Seuraavan sukupolven palomuuri yrityksessä

Abstract

Tämän opinnäytetyön tavoitteena oli vaihtaa yrityksen vanha Check Point -palomuuri seuraavan sukupolven Palo Alto -palomuuriin. Uutta palomuuria varten yritykseen rakennettiin laboratorioympäristö, jossa Palo Alto -palomuuria voitiin testata ja konfiguroida erillään yrityksen omasta sisäverkosta. Seuraavan sukupolven palomuurilla saavutettiin suurempi tiedonkäsittelykyky ja tietoturvallisempi ympäristö, sillä Palo Alto Networks:n valmistamat palomuurit sisältävät tehokkaat suorittimet ja pystyvät tunnistamaan haittaohjelmia jopa salatusta SSL-liikenteestä. Tämä opinnäytetyö tehtiin lahtelaiselle energia-alan yritykselle Lahti Energia Oy:lle.

Palomuuri on yksi tärkeimmistä verkkoa suojaavista komponenteista, jonka tehtävänä on estää haitallisen liikenteen pääsy verkon tai järjestelmän sisälle. Palomuurin viisi perustoimintoa ovat verkkoliikenteen hallinta, autentikointi, verkkoliikenteen välittäminen, resurssien suojaaminen ja tapahtumien taltiointi. Tavalliset palomuurit hallitsevat liikennettä IP-osoitteiden, protokollien ja käytettävien porttien mukaan. Nykyään dataliikenteen sisältöä ei voida kuitenkaan päätellä käytettävän portin ja protokollan mukaan, sillä ohjelmat osaavat piilottaa itsensä erilaisten piiloutumistekniikoiden avulla. Internet pakotti luomaan palomuureihin seuraavan sukupolven, jotta tietoverkkoja voitaisiin jälleen suojata luotettavasti.

Seuraavan sukupolven palomuuri pystyy tunnistamaan liikennöivän ohjelman riippumatta käytettävästä portista, protokollasta, piiloutumistekniikasta tai SSL-salauksesta. Seuraavan sukupolven palomuuri pystyy myös tunnistamaan verkon käyttäjän ja käyttämään tunnistetietoja palomuurisäännöissä. Uuden palomuurin käyttäminen LDAP-hakemistojen, kuten Microsoft AD:n kanssa helpottaa palomuurisääntöjen luomista, sillä palomuurisääntöjä voidaan tehdä AD:n käyttäjän tai käyttäjäryhmän mukaan.

Opinnäytetyössä vanhan Check Point -palomuurin asetukset siirrettiin Palo Alto -palomuuriin käyttäen hyödyksi seuraavan sukupolven palomuurien ominaisuuksia. Uuteen palomuuriin luotiin palomuurisäännöt, osoitemuunnokset, verkko-objektit ja VPN-yhteydet käyttäen vanhan palomuurin asetuksia pohjana. Seuraavan sukupolven palomuuri tarjosi lisää tietoturvaa, tarkempaa hallintaa ja nopeampaa tiedonkäsittelyä. Tuloksena saatiin tietoturvallisempi ympäristö, joka on helpommin hallittavissa.

The aim of this thesis was to change the client company’s old Check Point Firewall to a next-generation Palo Alto firewall. This study was carried out for an energy company Lahti Energia Oy.

A new laboratory environment was built in which the Palo Alto firewall could be tested and configured separated from the company's own internal network. Due to powerful processors and new technology the next-generation firewall reached a higher data throughput and more secure environment. Palo Alto Networks' firewalls can detect malware even from an encrypted SSL traffic.

A firewall is one of the most important protective components of a network. The task of a firewall is to prevent malicious traffic to the network or the system. The five basic functions of a firewall are network traffic management, authentication, traffic forwarding, resource protection and event recording. Common firewalls control traffic through IP-addresses, protocols and ports. Today, data traffic content cannot be inferred from the port and protocol, as the programs can hide themselves by means of various hiding technologies. Because of the Internet a next generation had to be created to the firewalls, so computer networks could again be reliably protected.

The next-generation firewall is capable of detecting the program regardless of the used port, protocol, hiding technology or SSL encryption. The next-generation firewall is also able to identify the user and to use the identifying information in the firewall rules. Using LDAP directories, such as Microsoft AD, eases the creation of new firewall rules.

In this study the settings of an old Checkpoint firewall were moved to the new Palo Alto Firewall using the next-generation firewall features. On the new firewall were created the firewall rules, NAT, network objects, and VPN connections using the old base. The next-generation firewall offered more security, more precise control and faster data processing. The result of using a next-generation firewall was a more secure environment that is more easily manageable.