Lööme tulemüüri kaheks – kasutajate ja rakenduste tulemüüriks

Lööme tulemüüri kaheks – kasutajate ja rakenduste tulemüüriks

Traditsiooniline tulemüür võimaldab tänapäeval teha mida iganes soovid! Kohvi küll ei keeda, aga funktsioonid kõikidel OSI mudeli kihtidel on väga mitmekesiselt esindatud.

Kui lugeda mõne tulemüüri tootelehte, siis leiab sealt kõike alates stateful packet inspection’ist ja SSL VPN’st kuni mobiiltelefonide turvakonteinerite ja turvasündmuste töövoo haldurini. Nende vahepeale mahub kettakrüpto, URL filter, kasutajaarvuti haavatavuste kontroll, dokumentide PDF-muundur jpm.

Valdav enamus sellest funktsionaalsusest on mõeldud kasutaja arvuti kaitsmiseks või kasutaja tegevuse ohjamiseks. Näiteks: Windowsi haavatavuste vastu suunatud rünnete blokeerimine, õngitsuskirjade blokeerimine, sündsusetu sisuga veebilehtede kasutamise blokeerimine.

Muidugi kaitseb selline tulemüür edukalt ka rakendusi, mida kasutatakse ettevõtte sees või mida võimaldatakse kasutada väljastpoolt ettevõtte sisevõrku. Täpsemalt öeldes kaitseb tulemüür siis teenuseid pakkuvaid servereid.

Ettevõtte võrgulahenduste tulevik

Võrgulahendused liiguvad suunas, kus rakenduste serverid asuvad ettevõttest väljaspool – internetiteenuse pakkuja juures majutuses või ettevõtte andmekeskuses „majast väljas.“ Selliste serverite ühendus avaliku internetiga on sõltumatu ettevõtte sisevõrgust ehk kasutajate võrgust. Rakenduste liiklus ja kasutajate liiklus on sellisel juhul täiesti lahus. Kui selliste eraldipaiknevate serverite ja interneti vahel asub tulemüür, siis kõik need tulemüüri funktsioonid, mis on peamiselt mõeldud kasutaja kaitsmiseks või tegevuse ohjamiseks, on mittevajalikud. Vajalikuks osutuvad vaid serverite kaitsmiseks mõeldud spetsiifilised funktsioonid ja üht-teist sellist, mis on ühine nii serverite kui kasutajate kaitsmisel.

Erisuunaline võrguliiklus

Ettevõtte kontoris asuvate kasutajate puhul on võrguliiklus suunatud ettevõtte võrgust väljapoole – kasutajad algatavad ühendusi sisevõrgust, teenuste puhul on liiklus suunatud aga sissepoole – internetis asuvad teenuste kasutajad algatavad ühendusi serverite suunas. Ühenduste algatamise koht ehk liikluse suund ei ole seejuures seotud liikluse mahtudega. Need kaks erineva suunaga liiklust on täiesti erinevate haavatavuste ja rünnetega ning vajavad täiesti erinevat lähenemist efektiivseks kaitsemehhanismide rakendamiseks.

Kasutajate versus rakenduste tulemüür

Serverite ja kasutajate keskkond erineb oluliselt võimalike rünnete iseloomu ning vajalike kaitsemehhanismide toimispõhimõtete ning ressursivajaduse poolest. Kasutajate edukas kaitsmine eeldab tulemüürilt väga laia arusaama rakenduste ja rünnete toimimisest. Rakenduste puhul on vaja keskenduda mõnele üksikule kaitsmist vajavale teenusele ja kaitsta servereid ning neid üksikuid teenuseid – nii võrgu kui ka rakenduse tasemel.

Traditsioonilised tulemüürid on üsna tublid tohutust hulgast erineva taseme protokollidest arusaamises ning asjakohaste kaitsemehhanismide rakendamises, kuid neil jääb tavaliselt vajaka oskustest süvitsi ja efektiivselt toimetada konkreetsete rakendusprotokollidega. Mõnede tootjate tulemüürilahendustes saab litsentsi paindlikult koostada ja funktsionaalsust peenelt sisse-välja lülitada, mõnel juhul on kogu tulemüüri funktsionaalsus aga kaetud üheainsa litsentsiga, millest serverite keskkonna kaitsmisel suurem osa kasutamata jääb.

Eraldiasuva serverikeskkonna kaitsmiseks tasub uurida traditsiooniliste tulemüüride kõrval teisigi lahendusi, mis võivad olla nii funktsionaalselt kui finantsiliselt sobivamad.

Artikli autor SMN-i insener Tarmo Mamers