Export page to Open Document format View page as slide show

Tietoturvan perusteet

Verkkoturvallisuuden haasteellisuus

  • Verkko koostuu useista erilaisista koneista jotka kommunikoivat eri protokollien avulla
    • Erilaisia siirtoteitä (langaton, kuparikaapeli, valokaapeli…)
    • Erilaisia verkkotyyppejä (Ethernet, token ring, FDDI, ADSL …)
    • Erilaisia protokollia eri protokolla kerroksilla (TCP/IP, IPX…) (FTP,HTTP…)
    • Erilaisia käyttöjärjestelmiä (Windows, Unix, VMS, MACOS…)
    • Erilaisia laitteita: (reitittimiä, siltoja, palvelimia, työasemia…)
  • Kuinka taata yhteentoimivuus turvallisesti?
    • Eri ympäristöt tarvitsevat erilaiset ratkaisut
    • Kaikki ohjelmat eivät toimi erilaisissa ympäristöissä

Yleiset verkkoihin kohdistuvat uhat

  • Salakuuntelu
  • Toisena esiintyminen
  • Viestien toisto
  • Datan muuntaminen
  • Väärinreititys
  • Ilkeämieliset ohjelmat
  • Kieltäminen
  • Denial of Service

Uhkien kohteet

  • Ulkoiset palvelimet
    • Internet-palvelin
  • Sisäinen verkko
    • Verkkolaitteet
    • Työasemat
  • Datansiirto
  • Käyttäjät

Siirtotiet

  • Langaton yhteys
    • Radioaallot (sateliitti yhteydet, wlan, bluetooth …)
      • Signaali etenee vapaasti → salakuuntelu helppoa kantaman alueella
    • Infrapuna, laser
    • Ääni
  • Langalliset yhteydet
    • Kaapelin katkaisu, katkaisee palvelun
    • Koaksaalikaapeli, kierrettyparikaapeli
      • Induktanssin avulla voidaan tietoa “lukea” johdosta
    • Valokuitu
      • Valo ei vuoda johdosta ulos. Salakuuntelu vaikeaa ilman johdon katkaisua.

Internet

  • TCP/IP protokollaan pohjautuva kommunikointi
  • Pakettikytkentäinen
  1. Data hajotetaan paketteihin
  2. Paketit lähetetään verkkoon ja kulkevat ennalta määräämätöntä reittiä reitittimeltä toiselle ja lopulta päätyvät kohteeseen.
  3. Kohde kasaa paketit yhteen
  • Liikennettä ei suojattu mitenkään
    • Kuka tahansa reitin varrella voi lukea paketin sisällön.
    • Verkkoliikennettä on helppo seurata

Hyökkäykset Internet liikennettä kohtaan

  • Password Sniffng, salasanojen haistelu
    • Etsitään paketteja, jotka pitävät sisällään salasanoja
    • Löytyy paljon valmiita ohjelmia
  • Pakettien väärentäminen
    • Muokataan pakettien sisältöä
    • Muokataan paketin otsikko tietoja
      • Paketin otsikko tietojen oikeellisuutta ei tarkisteta mitenkään.
        • Esim. Voidaan luoda paketti millä tahansa lähde- ja kohdeosoitteella
    • IP spoofing: Väärennetään lähdeosoite, jotta saadaan paketti suojatulle alueelle
  • Reititys hyökkäys
    • Ilmoitetaan reitittimelle, että oman koneen kautta on lyhyin reitti kohde koneelle.
    • Saadaan tietylle kohteelle menevät paketit omalle koneelle tarkasteltaviksi.

Nimipalvelu uhat (Domain Name Service (DNS) threats)

  • Hajautettu tietokanta joka pitää sisällään koneiden nimet (www.lut.fi) ja niitä vastaavat IP-osoitteet (157.24.8.103)
  • Ennen paketin lähettämistä kysytään nimeä vastaava IP-osoite DNS palvelimelta
    • Nimelle IP-osoitetta kysyttäessä oletetaan että vastaus on oikea.
  • Nimipalvelimeen ollaan voitu murtatutua ja hyökkääjä voi ilmoittaa mitä tahansa
    • oma.pankki.fi voikin ohjautua ilkeän hakkerin koneeseen, jossa on salasanan ja tunnuksen keräävä oikean kohteen näköinen sivu
  • Väärennetty viesti voidaan lähettää ikäänkuin se tulisi nimipalvelimelta
    • Muutetut nimipalvelu taulut leviävät helposti ympäriinsä
  • Nimipalvelu on hierarkinen.
    • Ei tarvitse murtaa yrityksen A nimipalvelinta, jos murtaa yhtä tasoa ylemmän olevan palvelimen

Palvelun Esto hyökkäys (Denial of Service) (DoS)

  • Estetään palvelun toiminta varaamalla tai tukkimalla jokin tarpeellinen resurssi
    • verkkokaistan tukkiminen
    • Järjestelmä resurssien kuluttaminen
      • puskurien täyttäminen, yhteys taulujen tukkiminen jne.
    • Ohjelmistojen vaatimat resurssit
      • Muisti, prosessori, jne.
    • Laitteiston tarvitsemat resurssit
      • Akku
  • Hyökkäyksissä kohde kone hukutetaan (flooding) suurella määrällä viestejä jolloin verkko tai palvelimen toiminta häiriintyy
    • SYN flood ensimmäinen kuuluisa
      • Lähetettiin 50 kappaletta synkronisointi pyyntö viestejä palvelimelle sekunnissa.
  • Reaalimaailmassa
    • Toisen nimissä kaiken mahdollisen ilmaisjakelun tilaaminen → tärkeä posti katoaa roskapostin sekaan
      • Postimiehen kantokyky saattaa olla koetuksella
  • Sähköpostihyökkäys (mail bombing)
    • Lähetetään niin paljon sähköpostia, että palvelin joko täyttyy tai kaatuu
  • Suuri määrä viestejä voi myös olla muun kuin hyökkäyksen tulos
    • Ensimmäiset puhelinäänestykset tukkivat puhelinkeskukset ja kaatoivat palvelimet
    • Doping käryt Lahden MM-kisoissa aiheuttivat uutispalvelimille niin kovan liikenteen, että yhteydet menivät tukkoon.
  • Voidaan estää ettei liian tiheään tulevia paketteja välitetä eteenpäin palvelimilta
    • Lähde osoite pohjainen filtteröinti
  • Liikenteen suodattamiselle voidaan myös suojautua
    • Läpi kulkevien pakettien tarkistaminen hidastaa liikennettä
  • Hyökkäystä ei ole pakko toteuttaa suoraan palvelua vastaan
    • Hyökätään jotain verkon solmukohtaa vastaan.
      • Estetään yhteydet esim. Suomesta ulospäin.
    • Onhan palvelun tarjoaja varautunu palvelunesto hyökkäyksiin?
  • Jotkut hyökkäykset käyttävät muita tietoturva-aukkoja tavallisen floodauksen lisäksi

Hajautettu DoS (DDoS)

  • Käytetään DoS hyökkäykseen useita koneita lähteenä
    • Tilataan kaverille pizza kylän jokaisesta kotiin toimittavasta pizzeriasta
  • Koska ei ole yhtä yksittäistä lähdettä on pakettien blokkaaminen vaikeaa
  • Heijastushyökkäys (reflection attack)
    • Esim. Lähetetään väärennetty viesti kohde koneen nimissä, joukolle tavallisia koneita, jotka vastatessaan viestiin tukkivat kohdekoneen.
    • Yhdeltä koneelta viestien lähettely vaatii paljon kaistaa
  • Hyökkäystä voidaan vahvistaa zombie koneilla
    • Toteuttaminen vaatii murtautumiseen useaan järjestelmään (esimerkiksi troijalaisten avulla).
    • Zombie koneet tekevät yhtä aikaa heijastushyökkäyksen.
  • Mitään hyvää tapaa suojautua ei ole
  • Verkkoliikenteen seuranta auttaa
  • Tilannetta voi helpottaa estämällä että omia laitteita ei päästä käyttämään hyökkäyksen tekemiseen
    • Jokainen yksittäinen kone internetissä pitäisi suojata kunnolla.

Yhteyden tarjoaja

  • Vaikuttaa niin verkon käytön kuin omien palveluidenkin turvallisuuteen
    • Lenkki jonka murtuminen voi estää kaiken liikenteen
  • Mitä on turvattu?
    • Estetäänkö jotain yhteyksiä (sensuuri listat)
    • kerätäänkö tietoa verkkoliikentestä
      • Kuinka kerätty tieto on suojattu?
  • Mitä tietoa turvaamisesta tarjotaan?
    • kertooko yhteyden tarjoaja toimistaan selvästi?
  • Millaista tukea tarjotaan

Yksittäisen koneen verkkoyhteyden suojaus

  • Johdon irroittaminen
    • Tehokkain tapa suojata
    • Jos yhteyden tarve ei ole riskien arvoinen
    • Mikäli yhteyttä internetin palveluihin ei tarjota on vaarana, että työntekijät luovat sen itse turvattomasti
  • Yhteystyyppi
  1. rajoitettu yhteys
    • Yhteys rajoitettu vain pieneen osaan palveluja
  2. Välitetty yhteys
    • Yhteys ulos vain päätteillä
    • Ulkopuolelta ei yhteyttä sisäiseen verkkoon
  3. Dial-up yhteys
    • Yhteys muodostetaan erikseen esim. modeemilla
    • Pysyvä tai vaihtuva IP-osoite yhteyskoneella
  4. Suora yhteys
    • Täysi internet toiminnallisuus käytössä kokoajan

Fyysinen verkon suojaus

  • Ei ulkopuolisia laitteita
    • Verkkoon liitetyt laitteet tunnistettava
  • Ei fyysistä pääsyä johtoihin ulkopuolelta
  • Langattomat yhteydet vaativat vahvaa autentikointia
  • Palvelimet, kytkimet, reitittimet ja muut verkkolaitteet suojassa lukkojen takana
    • Laitteille pääsy rajatulla joukolla
Last modified: 2014/02/05 13:57