192.0.2.100 (www.example.com)
Kohdeportti: 80 (http)
Lähdeosoite: 192.0.2.1
Lähdeportti: 1112

Sanasto: Lähde = source, kohde = destination

Yhteyttä tulkittaessa tulee kiinnittää huomiota palvelun määrittävään kohdeporttiin, joka on tässä tapauksessa numero 80. Porttilistoista saadaan selville, että portti 80 on http-palvelun portti ja se on normaalisti käytössä www-selain yhteyksissä. Ilmoituksen liikenne vaikuttaa luotettavalta kun kyseessä on selainohjelma.

Mikäli kyseessä olisi jokin tuntematon sovellus ja tuntematon kohdeportti, eikä sovellukseen löydy tietoa Internetin-hakuroboteilla, kannattaa yhteys kieltää. Joissakin palomuuriohjelmissa on mahdollista kieltää yhteys väliaikaisesti ilman, että pysyvää sääntöä tehdään. Mikäli koneen toiminta häiriintyy ja päätät sallia aikaisemmin kieltämäsi liikenteen, etsi sääntölistoista siihen liittyvä sääntö ja poista se. Säännön poiston jälkeen palomuuriohjelma kysyy päätöstä uudelleen.

Portti

Palomuuriohjelman mainitessa porttinumeroita kannattaa huomio kohdistaa erityisesti liikenteen kohdeportteihin. Kohdeporteista voidaan usein päätellä minkä tyyppisiin palveluihin yhteys liittyy. Esim. Palvelimet tarjoavat www-palveluita portissa 80 (http) ja salattuja www-palveluita portissa 443 (https). Internetin tapahtuvien yhteyksien toiminnan kannalta kaikkein tärkein portti on UDP 53, se mahdollistaa nimikyselyt.

Yleisiä kohdeportteja Internetiin liikennöitäessä ovat:

Protokolla	portti	Palvelu / ohjelma
TCP	21	FTP - tiedostonsiirto-ohjelma
TCP	22	SSH -terminaali tai SCP-tiedoston siirto
TCP	25	SMTP - lähtevä sähköposti
UDP	53	DNS - nimipalvelukyselyt
TCP	80	HTTP - www-selailu
TCP	110	POP3 - sähköpostin nouto
TCP	443	HTTPS - (salattu) www-selailu
TCP	465	SMTPs - (salattu) lähtevä sähköposti
TCP	995	POP3s - (salattu) sähköpostin nouto

TCP & UDP -portit sivulta löytyy laajempi lista

Portteja on kaikenkaikkiaan 65535 kpl, parhaiten tunnetut palvelut sijaitsevat porteissa 0-1023 ja tämän yläpuolelta on käytössä sekalaisesti dokumentoituja portteja. Esim. monet verkkopelit avaavat palveluportteja 10000 yläpuolelle kun peli laitetaan palvelintilaan.

Osoitteet

Palomuuriohjelma mainitsee ilmoituksissaan usein myös osoitteita numeerisessa muodossa (IP-osoite) tai kirjaimia käyttävässä muodossa (domain-nimi). Usein domain-nimistä voidaan jo päätellä, onko liikenne luotettavaa ja kuuluuko se sovelluksen normaaliin toimintaan. Esim. yleisimmät pikaviestiohjelmat ottavat yhteyttä valmistajan pikaviestipalvelimiin ja virustorjuntaohjelma hakee päivityksiä valmistajan sivuilta, jne. Poikkeuksena ovat vertaisverkko-ohjelmat, jotka ottavat yhteyksiä ympäri maailmaa.

Sääntöjen siivoaminen

Mikäli palomuuriohjelma on ollut käytössä pitkään tai näyttää siltä, että säännöissä saattaa olla useita virheitä, kannatta palomuuriohjelman säännöt palauttaa oletusasetuksille ja aloittaa opettaminen uudelleen. Ennen nollausta säännöistä kannattaa ottaa varmuuskopiot.

Sammuta kaikki ylimääräiset ohjelmat ja nollaa palomuurin säännöt. Ensimmäinen sovellus, josta uudelleen opetus kannattaa aloittaa on virustorjuntaohjelma. Pakota virustorjuntaohjelma tarkistamaan päivityksiä ja salli liikenteet. Muista tarkistaa, että virustorjuntaohjelma todella saa uusien sääntöjen määrityksen jälkeen yhteyden päivityspalvelimelle. Seuraavaksi opetusta kannattaa jatkaa käyttöjärjestelmän päivityksien haulla ja selaimen käytöllä.

- Sivun alkuun -