View page as slide show Export page to Open Document format

TIETOTURVAN PERUSTEET

Tunkeutumisen esto järjestelmä (Intrusion prevention system,IPS)

  • Suojajärjestelmä joka tunnistaessaan murtoyrityksen, yrittää myös estää sen toiminnan
    • esim: Tavanomaisesta poikkeava liikenne estetään.
  • IPS järjestelmät ovat kohtuu uusia ja vahvasti vielä kehitys työn alla.
  • HIPS (Host IPS)
    • Yksittäisen koneen suojaaminen
    • Seuraa tapahtumia koneella ja yrittää estää haitallisen toiminnan vrt. virustorjunta ohjelma
  • NIPS (Network IPS)
    • NIDS pohjainen tunkeutumisen tunnistus ja palomuuri tyyppinen esto
  • Ongelmat pitkälti samoja kuin IDS järjestelmiä
    • Väärät tunnistukset aiheuttavat ongelmia verkkoyhetyksissä
    • IPS on aktiivinen kun IDS on passiivinen

Houkutuslintu (Honeypot)

  • Erillinen suojaamaton/minimi suojauksilla oleva kone suojatun verkon ulkopuolella
    • Pitää sisällään kuitenkin hyvät toiminnan seuraus ohjelmistot (IDS)
  • Houkuttelee itseensä haittaohjelmat ja hakkerit
    • Huomataan hyökkäys yritys ennenkuin se tehdään oikeasti kriittiseen järjestelmään.
    • Antaa aikaa suojautua oikeat kohteet paremmin hyökkääjää vastaan
    • Helpottaa myös hyökkääjien kiinni saamisessa.
      • Järjestelmää ei tarvi sulkea pois verkosta, kun hyökkäys havaitaan.
  • Voidaan hyödyntää myös uusien hyökkäys tyyppien selvittämiseen

Suojattujen yhteyksien standardit

  • TLS (transport layer security (pohjautuu SSL (Secure Socket Layer) standardiin)
    • Internet istuntojen suojausprotokolla (https://...)
    • Toimii TCP/IP:n päällä ja sovellusten alla, suojaa sovellusten välisen liikenteen.
    • Käyttää omaa porttia
      • Esim Web-palvelin käyttää normaalisti porttia 80, ssl-moodissa porttia 443
    • Mahdollistaa joustavan symmetrisen salaus-,tiiviste- ja autentikointi menetelmän valinnan
    • Voidaan käyttää vaihtuvan pituisia avaimia
    • Julkiset avaimet varmistetaan luotetun tahon myöntämällä sertifikaatilla
      • Turvallisuus perustuu sertifikaatin lukemiseen
  • IPSEC
    • Joukko yleiskäyttöisiä protokollia, joilla suojataan TCP/IP liikennettä
    • Suojaus tapahtuu koneiden välillä ei ohjelmien (vrt. SSL)
      • Koneiden välinen viestiliikenne salataan
    • Autentikointi tapahtuu autentikointiotsikolla, joka pitää sisällään IP paketista lasketun tarkistussumman
    • Käytössä IPv6:ssa
      • Voidaan käyttää myös IPv4:ssä

VPN (Virtual Private Network)

  • Suojattu yhteys yleisen verkon sisällä. Muodostaa oman virtuaalisisäverkon.
  • Ei tarvita kahden kohteen välille omaa verkkojohtoa

1. Access VPN

  • Suojattu yhteys asiakkaan koneelta yrityksen verkon palveluihin
  • Liikkuva työntekijä voi liittyä mistä vain yrityksen verkkoon

2. Intra ja extranet VPN

  • Verkkojen yhdistäminen VPN teknologialla yleisen verkon yli yhdeksi loogiseksi sisäverkoksi
  • Useita erilaisia kryptograa protokollia käytetään muodostamiseen
  • Yhteys usein läpi palomuurin
    • Vahva autentikointi tärkeä

Verkkopalvelujen turvaaminen

  1. Haluttujen palvelujen selvittäminen
  2. Palvelujen merkityksen määrittäminen
  3. Palveluihin kohdistuvien uhkakuvien määrittäminen
  4. Kontrollimekanismien etsiminen turvallisuus uhkia vastaan
  5. Kontrollimekanismien arviointi
  6. Kontrollimekanismien asentaminen
  7. Kontrollimekanismien säännöllinen toimivuuden tarkistaminen

Liiketoimintaan littyvät palvelut

  • Joidenkin liiketoimintapalveluiden turvallisuus on parhaimmillaankin vain osittain kontrolloitavissa
    • Verkkokauppaan on asiakkaitten päästävä sisälle.
  • Internet pohjaisella palvelulla on enemmän turvallisuusriskejä kuin perinteisellä
    • Luottokortin numeron siirto ja tallettaminen
  • Älä tarjoa palvelua verkossa ennenkuin olet varmistunut sen turvallisuudesta

Sisäiset palvelut

  • Arvo vaikeampi määrittää
    • Mikä arvo on ftp:n käyttömahdollisuudella? entä sähköpostin?
    • Jos palveluita ei tarjota käyttäjä teke itse aukon, jotta palvelu toimii?
  • Moniin palveluihin erilaisia ratkaisuja, joista toiset turvallisempia
    • ssh vs telnet
  • Palvelujen rajaaminen tiettyihin koneisiin
  • Palvelujen poistaminen
    • esim fingerd

Verkon suunnittelu ja suojaus

  • Sisäisen verkon rakenne kannattaa suunnitella ennen kuin sen liittää yleiseen verkkoon
  • Avoin verkko vs. suljettu verkko
    • Helpompi suojata yksi piste kuin monta pistettä
    • Sisäistä verkon liikennettä ei päästä kuuntelemaan ulkopuolelta
  • Gateway
    • Portti ulkomaailmaan
    • Kontrolloi liikennettä
    • Palomuurin paikka
  • Suoja-alue suojaus (perimeter defense)
    • Vrt. linnan vallihauta
    • Sisäiseen ja ulkoiseen verkkoon jako
    • Palomuurit välillä
    • Suoja-alueen määrittely
      • Alueen sisällä laitteet jotka pitävät sisällään tärkeää tietoa
      • Verkkopalvelin tulee olla ulkopuolella
      • Minne kuuluvat luotetut yhteydet muihin yrityksiin?
    • Suoja-alueella voi olla useampia pienempiä suoja-alueita
      • Suojaa verkon eri osia
      • Tarjoaa jotain suojaa sisäisiä uhkia vastaan
      • Pienentää murron aiheuttamaa tuhoaluetta
    • Demilitarisoitu vyöhyke
      • Kahden palomuurin välinen alue
        • Linnan sisä- ja ulkomuuri.
      • Yleiset palvelut voidaan tarjota suojattuna, muttei riskeerata sisäverkon turvallisuutta.
      • Riskikohteet suoja-alueen ulkopuolelle, jotta niiden murtuminen ei aiheuta uhkaa sisäiselle verkolle
    • Reitit sisäiseen verkkoon
      • Varmistettava, että ainoastaan tunnettuja ja hyväksyttyjä reittejä käytet ään verkon sisääntuloon
      • Ei omia modeemeja työntekijöiden koneissa
  • Minne IDS järjestelmä?
    • ennen ulkoista palomuuria
      • Nähdään kaikki tulevat hyökkäykset
    • Ulkoisen palomuurin takana
      • Variotuksia ainoastaan palomuurin läpi tulevista mahdollisista tunkeutumisyrityksistä.

Sähköposti

  • Sähköposti kulkee verkossa ilman suojausta
    • vrt. postikortti
  • Suojattu yhteys sähköposti palvelimeen suojaa vain liikenteen palvelimen ja sähköposti ohjelman välillä. Ei lähteviä viestejä palvelimelta eteenpäin.
    • vrt. postikortin kuljettaminen postitoimistoon panssariautossa
  • Sähköpostin salaaminen esimerkiksi PGP ohjelmalla
    • Viestin sisältö on salattu, mutta otsikko tiedot, kuten vastaanottajat ja subject kenttä näkyvät silti
    • vrt. kirjekuori jossa päällä lukee viestin välitystietojen lisäksi vielä viestin otsikko.
  • Verkon ja verkkopalvelujen turvallinen käyttö vaatii perusymmärtämyksen näiden toiminnasta.
Last modified: 2013/07/01 14:50