Ammattikorkeakoulututkinto
Tieto- ja viestintätekniikka, insinööri (AMK), Riihimäen kampus Syksy, 2021
Marko Ryynänen
Tieto- ja viestintätekniikka Tiivistelmä Riihimäen kampus
Tekijä Marko Ryynänen Vuosi 2021
Työn nimi Aktiivi–passiivi-ratkaisulla toteutetun palomuurin päivitys Ohjaajat Marko Grönfors
TIIVISTELMÄ
Tämän opinnäytetyön tavoitteena oli vanhojen aktiivi–passiivi-ratkaisulla toimivien palomuurien vaihtaminen uusiin laitteisiin. Työ aloitettiin tutkimalla palomuurilaitteiston valmistajan tarjoamaa dokumentaatiota sekä
selvittämällä, minkälaiset esimäärittelyt uudet palomuurit tulisivat vaatimaan ennen kuin ne olisivat valmiit korvaamaan vanhat palomuurit. Työssä myös tehtiin uusien fyysisten palomuurilaitteiden asennus lähelle runkokytkintä, jotta kaapeloinnin kytkeminen olisi mahdollisimman helppo toteuttaa. Samalla määriteltiin uusille palomuureille varatuille runkoverkon kytkimen porteille tuotantokäytössä tarvittavat VLAN-määrittelyt.
Fyysisen asennuksen jälkeen siirryttiin tutkimaan käytöstä poistuvan
palomuurin sääntö- ja verkkoasetuksia selvittämällä, minkälainen esivalmistelu uusille palomuureille pitäisi tehdä ennen kuin sääntökantaa voitaisiin ryhtyä siirtämään uuteen palomuuriin.
Palomuurien vaihtaminen tuotannon ollessa toiminnassa ei ollut yksinkertainen asia, vaan sen tekeminen vaati huolellisen suunnittelun ja perehtymisen asiaan.
Tämä työ tehtiin Punamusta Media Oyj:lle.
Avainsanat Tietoturva, vikasietoisuus, Palo Alto, NGFW Sivut 30 sivua
Information and Communication Technology Abstract Riihimäki Campus
Author Marko Ryynänen Year 2021
Subject Upgrading an Active–Passive firewall Supervisors Marko Grönfors
ABSTRACT
The purpose of this thesis was to replace the old active-passive firewalls with new devices. The work began by examining the documentation provided by the firewall hardware manufacturer and finding out what kind of preconfigurations the new firewalls would require before they were ready to fully replace the old firewalls. The work also included the installation of new physical firewall devices near to the main core switch to make the cable connections as easy as possible. In addition, the required VLAN configurations were defined for the production use of the core network switch ports reserved for new firewalls.
After the physical installation, the rules and network settings for the disabled firewall were studied to determine what preparations should be made for the new firewalls before the rule set could be fully migrated to the new firewall.
Replacing firewalls while production was in operation was not a
straightforward case and doing so required careful planning and familiarization.
This work was commissioned by Punamusta Media Oyj.
Keywords Security, fault tolerance, Palo Alto, NGFW Pages 30 pages
Sisällys
Lyhenneluettelo
1 Johdanto ... 1
2 Palomuurin keskeiset ominaisuudet ... 2
2.1 Next Generation Firewall ... 3
2.2 DNS-sinkholing ... 5
2.3 Virtuaalijärjestelmä (VSYS) ... 7
3 Palomuurin vikasietoisuusratkaisut ja niiden periaatteet ... 9
3.1 Aktiivi–aktiivi-ratkaisu ... 10
3.2 Aktiivi–passiivi-ratkaisu ... 11
4 Uuden palomuurilaitteiston asennus ja määrittely ... 13
4.1 Hallinta- ja HA-kaapeloinnin asennus ... 13
4.2 Verkkokaapelointi sekä kytkimien porttimääritykset ... 14
4.3 Uusien palomuurien perusmäärittelyt ... 15
4.3.1 Lisenssien aktivointi uudelle palomuurille ... 16
4.3.2 Aktiivi–passiivi vikasietoisuusmääritys ... 18
4.3.3 Virtuaalijärjestelmän määrittely ... 19
4.4 Uuden palomuurin ohjelmistopäivitykset ... 21
4.4.1 Virustorjunta ... 22
4.4.2 GlobalProtect VPN-yhteys ... 23
4.4.3 Wildfire haittaohjelma-analysointiympäristö ... 23
5 Määritysten tuonti vanhasta palomuurista uuteen ... 24
6 Uuden palomuurilaitteiston siirto tuotantokäyttöön ... 26
7 Yhteenveto ... 27
Lähteet ... 29
Lyhenneluettelo
AD Active Directory. Microsoft Windows-toimialueen käyttäjätietokanta ja hakemistopalvelu.
API Application Programming Interface. Ohjelmointirajapinta, jonka avulla eri sovellukset tekevät pyyntöjä ja vaihtavat tietoja keskenään.
ARP Address Resolution Protocol. Käytäntö, jolla ethernet-verkossa selvitetään loogista osoitetta vastaava fyysinen osoite.
ASIC Application Specific Integrated Circuit. Tiettyyn tarkoitukseen suunniteltu mikropiiri.
CAT Parikaapeliluokitus. Tämän avulla luokitellaan parikaapelin tiedonsiirtonopeusluokka.
CLI Command Line Interface. Komentorivikehoite, joka mahdollistaa ihmisen ja tietokoneen välisen kommunikoinnin.
DMZ Demilitarized Zone. Fyysinen tai looginen aliverkko, joka yhdistää luotetun verkon epäluotettavaan verkkoon tuoden ylimääräisen tietoturvatason.
DNS Domain Name System. Nimipalvelujärjestelmä joka muuntaa verkkotunnukset IP-osoitteiksi.
DPI Deep Packet Inspection. Edistyksellinen menetelmä verkkoliikenteen tutkimiseen ja hallintaan, joka pystyy suodattamaan, tunnistamaan,
luokittelemaan ja reitittämään uudelleen tai estämään tietoliikennepaketteja tiedon tai koodin perusteella.
FTP File Transfer Protocol. Suojaamaton tiedonsiirtoyhteyskäytäntö.
HA High Availability (korkea käytettävyys). Käytäntö, jossa pyritään takaamaan palvelun jatkuva toiminta.
HTTP Hypertext Transfer Protocol. Yhteyskäytäntö WWW-palvelimien ja Internet- selaimien tiedonsiirtoon.
HTTPS Hypertext Transfer Protocol Secure. HTTP-liikenteen ja TLS-yhteyskäytäntöjen yhdistelmä salattuun tiedonsiirtoon.
IDS Intrusion Detection System. Järjestelmä, jonka avulla pyritään tunnistamaan tunkeutumisyritykset järjestelmään tai verkkoon.
IP Internet Protocol. Yhteyskäytäntö, jonka avulla laitteet kommunikoivat verkossa.
IPS Intrusion Prevention System. Laite tai sovellus, joka tarkastaa tietoliikennettä ja pyrkii estämään haitallisen liikenteen tunkeutumisyritykset järjestelmään tai verkkoon.
IPSec Internet Protocol Secure. Ryhmä yhteyskäytäntöjä, joita käytetään yhdessä turvaamaan datavirtoja laitteiden välillä.
LDAP Lightweight Directory Access Protocol. Hakemistopalveluiden yhteyskäytäntö, jonka avulla sovellukset voivat kysyä käyttäjätietoja nopeasti.
NAT Network Address Translation. Osoitteenmuunnostekniikka.
NGFW Next Generation Firewall. Verkon suojauslaite, joka tarjoaa ominaisuuksia, joita edellisen sukupolven palomuureilla ei voitu toteuttaa.
NTP Network Time Protocol. UDP-pohjainen yhteyskäytäntö, mitä käytetään täsmällisen aikatiedon välittämiseen tietokoneiden välillä.
OSI-malli Open Systems Interconnection Reference Model. Tiedonsiirtokäytäntöjen kuvaus seitsemässä eri kerroksessa.
QoS Quality of Service. Tietoliikenteen priorisointi.
RADIUS Remote Authentication Dial In User Service. Suunniteltu sisäänsoittopalveluissa tapahtuvaan tunnistukseen. Pääasiallinen käyttökohde on organisaation tai operaattorin sisäisessä verkossa, jolloin verkkoa voidaan pitää kohtuullisen luotettavana ja yhden tahon ylläpitämänä.
SFP Small Form-factor Pluggable transceiver. Pienikokoinen ja pikavaihdettava verkkoliitäntämoduuli, jonka avulla voidaan yhdistää verkkolaitteet valokuidun tai kuparikaapelin avulla.
SFTP Secure File Transfer Protocol. FTP-liikenne, joka on SSH-suojauskomponentteja käyttäen salattu.
SSH Secure Shell. Salauskäytäntö ja käyttöliittymä verkkopalvelujen, shell- palveluiden ja suojatun verkkoviestinnän suorittamiseksi etätietokoneen kanssa.
TCP Transmission Control Protocol. Tietoliikenneyhteyskäytäntö tietokoneiden väliseen luotettavaan tiedonsiirtoon. TCP-liikenne huolehtii pakettien saapumisen oikeassa järjestyksessä perille.
TLS/SSL Transport Layer Security. Aiemmin tunnettu nimellä Secure Socket Layer eli SSL, on salauskäytäntö, jonka avulla voidaan suojata internet-sovellusten tietoliikenne.
UDP User Datagram Protocol. Yhteydetön yhteyskäytäntö, joka ei vaadi yhteyttä laitteiden välille mutta mahdollistaa tiedonsiirron. UDP pakettien perillemenoa ei varmisteta ollenkaan.
User-ID Käyttäjän tunnistaminen. Palo Alto Networksin seuraavan sukupolven palomuuriominaisuus, jonka avulla voidaan sallia pääsy eri verkkoihin tai sovelluksiin.
VLAN Virtuaalilähiverkko. Tekniikka, jolla fyysinen tietoliikenneverkko voidaan jakaa loogisiin osiin.
VPN Virtual Private Network. Näennäinen yksityinen verkko.
VSYS Virtuaalinen järjestelmä. Itsenäinen virtuaalinen palomuuriesiintymä, jota voi hallita erikseen fyysisessä palomuurissa.
1 Johdanto
Tämän opinnäytetyön tavoitteena oli tehdä dokumentointi palomuurin vaihdosta, joka tuli ajankohtaiseksi laitteiston elinkaaren loppumisen takia. Vaihtoaikataulua nopeutti myös covid-19 viruksesta aiheutuva voimakkaasti lisääntynyt etätyöntekijöiden määrä.
Samalla vanhan palomuurin suorituskyky todettiin nykymittapuulla riittämättömäksi.
Normaalin verkkoliikenteen lisäksi etäkäyttäjien kasvanut määrä ja tästä aiheutuva VPN- yhteyksien määrän kasvu toi palomuurille lisäkuormaa niin paljon, että
palomuurilaitteiston vaihto tuli pakolliseksi. Vanhan palomuurin tietoliikennettä käsittelevä data plane-suorittimen työkuorma nousi pahimmillaan 100 %:iin, joka aiheutti etäyhteyskäyttäjien VPN-yhteyksiin epävakautta. Prosessorikuorman määrä näkyi samassa suhteessa tietoliikennepakettien määrän kasvuna ja tämä taas aiheutti tietoliikenneyhteyksien priorisoimista. Tästä johtuen matalan prioriteetin palvelut, esimerkiksi VPN-yhteydet, alkoivat katkeilla. Mahdollisena riskinä oli myös se, että palomuuri ei ehtisi tulkita kaikkia sääntöjä, vaan saattaisi sallia tietoliikennepaketteja, joita sen ei normaalisti pitäisi sallia.
Tässä projektissa korvattiin aktiivi–passiivi vikasietoratkaisulla toteutetut vanhat Palo Alto PA-3050 -palomuurit uusilla Palo Alto PA-3250 -palomuureilla sekä siirrettiin nykyisen palomuurin määritykset uuteen palomuuriin. Uudet palomuurit määriteltiin samalla tavalla vikasietoisiksi kuin nykyiset palomuurit käyttäen aktiivi–passiivi- ratkaisua.
Uudet palomuurit ovat huomattavasti kehittyneempiä vanhempiin palomuureihin verrattuna. Uudet palomuurit on varustettu useammalla uudella sovelluskohtaisella mikropiirillä eli ASIC-piirillä, jotka mahdollistavat tietoliikenteen käsittelyn
huomattavasti tehokkaammin. Uudet palomuurit pystyvät myös hallinnoimaan yhtäaikaisia VPN-yhteyksiä moninkertaisen määrän verrattuna edellisen sukupolven palomuureihin ilman pelkoa verkkoliikenteen priorisoinnista tai ei-toivottujen pakettien läpi pääsemisestä.
2 Palomuurin keskeiset ominaisuudet
Verkkohyökkäysten kasvaessa palomuuri toimii verkon tärkeimpänä aktiivilaitteena, joka suojaa yrityksen tietoverkkoa ulkopuolisilta uhkilta estäen luvattomien henkilöiden pääsyn yrityksen verkkoon. Samalla palomuuri on ensimmäisenä torjumassa viruksia sekä haittaohjelmia, koska se joutuu ensimmäisenä suodattamaan haitalliset
tietoliikennepaketit pois.
Nykyiset Next Generation Firewall eli NGFW-palomuurit tunnistavat tuhansia eri
sovelluksia ja niiden perusteella voidaan sallia tai estää liikennöinti eri verkkojen välillä.
Sovellusten tunnistaminen kuitenkin vaatii palomuurilta entistä enemmän tehoa ja älykkyyttä, joten laitevalmistajat kehittävät jatkuvasti uusia ASIC-piirejä, jotka ovat suunniteltu tehokkaasti tunnistamaan ja suodattamaan verkkoliikennettä (Cloudflare, n.d.-b). Palomuuri voidaan säännöllisin väliajoin ajastetusti määrittää tarkistamaan valmistajan tietokannasta uusia päivityksiä tunnistettaviin sovelluksiin. Tämän toiminnon avulla palomuuri pystyy luotettavasti tunnistamaan uusia sovelluksia.
Haittaohjelmien toimimisen estäminen on yksi nykyisten palomuuriratkaisujen lisätoiminto. Kun haittaohjelma on asentunut työasemaan tai palvelimeen, on sen ensimmäinen tehtävä ottaa yhteys omaan isäntäpalvelimeensa. Kun haittaohjelma on saanut yhteyden muodostettua, jää haittaohjelma odottamaan uusia suoritettavia komentoja. Pahimmassa tapauksessa haittaohjelman käskyttäjä on jo aloittanut käyttäjän koneen hyödyntämisen verkkohyökkäyksiin tai vaihtoehtoisesti se salaa käyttäjän datan ja kiristää käyttäjältä rahaa, jonka vastineeksi käyttäjä saisi avaimen salauksen purkuun. Yhtenä haittaohjelman toiminnan estämisenä on pyrkiä estämään haittaohjelman nimipalvelukyselyt eli DNS-kyselyt julkisen verkon eli internetin suuntaan. DNS-sinkholing tekniikka on kehitetty estämään haitalliseksi tunnistettujen sovellusten toiminta. Kaikki sovellukset, jotka yrittävät päästä liikennöimään
haittaohjelmien hallinnoimiin osoitteisiin tai vaihtoehtoisesti jos palomuuri ei saa selville DNS-kyselyn lähdettä, estetään tunnistettujen sovellusten nimipalvelukyselyt kokonaan.
Haittaohjelmien käyttämiä osoitteita päivitetään jatkuvasti ja palomuuri käy
noutamassa ne automaattisesti useamman kerran päivässä. (European Union agency for cybersecurity, n.d.-d)
Palo Alto 3200-sarjan palomuureissa alkaen on mahdollista ottaa käyttöön
virtuaalijärjestelmä, joka mahdollistaa useamman virtuaalisen palomuurin käytön yhdessä fyysisessä palomuurissa. Virtuaalijärjestelmän avulla voidaan luoda useita itsenäisesti hallittavia verkkoja käyttäen samaa fyysistä palomuurialustaa.
2.1 Next Generation Firewall
Next Generation Firewall (lyhennettynä NGFW) kuuluu kolmannen sukupolven palomuuriteknikkaan, joka on huomattavasti tehokkaampi ja edistyksellisempi kuin edellisen sukupolven perinteiset palomuurit. Next Generation Firewall palomuureissa yhdistyy perinteisten palomuurien ominaisuuksien lisäksi tietoliikennepakettien syvätarkastus (DPI), tunkeutumisen suojausjärjestelmä (IDS) sekä sovellustason palomuuri (application firewall).
Tietoliikennepaketin syvätarkastuksessa (Deep Packet Inspection eli DPI)
tietoliikennepaketin sisältö tutkitaan yksityiskohtaisesti ja paketin sisällön perusteella voidaan tehdä tarvittava toimenpide, esimerkiksi reitittää tietoliikennepaketti
uudelleen eri osoitteeseen tai verkkoon. DPI voi myös vaihtoehtoisesti estää tietoliikennepaketin pääsyn kokonaan, jos tietoliikennepaketti sisältää ei-sallittua dataa. (Cloudflare, n.d.-a)
Tunkeutumisen havaitsemisjärjestelmä (Intrusion Detection System eli IDS), havaitsee verkkoon tai järjestelmiin kohdistuvia haitallisia toimintoja tai käytäntörikkomuksia.
Tunkeutumisista tai rikkomuksista voidaan raportoida järjestelmän pääkäyttäjälle tai vaihtoehtoisesti lokitiedot voidaan lähettää järjestelmälokia keräävälle palvelimelle ja kerättyä dataa voidaan analysoida tapahtumahallintajärjestelmässä. (Cloudflare, n.d.- a)
Sovellustason palomuurilla (application firewall) voidaan määritellä sovelluskohtaisia pääsyjä eri verkkoalueisiin, osoitteisiin tai palvelimiin. Sovellustasolle tehtyjen
sääntöjen perusteella voidaan tunnistettava sovellus sallia tai estää sitä toimimasta, esimerkiksi standardi FTP-liikenne voidaan estää ja SFTP-liikenne sallia (Source defence, ei pvm). Sovellustason suodatus toimii korkeammalla prioriteetilla kuin
perinteinen pakettisuodatus (packet filter), mikä mahdollistaa
tietoliikennepakettipäätösten tekemisen muutenkin kuin perinteisen lähde- tai kohdeosoitteen perusteella. Sovellustason palomuuri toimii ja ohjaa tietoliikennettä OSI-mallin mukaan. (Cloudflare, n.d.-c)
NGFW palomuurit pystyvät myös purkamaan ja salaamaan uudelleen reaaliajassa TLS/SSL salatun liikenteen sisällön. Tämä mahdollistaa tietoliikennepakettien suodattamisen suojatun liikenteen sisältä. NGFW palomuurit pystyvät myös suodattamaan verkkosivut kategorioittain, minkä avulla voidaan estää esimerkiksi loukkaavaa materiaalia sisältävät www-sivut. Tietoliikenteen kaistanhallinnan (QoS, Quality of Service) avulla voidaan määritellä tietoliikenteen luokittelu ja priorisointi eri sovelluksille. Reaaliaikainen virustarkistus on myös NGFW palomuureilla mahdollista toteuttaa. (Palo Alto Networks, n.d.-j)
NGFW palomuurit voidaan myös liittää Microsoft Active Directoryyn. Tämän tekniikan avulla on mahdollista ottaa käyttöön käyttäjätasoinen tunnistus (User-ID).
Tunnistamisen perusteella voidaan käyttäjille määritellä pääsyoikeudet verkon eri alueille. Käyttäjätunnistautuminen voidaan myös vaihtoehtoisesti toteuttaa
käyttämällä vanhempaa RADIUS tunnistusta tai LDAP hakemistopalvelua. (Palo Alto Networks, n.d.-h)
2.2 DNS-sinkholing
DNS-sinkholing tekniikan avulla tunnistetaan ja estetään sisäverkon puolella haittaohjelmien saastuttamien koneiden yhteys ulkomaailmaan. Edellä mainitun tekniikan avulla saadaan haittaohjelma luulemaan, että se on saanut yhteyden omaan isäntäpalvelimeensa. Tämän jälkeen haittaohjelma jää yleensä odottamaan
lisäkomentoja. Todellisuudessa palomuuri on estänyt haittaohjelman DNS-
liikennöinnin sisäverkosta ulkoverkkoon estäen sitä tekemästä lisää tuhoja. Tartunnan saaneet työasemat voidaan tunnistaa lokitiedostoista ja tehdä tämän jälkeen niille tarvittavat jatkotoimenpiteet haittaohjelman poistamiseksi.
Kuvassa 1 on selvitetty DNS-sinkholing tekniikan toimintaperiaate. Ensimmäisenä työnään haittaohjelmisto haluaa saada työaseman hallintaansa, joten saastunut työasema lähettää DNS-kyselyjä hallintapalvelimelle, joka sijaitsee haitalliseksi määritetyssä IP-osoitteessa. Koska haittaohjelmistoa ohjaava palvelin ei sijaitse sisäverkossa, välittää sisäinen nimipalvelu DNS-kyselyn palomuurin läpi julkiselle nimipalvelulle. Samalla palomuuri tiedustelee määritellyn nimipalvelimen
allekirjoituslähteen oikeudellisuutta ja havaitessaan haitallisen verkkotunnuspyynnön, DNS-sinkhole korvaa haittaohjelmistopalvelimen osoitteen omalla IP-osoitteellaan.
Tämän jälkeen kaikki havaitut bottiverkon nimipalvelukyselyt ohjataan DNS-sinkholen määrittämään IP-osoitteeseen. Työasemassa sijaitseva haittaohjelma olettaa tällöin saaneen yhteyden bottiverkon hallintakoneeseen ja jää odottamaan etähallintaa tai muuta haitallista toimintaa. Koska kaikki nimipalvelupyynnöt ohjataan tunnistamisen jälkeen DNS-sinkhole osoitteeseen, pystyy järjestelmänvalvoja havaitsemaan uhka- ja lokitiedoista kaikki työasemat, jotka yrittävät päästä kommunikoimaan bottiverkkoon päin. Työasema voidaan näiden tietojen avulla eristää verkosta ja saastuneelle
koneelle päästään tekemään tarvittavat korjaustoimenpiteet. (Palo Alto Networks, n.d.-l)
Kuva 1. How DNS-sinkholing works. (Palo Alto Networks, n.d.-l)
2.3 Virtuaalijärjestelmä (VSYS)
Virtuaalijärjestelmät ovat erillisiä loogisia palomuuri-ilmentymiä yhdessä fyysisessä laitteessa, joita käytettäessä saavutetaan monia etuja verrattuna perinteiseen
palomuuriratkaisuun. Kuvassa 2 on esimerkki palomuurin virtuaalijärjestelmästä, jossa on määritelty kaksi toisistaan erotettua virtuaalijärjestelmää ja aluemääritystä.
Virtuaalijärjestelmä mahdollistaa samassa verkossa segmentoidun hallittavuuden, eli eri organisaatiot tai asiakkaat voivat hallita omaa palomuuri-istuntoaan samassa kiinteistössä häiritsemättä toisiaan. Käytännössä ne toimivat samalla tavalla kuin olisivat fyysisiä palomuureja. Eri organisaatioiden verkot ja sääntökannat ovat eriytetty täysin toisistaan, mutta verkkoliikenteen suojana käytetään kuitenkin yhteistä fyysistä palomuuria.
Virtuaalijärjestelmän skaalautuvuuden ansiosta uusien ja vanhojen verkkoalueiden lisääminen ja poistaminen on joustavaa ja tehokasta. Virtuaalijärjestelmän käytöstä aiheutuu pienemmät pääoma- ja toimintakulut, koska virtuaalijärjestelmät korvaavat usean fyysisen palomuurin käytön. Virtuaalijärjestelmän käyttäminen säästää
laitteistokustannuksissa, sähkölaskussa sekä ylläpito- ja hallintakuluissa.
Virtuaalijärjestelmä tarjoaa myös mahdollisuuden jakaa IP-osoitteet
käyttäjätunnusmäärittelyiksi. Näin hyödynnetään palomuurin User-ID kapasiteettia ja vähennetään toiminnan monimutkaisuutta. (Palo Alto Networks, n.d.-f)
Kuva 2. Virtuaalijärjestelmä ja aluemäärittely (Secure Zone). (Palo Alto Networks, n.d.-p)
Kuvassa 2 on periaatekuva virtuaalijärjestelmän ja aluemäärittelyn toiminnasta.
Virtuaalijärjestelmät ovat eriytetty toisistaan ja niitä voi olla useita. Jokaisessa
virtuaalijärjestelmässä on myös omat aluemäärittelyt, esimerkiksi DMZ tai sisäverkko joka yleensä on luotettu verkko eli trusted-zone. (Palo Alto Networks, n.d.-p)
3 Palomuurin vikasietoisuusratkaisut ja niiden periaatteet
Palomuurin High Availability, korkea käytettävyys eli HA-vikasietoisuusratkaisuja ovat aktiivi-aktiivi ratkaisu sekä aktiivi–passiivi ratkaisu. Molemmat vikasietoisuustavat ovat yleisesti käytössä, mutta aktiivi–passiivi ratkaisua käytetään useammin sen helpon asennettavuuden takia.
Aktiivi–passiivi-ratkaisu on helppo määritellä, se tukee istuntojen synkronointeja ja mahdollisuutta käyttää layer 2 datalinkkikerrosta. Aktiivi–passiivi-ratkaisun hyvänä puolena on helpompi vianselvitys reitityksessä, täten verkkoliikenteen seuranta on paljon helpompaa kuin aktiivi–aktiivi-ratkaisussa. Aktiivi–passiivi-ratkaisun huonoja puolia taas ovat vikatilanteissa tulevat pienet katkokset, kun liikenne siirtyy passiivisen palomuurin haltuun. Kuormanhallintakapasiteetti on aktiivi–passiivi-ratkaisussa puolet pienempi verrattuna aktiivi–aktiivi-ratkaisuun johtuen siitä, että ainoastaan toinen palomuuri on käytössä. (Palo Alto Networks, n.d.-k)
Aktiivi–aktiivi-ratkaisua käytetään yleensä, jos halutaan rakentaa täysin vikasietoinen ympäristö. Tämän ratkaisun hyviä puolia on se, että pystytään hallinnoimaan suuria verkkoliikennekuormia kahden yhtäaikaisesti käytössä olevan palomuurin takia.
Vikatilanteessa reagointiaika on huomattavasti nopeampi kuin aktiivi–passiivi-
ratkaisussa. Huonoja puolia aktiivi–aktiivi-ratkaisussa on ratkaisun toteutus, joka yleensä vaatii ison määrittelytyön ja se maksaa huomattavasti enemmän kuin aktiivi–passiivi palomuuritoteutus. Jos aktiivi–aktiivi-ratkaisua käytetään esimerkiksi palvelinsalien vikasietoisuuden varmistamiseksi, niin palvelinsalien täytyy myös olla identtisesti kahdennettuna. (Palo Alto Networks, n.d.-k)
Vikasietoisuusratkaisut ovat palomuurivalmistajien omissa tuotteissa nimetty eri tavalla.
Esimerkiksi Sophos UTM 9 palomuurissa aktiivi–passiivi vikasietoisuusratkaisu on nimetty Hot Standby-nimiseksi, kun taas Check Point on valinnut aktiivi–passiivi
vikasietoisuusratkaisun nimeksi ClusterXL.
3.1 Aktiivi–aktiivi-ratkaisu
Aktiivi–aktiivi-ratkaisun tekeminen vaatii paljon suunnittelua kuin aktiivi–passiivi- ratkaisu, koska kumpikin palomuuri on yhtä aikaa toiminnassa ja liikenne kulkee kummankin palomuurin kautta samanaikaisesti. Aktiivi–aktiivi-ratkaisun suunnittelu vaatii mm. palomuurien välillä replikoivat NAT-poolit, ARP-taulujen jakamisen sekä verkkoprotokollien aktivoinnin kummassakin palomuurissa. Tässä
palomuuriratkaisussa laiteviasta tai verkkoyhteyden katkeamisesta johtuvaan yhteyden katkeamiseen reagoidaan paljon nopeammin kuin aktiivi–passiivi- ratkaisussa. Aktiivi–aktiivi-ratkaisu pystyy hallinnoimaan isompia verkkokuormia kummankin palomuurin käsitellessä aktiivista liikennettä yhtäaikaisesti.
Kun aktiivi–aktiivi-ratkaisua rakennetaan, täytyy fyysisten laitteiden olla täysin samaa mallia. Ohjelmistoversioiden täytyy myös olla täysin identtiset, koska eri
ohjelmistoversiot eivät ole keskenään yhteensopivia aktiivi–aktiivi-ratkaisussa.
Kumpaankin palomuuriin täytyy hankkia samat lisenssit, koska lisenssit ovat yksilöllisiä eikä niitä voi jakaa palomuurien kesken. (Palo Alto Networks, n.d.-m)
3.2 Aktiivi–passiivi-ratkaisu
Aktiivi–passiivi-ratkaisussa vain aktiivinen palomuuri hallinnoi liikennettä. Passiivinen palomuuri synkronoi reaaliajassa HA-linkkejä käyttäen ensisijaisen palomuurin kanssa ja on valmiina ottamaan liikenteen hallintaansa, jos ensisijainen palomuuri menettää verkkoyhteyden tai hajoaa fyysisesti. Palomuurin roolien vaihtuessa, eli kun
passiivisesta palomuurista tulee aktiivinen, tapahtuu pari sekuntia kestävä
liikennekatkos. Katkos johtuu ARP-taulujen ja tietoliikennereittien tulemisesta voimaan aktiivisella muurilla. Aktiivi–passiivi ratkaisu tukee Palo Alton palomuureissa virtual wire verkkoa, jonka avulla voidaan yhdistää loogisesti kaksi ethernet- tai kuituoptista liitäntää. Ratkaisun voi myös vaihtoehtoisesti toteuttaa layer 2 ja layer 3 verkkojen avulla. Aktiivi–passiivi ratkaisun rakentamisessa on samat laite- ja lisenssivaatimukset sekä ohjelmistoversiot kuin aktiivi–aktiivi-ratkaisussa. (Palo Alto Networks, n.d.-n)
Kuva 3. Aktiivi–passiivi palomuurin toimintaperiaate. (Palo Alto Networks, n.d.-g)
Kuvassa 3 on aktiivi–passiivi määrityksellä toteutetun palomuurin toimintaperiaate.
Operaattorin toimittama reitittimen yhdistetään kumpaankin palomuuriin. Molemmissa palomuureissa on valmiiksi määritelty portit, jotka ovat asetuksissa määritelty
untrusted-zoneksi eli ei-luotetuksi alueeksi. Palomuurit on kytketty toisiinsa HA1- ja HA2-kaapeleilla, joiden kautta palomuurit kommunikoivat toistensa kanssa keskenään.
Näin palomuurit pystyvät määrittelemään kumpi laitteista on aktiivisena. Palomuurien sisäverkon verkkoliittimet on kytketty kiinteistön runkoverkkoon, jonka kautta
palvelimilla ja työasemilla on pääsy sisäverkosta ulkoverkkoon. Kun aktiivisessa roolissa oleva palomuuri vikaantuu, siirtyy passiivisena oleva palomuuri aktiiviseksi. Vikaantunut palomuuri voidaan vaihtaa ilman tietoliikennekatkoksia uuteen ja siirtää määrittelyt aktiivisena olevasta palomuurista vaihdettuun palomuuriin. Kun toiminnassa olevasta palomuurista on siirretty sääntökanta ja muut määritykset, voidaan uusi muuri palauttaa takaisin aktiiviseksi muuriksi ja aktiivisena oleva muuri siirtää takaisin passiiviseksi. (Palo Alto Networks, n.d.-k)
4 Uuden palomuurilaitteiston asennus ja määrittely
Toimeksi annettu työ alkoi vanhan PA-3050 -palomuurin poistamisella ja sen korvaamisella uudella PA-3250 -palomuurilla. Toimeksiantajan uusi palomuuri asennettiin 19” laitekaappiin käyttäen laitteen mukana tulleita kiinnityskiskoja.
Asennus oli yksinkertainen ja nopea tehdä, tosin laitteen koon ja painon takia
asennusvaiheessa tarvittiin kahden henkilön apua laitteen paikalleen saamiseksi. Tässä vaiheessa palomuureja ei kytketty lainkaan verkkoon, vaan laitteiston toiminta
haluttiin varmistaa käynnistämällä palomuurit ja jättämällä ne käyntiin.
4.1 Hallinta- ja HA-kaapeloinnin asennus
Palomuurien välinen korkean käytettävyyden yhteys toteutettiin valokuidulla ja
perinteisellä parikaapeloinnilla. Palomuureihin asennettiin 10Gb/s nopeudella toimivat monimuotomediamuuntimet ja palomuurit yhdistettiin suoralla kuituyhteydellä kiinni toisiinsa. Suoran kuitukytkennän etuna on nopeus, ylimääräisiä verkkoliikenteestä aiheutuvia hyppyjä ei tapahdu, vaan palomuurit kommunikoivat suoraan keskenään.
Palomuurien välinen HA-yhteys haluttiin myös vikasietoiseksi, joten kummankin palomuurin HA1A- ja HA1B-porteille tehtiin myös käyttöönottomäärittelyt. Koska edellä mainittujen porttien kytkemiseen voitiin käyttää CAT6-luokituksella varustettua parikaapelia, oli runkokytkimien käyttö mahdollista. Runkokytkimien käyttö oli
pakollista, koska palomuurien fyysinen etäisyys oli huomattavasti enemmän kuin parikaapelille sallittu 100 metriä. Palomuurien välinen HA-liikenne erotettiin kokonaan muusta verkosta ja sitä varten runkokytkimiin määriteltiin oma virtuaaliverkko (VLAN) missä palomuurien välinen HA-yhteysliikennöinti tapahtui. Kahdennuksen jälkeen kuitu- ja kupariyhteydet ovat toiminnassa yhtä aikaa. Yhteyden vikasietoisuuden takia, esimerkiksi laite- tai kaapelirikon sattuessa, palomuurien välinen HA-liikenne ei katkea, vaan liikenne siirtyy aina automaattisesti toiminnassa olevalle yhteydelle.
4.2 Verkkokaapelointi sekä kytkimien porttimääritykset
Uusi palomuuri asennettiin runkoverkkoon käyttäen 10Gb/s nopeudella toimivaa SPF+
kaapelointia, joka nosti verkkokapasiteetin kymmenkertaiseksi verrattuna perinteiseen yhden gigabitin verkkoon nähden. Runkokytkimen uusiin 10 Gb/s nopeudella toimiviin portteihin määriteltiin samat virtuaaliverkot (VLAN) sekä reitit, jotka olivat määritelty vanhan palomuurin gigabitin verkkopaikkoihin. Palomuurien verkkokaapelointi toteutettiin kahdennettuna ja kaapeloinnit kytkettiin kumpaankin kahdennettuihin runkokytkimiin, jolloin toteutuksesta saatiin täysin vikasietoinen. Uudessa
palomuurissa on myös tulevaisuutta varten laajennusvaraa, sillä 10 Gb/s nopeudella toimivia SFP+ liittimiä on käytettävissä kahdeksan (8) kappaletta sekä perinteisiä yhden gigabitin nopeudella toimivia ethernet portteja kaksitoista (12) kappaletta.
4.3 Uusien palomuurien perusmäärittelyt
Palo Alton palomuurien oletushallintaosoite on 192.168.1.1, joka on RFC 1918 standardin määrittämä yksityiskäyttöön tarkoitettu C-luokkaan kuuluva IP-osoite.
Hallintaosoitteiden vaihto tehtiin ensimmäisenä, jotta mahdollistettiin pääsy yhtäaikaisesti kumpaankin palomuuriin ja päästiin tekemään samanaikaisesti tarvittavat määrittelyt. Kuvassa 4 näkyvät palomuurin hallintaan liittyvät asetukset.
Asetuksista poistettiin kaikki turvattomat ja suojaamattomat hallintapaneelin yhteydet ja liikennöinti palomuurin hallintapaneeliyhteyteen sallittiin ainoastaan käyttäen suojattuja HTTPS ja SSH yhteyksiä. Palomuurien yhteyksien välistä testaamista varten sallittiin myös ping. Tämä asetus täytyi olla aktivoituna, muuten palomuurien välistä vikasietoisuutta ei olisi voitu tehdä.
Kuva 4. Hallintaosoitteiden määritys.
Palomuurin hallintaa varten tarvittiin myös nimipalvelinmääritykset (DNS) sekä aikapalvelin määritykset (NTP). Toimialueen NTP-palvelin varmistaa palomuurin aikasynkronoinnin muiden palvelimien kanssa pitäen kellon oikeassa ajassa. Jos palomuurin kello on väärässä ajassa, IPSec-tunnelien tai VPN-yhteyksien luonti ei välttämättä onnistu.
4.3.1 Lisenssien aktivointi uudelle palomuurille
Palomuureihin tarjotaan erilaisia lisenssivaihtoehtoja, jotka voidaan hankkia joko palomuuria ostaessa tai jälkikäteen. Lisensseillä määritellään, mitkä lisäosat ovat palomuurissa käytettävissä.
Kuva 5. Yleisnäkymä lisensseistä ja niiden voimassaoloajoista.
Kuvassa 5 on näkymä palomuurin lisenssit-välilehdeltä, josta voidaan yhdellä silmäyksellä nähdä palomuuriin ostetut lisenssit ja lisenssisopimuksien
voimassaoloajat. Palomuuriin tarjolla olevia lisenssivaihtoehtoja ovat DNS-security, joka mahdollistaa DNS-sinkholen käytön. DNS-security palvelu myös varmistaa, että DNS-palvelimien allekirjoitukset ja nimipalvelukyselyt tulevat luotetulta taholta.
Tämä on yksi tapa estää kolmannen osapuolen hyökkäykset.
Virtual Systems lisenssi mahdollistaa virtuaalijärjestelmän luomisen ja toiminnan.
Palomuurissa on oletuksena mahdollisuus tehdä kaksi virtuaalijärjestelmää, mutta jos tarvitaan kolme tai useampi virtuaalijärjestelmä, joudutaan ostamaan lisenssi. PAN- DB URL Filtering on verkkoliikennettä suodattava palvelu, jolla voidaan estää pääsy joko epäilyttäville tai organisaation määrittelemille sivustoille. Tämän suodatuksen avulla voidaan myös estää tunnistetietovarkauksia. Threat Prevention lisenssi tarjoaa virus- ja vakoiluohjelmien torjunnan sekä suojaa haavoittuvuuksilta.
Wildfire lisenssi tarjoaa parannettujen palveluiden lisäksi oman hallittavan API- rajapinnan erilaisia tiedostotyyppejä varten. Tiedostot voidaan lähettää edelleen tai ladata käyttämällä Wildfire API-rajapintaa hyväksi. Rajapinnan etuna tiedostot voidaan analysoida reaaliajassa sekä tarvittaessa estää niiden toiminta, jos uhkia havaitaan. Wildfire lisenssi myös mahdollistaa reaaliaikaisen uhkien tunnistamisen ja analysoinnin.
4.3.2 Aktiivi–passiivi vikasietoisuusmääritys
Kun uusien palomuurien HA-kaapelointi oli varmistettu oikein kytketyiksi ja todettiin, että palomuurit pääsivät kommunikoimaan toisensa kanssa, aloitettiin palomuurien vikasietoisuusmäärittely. Palomuurin alkumäärittelyissä ping oli jo oletuksena määritelty päälle. Jos määrittelyä ei olisi tehty, vikasietoisuusmääritystä ei olisi voitu tehdä.
Seuraavaksi määriteltiin, mitkä verkkoliitännät valittaisiin HA-kaapeloinnin käyttöön ja niiden tyypiksi valittiin HA. Samalla määriteltiin HA-linkin tiedonsiirtonopeus ja linkin kaksisuuntaisuusasetukset. Kun HA-linkki oli saatu tehtyä, määriteltiin
seuraavaksi HA-linkin Group ID eli ryhmätunnus sekä palomuurin vikasietoisuustapa.
Ryhmätunnuksen määritys joudutaan tekemään aina, vaikka käyttöön olisi määritelty ainoastaan yksi HA-linkki. Jos samalla verkkoalueella olisi toiminnassa useampi HA- linkki, täytyy HA-linkit erottaa ryhmätunnuksella toisistaan. Kun ryhmätunnusasetus oli määritelty, valittiin linkin toimintatavaksi Active-Passive.
Tämän jälkeen HA-portille määriteltiin IPv4-osoite ja verkkomaski palomuurien välistä HA-liikennöintiä varten. Koska palomuurien välistä HA-liikennettä ei haluttu siirtää sisäverkossa suojaamattomana, asennettiin sertifikaatti kummallekin
palomuurille ja määriteltiin HA-yhteyden välinen salaus päälle. Kun ensisijainen HA- yhteys oli määritelty, siirryttiin tekemään HA-linkin varayhteysmäärittelyjä.
Varayhteyttä määritellessä tehtiin palomuurin toissijaiselle HA-yhteydelle vastaavat IP-osoitemääritykset kuin ensisijaiselle linkille ja varmistettiin, että valinta Enable Session Synchronization oli valittuna. Samalla hyväksyimme palomuurin tarjoaman oletusajan HA2 Keep-alive valvonnalle. Jos ensisijainen HA-yhteys lakkaa vastaamasta 10000 millisekuntiin, olettaa palomuuri ensisijaisen HA-linkin yhteyden katkenneen ja siirtyy automaattisesti käyttämään varalinkkiä. (Palo Alto Networks, n.d.-g)
Varayhteyden määrittelyn jälkeen kytkimme vielä Heartbeat backup valinnan päälle.
Valinnalla estetään kummankin palomuurin yhtäaikainen käyttö aktiivi–passiivi tilassa, jos HA-linkit lakkaavat toimimasta, eivätkä palomuurit saa tilatietoja HA- linkkien kautta toisistaan. Tällöin tilatiedot noudetaan palomuurin management portin eli hallintaportin kautta.
Seuraavana määriteltiin, kumpi palomuureista toimii ensisijaisena palomuurina.
Palomuurin asetuksiin käytiin antamassa Device Priority arvo, jonka avulla
määritellään ensisijainen palomuuri. Tässä tapauksessa palomuuri, jolle on määritelty pienin arvo, toimii ensisijaisena palomuurina. Jos kummallekin palomuurille olisi määritelty sama arvo Device Priority kohtaan, olisi palomuuri tutkinut kumman HA1- linkin MAC-osoite olisi pienin ja siitä olisi tullut ensisijainen palomuuri. Lopuksi Preemptive määritys aktivoitiin kummastakin palomuurista päälle. Kun tarvittavat määritykset oli saatu tehtyä, aktivoitiin HA-linkki toimintaan ja suoritettiin Enable Config Sync toiminto palomuurin yhteisten asetusten ja käskykannan synkronointia varten.
4.3.3 Virtuaalijärjestelmän määrittely
Virtuaalijärjestelmän määrittely piti tehdä uuteen palomuuriin ennen kuin tuotannossa olevaa sääntökantaa alettiin siirtää. Määrittelyt tehtiin täysin identtiseksi vanhan palomuurin kanssa verkon ja sääntökannan toiminnan takaamiseksi. Jos virtuaalijärjestelmän määrittelyä ei olisi tehty ensiksi, olisi sääntökannan siirto joko epäonnistunut tai se olisi toiminut puutteellisesti.
Virtuaalijärjestelmää määriteltäessä määriteltiin kaikkien virtuaalijärjestelmien tunnisteet, nimet, reititykset sekä verkot, joihin kyseisellä virtuaalijärjestelmällä on pääsy. (Palo Alto Networks, n.d.-i)
Kuva 6. Virtuaalijärjestelmän määrittely.
Kuvassa 6 määriteltiin virtuaalijärjestelmän käyttöönotto, joka tapahtui helposti rastittamalla Multi Virtual System Capability kohdan valintaruutu. Kun tarvittavat asetukset oli tehty ja tallennettu, virtuaalijärjestelmä aktivoitui ja sen määrittelyä päästiin jatkamaan. Samalla määriteltiin palomuurille nimi, aikavyöhyke, lokalisointi, päiväys ja kellonaika sekä pituus- ja leveyspiirin koordinaatit, jotka osoittavat
palomuurin fyysisen sijainnin. Näitä koordinaatteja voi käyttää esimerkiksi
kolmannen osapuolen valvontaohjelmistossa, jolloin laitteen fyysinen sijainti voidaan näyttää kartalla.
4.4 Uuden palomuurin ohjelmistopäivitykset
Uusi palomuuri saapui vanhemmalla laiteohjelmistolla varustettuna, joten seuraavana tehtävänä oli uuden palomuurin ohjelmistoversion päivitys samalle versiotasolle, mikä nykyisessä käytössä olevassa palomuurissa oli. Päivityksellä varmistettiin vanhan palomuurin sääntökannan siirto ja sen toimivuus toimivaksi uudella palomuurilla ilman ongelmia.
Kuvassa 7 on näkymä ohjelmistopäivityksistä, jotka oli helppo asentaa palomuurin päivityshallinnan kautta. Jos päivityksessä olisi ilmennyt ongelmia, jotka estävät palomuurin toiminnan, olisi edellinen versio voitu palauttaa helposti ennalleen klikkaamalla Install-painiketta. Vaihtoehtoisesti uudelleenasennusta olisi voinut kokeilla klikkaamalla Reinstall-painiketta joka aloittaisi käytössä olevan ohjelmiston asennuksen uudelleen. Ohjelmistopäivityksiä tehdessä piti muistaa palomuurin sisäisen tallennustilan vähyys. Laitteessa täytyy aina olla sen hetkinen
laiteohjelmiston perusohjelmisto ja päivityspaketteja. Kuvassa 7 on ladattu
perusohjelmistoversioksi 9.0.0 ja lisäksi ladattu päivityspakettiversiot 9.0.4 ja 9.0.10.
Kuva 7. Ohjelmistopäivitysten hallinta.
4.4.1 Virustorjunta
Uudet palomuurit pystyvät torjumaan uusia ja erilaisia virus- ja haittaohjelmista aiheutuvia uhkia, joten samalla päivitimme virustietämyskannan uusimpaan versioon.
Kuvassa 8 on näkymä dynaamisista päivityksistä, jotka palomuuri tekee
automaattisesti. Virustietämyskanta päivittyy ja asentuu automaattisesti tunnin välein. Sovellus- ja uhkatunnisteet päivittyvät kerran vuorokaudessa. Dynamic Updates välilehdeltä löytyy myös sovellusten ja uhkatietokantojen lisäksi Wildfire päivitystietokannat, jotka myös päivitettiin samalla ja määriteltiin päivittymään automaattisesti puolen tunnin välein.
Kuva 8. Näkymä virustorjunnan, sovellusten ja uhkakuvausten sekä WildFiren päivityksistä.
4.4.2 GlobalProtect VPN-yhteys
GlobalProtect sovellus mahdollistaa turvallisen ja suojatun virtuaalisen erillisverkon eli VPN-yhteyden työpaikan ja etätyöpaikan välille. VPN-yhteyden suojaus on toteutettu IPSec-tietoliikennekäytäntöä käyttäen. Sovelluksen päivitys on myös huomioitava ajoittain, koska näistä löytyy ajoittain haavoittuvuuksia, joiden avulla pyritään tekemään verkkohyökkäyksiä.
4.4.3 Wildfire haittaohjelma-analysointiympäristö
Wildfire on Palo Alton palomuurissa toimiva analysointiympäristö, joka tunnistaa aikaisemmin tuntemattomia haittaohjelmia luoden niistä yksilöllisen allekirjoituksen, joita Palo Alto Networksin palomuurilaitteistot voivat käyttää haittaohjelmien
havaitsemiseksi sekä estämiseksi. Kun Wildfire havaitsee esimerkiksi sähköpostin mukana tulleen uuden tuntemattoman linkin tai tiedoston, palomuuri lähettää tästä näytteen automaattisesti Wildfire-analyysiin. Näyte analysoidaan eristetyssä
Wildfire-testausympäristössä ja analyysin perusteella määritellään, miten epäilty sovellus tai linkki käyttäytyy. Jos sovelluksen käyttäytyminen on aggressiivista ja viittaa esimerkiksi kiristyshaittaohjelman toimintaan, sen toiminta pyritään estämään ja haitallisesta sovelluksesta tai linkistä ilmoitetaan järjestelmänvalvojalle, joka tekee tarvittavan puhdistustyön. Wildfire näytetietokanta päivittyy reaaliajassa, joka mahdollistaa kaikissa Palo Alton palomuureissa nopean reagoinnin haitallisen sovelluksen estämiseksi. (Palo Alto Networks, n.d.-e)
5 Määritysten tuonti vanhasta palomuurista uuteen
Määritysten talteen ottaminen vanhasta palomuurista voidaan tehdä selainta tai suojattua SSH-yhteyttä käyttäen. Kuvassa 9 on näkymä määrittelyhallinnasta, jonka kautta voidaan määritykset tuoda tai viedä toiseen palomuurijärjestelmään.
Määrittelyhallinnassa voidaan myös tallentaa tai ladata palomuurin määrittelyistä tilannevedoksia, jotka myös toimivat palomuurin määrittelyiden varmuuskopioina. (Palo Alto Networks, n.d.-o)
Kuva 9. Määrittelyhallinnan pääsivu.
Kun kaikki asetukset oli lopulta saatu kohdalleen ja samalla varmistettu, että vanhan palomuurin sääntökanta oli siirtynyt oikein uudelle palomuurille, tehtiin sääntöjen jäädytys viikon ajaksi. Kyseisen viikon aikana varmistettiin, että määritykset oli tehty oikein eikä sääntöjen toimivuudessa ilmennyt ongelmia. Samalla myös varmistettiin, että uusi palomuurilaitteisto toimii nykyisellä sääntökannalla ongelmitta.
6 Uuden palomuurilaitteiston siirto tuotantokäyttöön
Uuden palomuurin käyttöönoton ajankohta valittiin klo. 04.00 aamuyöllä, jolloin tuotanto oli hiljaisimmillaan eikä etätyöntekijöitä ollut tuohon kellonaikaan kovinkaan montaa kirjautuneena VPN-yhteydellä yrityksen verkkoon. Palomuurin vaihto vanhasta uuteen tehtiin yksinkertaisesti poistamalla käytöstä vanhan palomuurin runkokytkimen VLAN-määritykset ja määrittelemällä samat VLAN-määritykset uuden palomuurin käyttämiin portteihin. Tähän ratkaisuun päädyttiin sen takia, että jos uudessa palomuurissa olisi ilmennyt ongelmia reitityksessä tai VLAN-määrityksissä, vanhat palomuurit olisi saatu helposti ja nopeasti takaisin tuotantoon pelkästään palauttamalla runkokytkimen VLAN-määritykset ennalleen.
Kun uusi palomuuri oli saatu onnistuneesti kytkettyä tuotantoon, päästiin tekemään ensimmäiset testit VPN-yhteyksien kautta. Yhteyksissä oli aluksi pientä takkuilua ja hidastelua mutta tämä luultavasti johtui kytkimien muistissa olevista vanhoista ARP- tauluista. Kun palomuurit ja kytkimet olivat hetken aikaa toiminnassa, ARP-taulut päivittyivät ja hidastelu loppui. Uuden palomuurin vakaa toiminta varmistui seuraavien tuntien aikana, kun tuotanto, toimihenkilöt sekä etätyöntekijät kirjautuivat verkkoon.
Asennuspäivän aikana seurattiin palomuurin lokeja tutkien, ilmeneekö kirjautumisessa ja verkkopääsyissä ongelmia. Samalla seurattiin, miten palomuurin data plane-
prosessorin kuorma kehittyi päivän myötä. Totesimme, että uusi palomuuri on
huomattavasti tehokkaampi kuin edeltäjänsä, koska data planea suorittavan prosessorin kuorma nousi hetkellisesti 30%:iin kun vanhassa palomuurissa päivän aikana prosessorin kuorma oli jatkuvasti 100%:ssa.
Uuden palomuurin käyttöönotto onnistui hyvin eikä suurempia ongelmia vaihdon aikana esiintynyt.
7 Yhteenveto
Tässä opinnäytetyössä oli tavoitteena kahdennetun aktiivi–passiivi palomuuriratkaisulaitteiston vaihtamisen dokumentointi ja kuvaaminen.
Teoriaosuudessa kerrottiin kolmannen sukupolven palomuuritekniikan uusista ominaisuuksista, esimerkiksi DNS-sinkholing tekniikasta, jota ei ollut edellisen
sukupolven palomuureissa. Palomuurilaitteiston vaihtamiseen ryhdyttiin sekä laitteiston vanhenemisen vuoksi, että covid-19 pandemian aiheuttaman etätyön lisääntymisestä aiheutuneen etäyhteyksien määrän kasvun takia.
Opinnäytetyön käytännön osuudessa tavoitteena oli korvata vanha aktiivi–passiivi- ratkaisulla toimiva palomuuri saman valmistajan uusilla ja tehokkaammilla
palomuurilaitteistoilla. Uusi laitteisto rakennettiin identtiseksi vanhan
palomuurilaitteiston rinnalle. Näin pystyttiin vaihe vaiheelta tutkimaan ratkaisuja ja tarvittaessa korjaamaan, jos todettiin toisen rakennusvaiheessa löydetyn ratkaisun olevan parempi. Runkokytkimiin tehtiin vapaina oleviin SFP-portteihin samat VLAN- määritykset, jotka oli tehty vanhoihin palomuureihin. SFP-porttien käyttö mahdollistaa nopeat tietoliikenneyhteydet tulevaisuutta ajatellen. Lopuksi vanhan palomuurin määrittelyt, virtuaalijärjestelmät sekä sääntökannat siirrettiin uuteen muuriin. Tämän jälkeen sovittuna ajankohtana yöllä tuotannon ollessa hiljaisimmillaan tehtiin vanhan ja uuden palomuurilaitteiston vaihto.
Uudet palomuurit ovat toimineet luotettavasti eikä hidastelua tai yhteyksien katkeilua ole etäkäyttäjien yhteyksissä enää esiintynyt. Tietoturvan ja päivitysten vuoksi
palomuurien laiteohjelmistot päivitettiin 10.0 versioon. Uuden versiopäivityksen myötä tuli kokonaan uusiksi suunniteltu graafinen ympäristö, joka selkeytti monia asioita, esimerkiksi palomuurisääntöjen tekeminen on nyt suoraviivaisempaa. Samalla uusi versio toi laitetason suodatuksen, jonka avulla voidaan sallia tietyn laitteen tai
laiteversion pääsyn eri verkkoihin. Tämän toiminnon avulla voidaan rajata esimerkiksi vanhoilla käyttöjärjestelmillä toimivien laitteiden pääsy ulkoverkkoon, jolloin niiden haavoittuvuutta ei voida käyttää hyväksi.
Tulevaisuuden kehittämistyönä voisi olla palomuuriin tuotujen sääntöjen siistiminen ja yksinkertaistaminen. Sääntökantaan on vuosien varrella tullut lisää useita sääntöjä ja muutoksia ja tämän takia sääntökanta on päässyt turpoamaan ja oikean sääntörivin etsimiseen kuluu aikaa. Poistamalla ylimääräiset säännöt sekä tarkistamalla objektien sekä sääntöjen oikeellisuus saataisiin lisättyä tietoturvaa sekä tehostettua palomuurin toimintaa. Sääntökannan siistiminen ja sen toimivaksi saaminen olisi isotöinen asia, jota ei voitu ottaa tähän opinnäytetyöhön mukaan.
Lähteet
Cloudflare. (n.d.-a). What is a next-generation firewall (NGFW)?
https://www.cloudflare.com/learning/security/what-is-next-generation-firewall- ngfw/
Cloudflare. (n.d.-b). What is a Web Application Firewall (WAF)?
https://www.cloudflare.com/learning/ddos/glossary/web-application-firewall-waf/
Cloudflare. (n.d.-c). What is the OSI Model?
https://www.cloudflare.com/learning/ddos/glossary/open-systems-interconnection- model-osi/
European Union agency for cybersecurity. (n.d.-d). DNS Sinkhole.
https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/dns-sinkhole
Palo Alto Networks. (n.d.-e). About Wildfire. https://docs.paloaltonetworks.com/wildfire/9- 1/wildfire-admin/wildfire-overview/about-wildfire.html
Palo Alto Networks. (n.d.-f). Benefits of Virtual Systems.
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/virtual- systems/virtual-systems-overview/benefits-of-virtual-systems.html Palo Alto Networks. (n.d.-g). Configure Active/Passive HA.
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/high-availability/set- up-activepassive-ha/configure-activepassive-ha.html
Palo Alto Networks. (n.d.-h). Configure LDAP Authentication.
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os- admin/authentication/configure-ldap-authentication.html Palo Alto Networks. (n.d.-i). Configure Virtual Systems.
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/virtual- systems/configure-virtual-systems
Palo Alto Networks. (n.d.-j). Decryption. https://docs.paloaltonetworks.com/pan-os/9- 1/pan-os-admin/decryption.html
Palo Alto Networks. (n.d.-k). HA Modes. https://docs.paloaltonetworks.com/pan-os/9-1/pan- os-admin/high-availability/ha-concepts/ha-modes.html
Palo Alto Networks. (n.d.-l). How DNS Sinkholing Works.
https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/threat- prevention/use-dns-queries-to-identify-infected-hosts-on-the-network/dns- sinkholing
Palo Alto Networks. (n.d.-m). Prerequisites for Active/Active HA.
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/high-availability/set- up-activeactive-ha/prerequisites-for-activeactive-ha.html#id054a8710-9422-4d23- 81d2-a84ef5b85527
Palo Alto Networks. (n.d.-n). Prerequisites for Active/Passive HA.
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/high-availability/set- up-activepassive-ha/prerequisites-for-activepassive-ha.html
Palo Alto Networks. (n.d.-o). Save and Export Firewall Configurations.
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/firewall- administration/manage-configuration-backups/save-and-export-firewall- configurations.html
Palo Alto Networks. (n.d.-p). Virtual System Components and Segmentation.
https://docs.paloaltonetworks.com/pan-os/9-0/pan-os-admin/virtual- systems/virtual-systems-overview/virtual-system-components-and- segmentation.html#id5a1e8c70-31b4-4bfd-8367-f08adb5c4c5d
