Ohjelmalliset palomuurit

Edullisten kiinteiden yhteyksien yleistyessä myös tarve suojautua Internetin uhilta kasvaa. Helppokäyttöinen palomuuriohjelma on tehokas ja edullinen keino yksittäisen työaseman turvaamiseksi.

Mukana vertailussa:
F-Secure Distributed Firewall 5.38
McAfee Personal Firewall Plus 4.1
Norman Personal Firewall 1.3
Norton Personal Firewall 2002
Sygate Personal Firewall Pro 5.0
Zonealarm Pro 3.1

Tietomurtojen uhka kosketti ennen lähinnä suuria organisaatioita. Kodeissa ja pienyrityksissä käytettiin valintaisia modeemi- ja isdn-yhteyksiä, jolloin yhteydet olivat yleensä auki lyhyitä aikoja kerrallaan ja koneen ip-osoite vaihtui jokaisella yhteyskerralla. Kiinteiden yhteyksien myötä tilanne on kuitenkin olennaisesti muuttunut.

Varsinkin kotikoneilla on harvoin mitään niin kiinnostavaa, että sinne haluttaisiin murtautua taloudellisen hyödyn takia. Internetin tietomurrot eivät kuitenkaan aina toimi näin rationaalisesti ja laskelmoivasti, vaan taustalla voi myös olla pelkkä ilkivallan motiivi.

Uhkakuvia on lisännyt myös se, että yksittäisiä tietokoneita voidaan käyttää osana isompia hajautettuja hyökkäyksiä, jolloin suuri määrä tietokoneita otetaan haltuun ja valjastetaan rikollisen tarpeisiin. Tavoitteena voi olla esimerkiksi suuren organisaation tietojärjestelmien kaataminen tai pääsy niihin sisälle yliruuhkautumisen aiheuttamien ongelmien kautta.

Internetin nopea kaupallistuminen on aiheuttanut sen, että yrityksiä kiinnostaa yhä enemmän, mitä netissä tehdään, millaista tietoa etsitään ja millaiset mainokset vetoavat ihmisiin. Asian varjopuolena kansalaisten yksityisyys voi kärsiä, kun tietoa yritetään hankkia myös lupaa kysymättä. Tärkeimpiä ohjelmallisten palomuurien tehtäviä onkin estää tietojen lähettäminen käyttäjästä itsestään, hänen Internetin käytöstään tai laitteistostaan.

Monet näennäisesti vaarattomat ohjelmat toimivat hyvän maun rajoilla. Tyypillisesti nämä ovat maksuttomia ohjelmia, joissa on www-sivujen tapaan mainoksia. Näiden niin sanottujen spyware-ohjelmien avulla voidaan selvittää, mitä mainoksia tietty käyttäjä on klikkaillut, tai jopa missä tämä on ylipäätään Internetissä liikkunut.

Suojaa luvattomalta liikenteeltä

Palomuurin tehtävä on yksinkertaisesti sanottuna suojata verkko luvattomalta liikenteeltä. Tämän aikaansaamiseksi on monenlaisia laitteisto- ja ohjelmistopohjaisia ratkaisuja, joiden hinnat, suorituskyky ja helppokäyttöisyys vaihtelevat.

Ohjelmalliset palomuurit edustavat palomuurien kevyintä kastia. Niitä ei ole tarkoitettu kokonaisten lähiverkkojen tai hyvin salaisten tietojen suojaamiseen, vaan yksittäisten Internetiin liitettyjen työasemien tietoturvan parantamiseen.

Luvattoman liikenteen rajoittaminen perustuu niissä pääsylistoihin, joiden mukaan yhteydet Internetiin ulkoa- tai sisältäpäin sallitaan tai estetään. Tämä voidaan tehdä ip-osoitteiden, porttien ja käytetyn protokollan perusteella.

Vertailussa olevat kevyet ohjelmalliset palomuurit eivät kykene perusteelliseen ip-pakettien analysointiin. Jokaisen paketin tarkka analysointi vaatisi niin paljon tehoa, että se voisi hidastaa merkittävästi yksittäisen työaseman käyttöä ja Internet-yhteyttä. Tällaisia ratkaisuja käytetäänkin siksi vain raskaammissa laitteistopohjaisissa palomuureissa. Tämän seurauksena ohjelmallinen palomuuri päästää yleensä läpi kaiken sellaisen liikenteen, joka tulee luotetusta osoitteesta tai jonka käyttäjä erikseen hyväksyy.

Ohjelmallinen palomuuri ei siis korvaa käyttäjän varovaisuutta tai estä haitallisten ohjelmien asentamista. Sen tärkein tehtävä on varoittaa käyttäjää sovelluksen yhteydenottoyrityksestä ja kysyä, halutaanko lupa antaa.

Lähes kaikki vertailun palomuureista tarkkailevat ulospäin lähtevää liikennettä sen mukaan, millä sovelluksella yhteydenotto tehdään. Käyttäjältä kysytään yhteyden avaamiseen lupa, jonka voi antaa pysyvästi tai vain kerraksi. Varoituskellojen pitäisi alkaa soida, jos jokin ohjelma yrittää muodostaa yhteyden aivan vieraaseen osoitteeseen ilman, että käyttäjä on itse sitä pyytänyt.

Asenna ja unohda

Koska ohjelmalliset palomuurit on tarkoitettu pääasiassa kotikäyttöön ja yksittäisille työasemille, on helppo käyttöönotto niiden tärkeimpiä ominaisuuksia. Useimmat käyttäjät eivät hallitse tietoliikenteen monimutkaista termiviidakkoa ja protokollia, vaan asennuksen on onnistuttava aloittelijaltakin helposti.

Palomuuriohjelmien ensimmäiset versiot oli suunnattu lähinnä kokeneille käyttäjille, jotka hallitsevat tietoliikenteen protokollien ja sovellusten perusteet. Myös asennusohjelmat olivat hankalia, ja palomuuri saattoi panna oletusasetuksilla Internet-yhteydet kokonaan lukkoon. Käyttäjän piti itse osata selvittää sopivat asetukset, joilla www-selain, sähköposti ja muut tavallisimmat sovellukset toimivat.

Nykyiset palomuurit ovat toista maata. Ne on suunniteltu erityisesti aloittelijoille, eikä ohjelman asentaminen vaadi monimutkaista tietoliikenneosaamista. Optimaalisessa tilanteessa palomuurin toimintaan ei tarvitse asennuksen jälkeen enää puuttua. Suoja halutaan saada nopeasti ja mahdollisimman vähällä vaivalla päälle. Tässä mielessä kaikki vertailun ohjelmat ovat päteviä, sillä ne osaavat tarjota toimivia oletusasetuksia estämättä tavallisten sovellusten käyttöä.

Hyvätkään oletusasetukset eivät taivu kaikkien tarpeisiin, minkä takia säätövaraakin tarvitaan. Edistyneempien säätöjen osalta ohjelmien välillä on enemmän eroja, sillä osassa ohjelmista on keskitytty selvästi tavallisten kotikäyttäjien tarpeisiin, kun taas toiset tarjoavat säätöjä myös osaaville tehokäyttäjille.

Ikävä suuntaus on, että ohjelmien mukana tulee yhä harvemmin kunnollisia ja mielellään paperille painettuja perusteellisia ohjeita. Vertailun ohjelmista vain F-Securen ja Nortonin pakettien mukana tuli asennusohjeiden lisäksi varsinaiset painetut käyttöohjeet.

Asetusten säätämisen jälkeen palomuuriohjelma voidaan teoriassa unohtaa. Se ei vaadi jatkuvaa seuraamista tai tarkkailua. Nykyisillä suorittimilla ja keskusmuistin määrällä suorituskykyerotkin jäävät ohjelmien välillä hyvin pieniksi. Ohjelmat eivät yleensäkään juuri hidasta konetta, jollei muistia ole Windows 9x -ympäristössä alle 64 megatavua tai Windows 2000/XP -ympäristössä alle 128 megatavua.

Vain työasemaan

Kodeissa on lähes poikkeuksetta vain yksi tai muutama kone, mutta pienessäkin yrityksessä työasemia voi olla paljon enemmän. Vertailun palomuuriohjelmat eivät ole optimaalinen ratkaisu tällaiseen ympäristöön, koska ne on asennettava jokaiselle koneelle erikseen.

Työkaluissa ei ole sellaisenaan keskitettyä hallintaa palvelimelta käsin. Sallitut ja kielletyt osoitteet sekä ohjelmat on säädettävä jokaisessa koneessa erikseen. Sama pätee ohjelmien päivityksiin, joita ilmestyy erityisesti tietoturva-aukkojen tukkimiseksi usein.

Isommissa lähiverkoissa kannattaa harkita myös edullisimpia laitteistopohjaisia palomuureja. Laitteita saa hankittua jo muutamalla sadalla eurolla, ja ne tarjoavat lisäksi tietoturvaa, jota vertailun ohjelmilla ei saavuteta.

Monipuolisempien ip-pakettisuodatusten lisäksi niissä on yleensä nat- eli osoitemuunnostoiminnot, joiden avulla koko lähiverkko piilotetaan palomuurin ip-osoitteen taakse. Palomuuriohjelmissa tällaisia ei ole, koska ne on tarkoitettu yksittäisten työasemien suojaamiseen.

Monenlaista turvaa

Palomuurin perustehtävä on torjua kutsumattomien vieraiden yhteydenotot. Tällainen suojaus perustuu yksinkertaiseen ip-pakettien suodatukseen ohjelmassa olevien sallittujen ja kiellettyjen osoitteiden listojen perusteella.

F-Securen ohjelmaa lukuun ottamatta vertailun palomuurit osaavat myös valvoa yksittäisiä sovelluksia ja kysyä, halutaanko niiden yhteys Internetiin sallia. Kun asetus on kerran valittu, sitä ei tavallisesti enää kysytä uudelleen. Poikkeuksen muodostaa sellainen tilanne, jossa ohjelma on muuttunut sen jälkeen, kun lupa on annettu.

Etenkin Zonealarm Pro tuntuu tunnistavan herkästi ohjelman päivittymisen tai muunlaisen muuttumisen. Tämän tarkoituksena on estää, ettei esimerkiksi jokin troijalainen pääse availemaan koneelta yhteyksiä ennestään luotetun ohjelman nimissä. Tunnistus ei perustu vain tiedostonimeen, vaan sallituista sovelluksista luodaan avaimet ja tunnisteet, joiden on täsmättävä. Tämäkään tunnistustapa ei ole aukoton, mutta se toimii pelkkää tiedostonimeä paremmin silloin, kun palomuurin on pääteltävä pitäisikö yhteys ulospäin sallia.

Ongelmia tulee myös silloin, kun käyttäjä itse sallii vahingollisen ohjelman asentamisen. Tämä voi olla www-selaimeen upotettu Activex-sovellus, netistä imuroidun maksuttoman ohjelman käyttöä seuraava spyware-palikka tai sähköpostin liitteenä tullut ”hauska pila”, joka sisältää huomaamattomasti myös troijalaisen.

Tämän johdosta myös palomuuriohjelmiin on lisätty vahingollisten ohjelmien tunnistusta. Vertailun ohjelmista McAfeessa, Nortonissa, Sygatessa ja Zonealarm Pro:ssa markkinoidaan olevan uhkaavien sovellusten tunnistus, jossa jokainen palomuurin läpi kulkeva paketti käydään läpi vahingollisen ohjelmakoodin varalta. Ominaisuus on toivottava, mutta sen käytännön tehokkuuteen on syytä suhtautua varauksellisesti. Jokaisen paketin sisällön läpikäyminen on niin raskas operaatio, että se on yleensä vaatinut tehokasta rautaa onnistuakseen kohtuullisessa ajassa.

Uusia pöpöjä ilmestyy jatkuvasti, minkä takia palomuuriohjelmiinkin on lisätty automaattiset päivitystoiminnot. McAfeessa ja Nortonissa päivitysominaisuudet ovat tehokkaimmat, sillä ne päivittävät ohjelmiston lisäksi myös tiedot tuoreimmista vahingollisista madoista ja muista sovelluksista. McAfeen päivitys maksaa 40 dollaria (noin 40 euroa) vuodessa, ja ohjelman saa vain tilaamalla mcafee.com-verkkosivuilta. Valmistajalla on myös perusversio ilman päivityslisenssiä.

Vaikka palomuuriohjelmat laajenevat osittain virustorjuntaohjelmien puolelle, ne eivät missään tapauksessa korvaa sellaista. Zonealarmissa on jopa nimellinen sähköpostiliitteiden tarkistus, mutta se ei pärjää virustorjuntaohjelmien tarjoamalle tietoturvalle.

Jos koneella halutaan ylläpitää esimerkiksi etähallinta- tai www-palvelinta, käyttäjän on sallittava yhteydenotot tarvittaviin portteihin. Tämä onnistuu vertailun kaikissa ohjelmissa. Osassa valinta tehdään suoraan sovelluksesta sallimalla palvelimen pitäminen, kun taas osassa avattavat portit määritetään pääsylistoille.

Usein on edullisinta hankkia palomuuri ja virusten torjunta samassa paketissa. Esimerkiksi F-Securella ja Nortonilla on tällaiset paketit. Tästä on myös se etu, että molemmille ohjelmistoille asennetaan yhteinen hallinta- ja päivitystyökalu. Keskitetty hallinta on yksittäisellä työasemallakin helpompi ratkaisu kuin kokonaan erillisten ohjelmien hallinta.

Vääriä hälytyksiä

Ensivaikutelma ohjelmallisen palomuurin asentamisen jälkeen tuottaa monille sokin. Koneeseen tuntuu tulevan kymmeniä tai satoja murtoyrityksiä päivässä. Tarkempi tutkiminen paljastaa, että tilanne ei yleensä ole näin vakava, vaan palomuuriohjelmat liioittelevat tai tulkitsevat väärin liikennettä.

Tyypillisiä hälytyksen aiheuttajia ovat esimerkiksi irc- ja www-palvelimien tekemät kyselyt, kuten ping- ja dns-kyselyt, jotka ovat melko tavallista ja vaaratonta Internet-liikennettä. Palomuuriohjelma voi kuitenkin tulkita tällaiset murtoyrityksiksi, joilla koetettiin etsiä koneesta avoimia portteja.

Perättömät ilmoitukset murtoyrityksistä voivat luoda käyttäjälle näennäisen turvallisuuden tunteen, kun ohjelma vaikuttaa torjuvan vakavia hyökkäyksiä jatkuvasti. Ohjelmilla on erilaiset tavat ilmoittaa mahdollisista hyökkäyksistä. Osalle riittää punainen merkki tehtäväpalkissa, ja osa puolestaan kaipaa enemmän huomiota esille avautuvan ikkunan muodossa.

Kokenut käyttäjä arvostaa kattavia lokitiedostoja, joiden perusteella voi tarkistaa itse, millaisia koputteluja ja yhteydenottoja koneelle on tullut. Tällaisen informaation määrä vaihtelee vertailun ohjelmissa, koska osassa on panostettu enemmän aloitteleviin käyttäjiin, kun taas erityisesti Norton- ja Zonealarm-ohjelmien lisäsäädöt on suunnattu vaativille käyttäjille.

Tietoturvaa suoraan palveluntarjoajalta

Valintaisesta modeemi- tai isdn-yhteydestä laajakaistaan siirryttäessä asiakkaat saattavat huolestua yksityisyytensä ja koneensa tietoturvan puolesta, koska Internet-yhteyttä pidetään entistä pitempään avoinna. Palveluntarjoajat ovat vastanneet tilanteeseen tarjoamalla liittymäasiakkailleen edullisen tai jopa maksuttoman tietoturvapalvelun.

Suurista operaattoreista tietoturvapalvelun lanseerasi ensimmäisenä Elisa. Palvelu kattaa F-Securen palomuuri- ja virustorjuntaohjelmat, päivitykset tunnin välein ja keskitetyn hallinnan ohjelmille. Sitä tarjotaan maksullisena lisäpalveluna (5,89 euroa kuukaudessa) laajakaistaliittymiin. Kalleimman Premium-nimisen adsl-liittymän kuukausimaksuun tietoturvapalvelu sisältyy suoraan.

Soneran laajakaistaliittymiin tarjoama tietoturvapalvelu perustuu myös F-Securen palomuuri- ja virustorjuntaohjelmistoon. Hinta on 4,99 tai 7,49 euroa kuukaudessa liittymätyypin mukaan.

Pääkaupunkiseudulla kaapeli-tv-verkossa Welho-laajakaistaa tarjoava HTV myy tietoturvapakettia kuuden euron kuukausihintaan, mihin sisältyy niin ikään F-Securen palomuuri- ja virustorjuntaohjelmat.

Muunlaisia ratkaisujakin on. Esimerkiksi Jippii on määrittänyt reitittimiinsä rajoituksia asiakkaiden yhteyksille rajaamalla yhteydenottoja. Valinnat eivät kuitenkaan ole pakollisia, vaan asiakas voi käydä hallintasivuilla valitsemassa mieleisensä tietoturva-asetukset.

Nortonin helppokäyttöinen palomuuri on heti asennuksen jälkeen käyttövalmis. Säätövaraa löytyy runsaasti, eikä ohjelma vaivaa käyttäjää turhilla hälytyksillä. Paketissa tulee mukana painettu ohjekirja, ja käytönaikaiset opasteet auttavat melkein kaikkien toimintojen kanssa. Ohjelma menestyi tasaisella suorituksella kaikilla osa-alueilla.