View page as slide show

Tietoturvan perusteet

Verkkoturvallisuuden haasteellisuus

  • Verkko koostuu useista erilaisista koneista jotka kommunikoivat eri protokollien avulla
    • Erilaisia siirtoteitä (langaton, kuparikaapeli, valokaapeli…)
    • Erilaisia verkkotyyppejä (Ethernet, token ring, FDDI, ADSL …)
    • Erilaisia protokollia eri protokolla kerroksilla (TCP/IP, IPX…) (FTP,HTTP…)
    • Erilaisia käyttöjärjestelmiä (Windows, Unix, VMS, MACOS…)
    • Erilaisia laitteita: (reitittimiä, siltoja, palvelimia, työasemia…)
  • Kuinka taata yhteentoimivuus turvallisesti?
    • Eri ympäristöt tarvitsevat erilaiset ratkaisut
    • Kaikki ohjelmat eivät toimi erilaisissa ympäristöissä

Yleiset verkkoihin kohdistuvat uhat

  • Salakuuntelu
  • Toisena esiintyminen
  • Viestien toisto
  • Datan muuntaminen
  • Väärinreititys
  • Ilkeämieliset ohjelmat
  • Kieltäminen
  • Denial of Service

Uhkien kohteet

  • Ulkoiset palvelimet
    • Internet-palvelin
  • Sisäinen verkko
    • Verkkolaitteet
    • Työasemat
  • Datansiirto
  • Käyttäjät

Siirtotiet

  • Langaton yhteys
    • Radioaallot (sateliitti yhteydet, wlan, bluetooth …)
      • Signaali etenee vapaasti → salakuuntelu helppoa kantaman alueella
    • Infrapuna, laser
    • Ääni
  • Langalliset yhteydet
    • Kaapelin katkaisu, katkaisee palvelun
    • Koaksaalikaapeli, kierrettyparikaapeli
      • Induktanssin avulla voidaan tietoa “lukea” johdosta
    • Valokuitu
      • Valo ei vuoda johdosta ulos. Salakuuntelu vaikeaa ilman johdon katkaisua.

Internet

  • TCP/IP protokollaan pohjautuva kommunikointi
  • Pakettikytkentäinen
  1. Data hajotetaan paketteihin
  2. Paketit lähetetään verkkoon ja kulkevat ennalta määräämätöntä reittiä reitittimeltä toiselle ja lopulta päätyvät kohteeseen.
  3. Kohde kasaa paketit yhteen
  • Liikennettä ei suojattu mitenkään
    • Kuka tahansa reitin varrella voi lukea paketin sisällön.
    • Verkkoliikennettä on helppo seurata

Hyökkäykset Internet liikennettä kohtaan

  • Password Sniffng, salasanojen haistelu
    • Etsitään paketteja, jotka pitävät sisällään salasanoja
    • Löytyy paljon valmiita ohjelmia
  • Pakettien väärentäminen
    • Muokataan pakettien sisältöä
    • Muokataan paketin otsikko tietoja
      • Paketin otsikko tietojen oikeellisuutta ei tarkisteta mitenkään.
        • Esim. Voidaan luoda paketti millä tahansa lähde- ja kohdeosoitteella
    • IP spoofing: Väärennetään lähdeosoite, jotta saadaan paketti suojatulle alueelle
  • Reititys hyökkäys
    • Ilmoitetaan reitittimelle, että oman koneen kautta on lyhyin reitti kohde koneelle.
    • Saadaan tietylle kohteelle menevät paketit omalle koneelle tarkasteltaviksi.

Nimipalvelu uhat (Domain Name Service (DNS) threats)

  • Hajautettu tietokanta joka pitää sisällään koneiden nimet (www.lut.fi) ja niitä vastaavat IP-osoitteet (157.24.8.103)
  • Ennen paketin lähettämistä kysytään nimeä vastaava IP-osoite DNS palvelimelta
    • Nimelle IP-osoitetta kysyttäessä oletetaan että vastaus on oikea.
  • Nimipalvelimeen ollaan voitu murtatutua ja hyökkääjä voi ilmoittaa mitä tahansa
    • oma.pankki.fi voikin ohjautua ilkeän hakkerin koneeseen, jossa on salasanan ja tunnuksen keräävä oikean kohteen näköinen sivu
  • Väärennetty viesti voidaan lähettää ikäänkuin se tulisi nimipalvelimelta
    • Muutetut nimipalvelu taulut leviävät helposti ympäriinsä
  • Nimipalvelu on hierarkinen.
    • Ei tarvitse murtaa yrityksen A nimipalvelinta, jos murtaa yhtä tasoa ylemmän olevan palvelimen

Palvelun Esto hyökkäys (Denial of Service) (DoS)

  • Estetään palvelun toiminta varaamalla tai tukkimalla jokin tarpeellinen resurssi
    • verkkokaistan tukkiminen
    • Järjestelmä resurssien kuluttaminen
      • puskurien täyttäminen, yhteys taulujen tukkiminen jne.
    • Ohjelmistojen vaatimat resurssit
      • Muisti, prosessori, jne.
    • Laitteiston tarvitsemat resurssit
      • Akku
  • Hyökkäyksissä kohde kone hukutetaan (flooding) suurella määrällä viestejä jolloin verkko tai palvelimen toiminta häiriintyy
    • SYN flood ensimmäinen kuuluisa
      • Lähetettiin 50 kappaletta synkronisointi pyyntö viestejä palvelimelle sekunnissa.
  • Reaalimaailmassa
    • Toisen nimissä kaiken mahdollisen ilmaisjakelun tilaaminen → tärkeä posti katoaa roskapostin sekaan
      • Postimiehen kantokyky saattaa olla koetuksella
  • Sähköpostihyökkäys (mail bombing)
    • Lähetetään niin paljon sähköpostia, että palvelin joko täyttyy tai kaatuu
  • Suuri määrä viestejä voi myös olla muun kuin hyökkäyksen tulos
    • Ensimmäiset puhelinäänestykset tukkivat puhelinkeskukset ja kaatoivat palvelimet
    • Doping käryt Lahden MM-kisoissa aiheuttivat uutispalvelimille niin kovan liikenteen, että yhteydet menivät tukkoon.
  • Voidaan estää ettei liian tiheään tulevia paketteja välitetä eteenpäin palvelimilta
    • Lähde osoite pohjainen filtteröinti
  • Liikenteen filtteröinnillä voidaan myös suojautua
    • Läpi kulkevien pakettien tarkistaminen hidastaa liikennettä
  • Hyökkäystä ei ole pakko toteuttaa suoraan palvelua vastaan
    • Hyökätään jotain verkon solmukohtaa vastaan.
      • Estetään yhteydet esim. Suomesta ulospäin.
    • Onhan palvelun tarjoaja varautunu palvelunesto hyökkäyksiin?
  • Jotkut hyökkäykset käyttävät muita tietoturva-aukkoja tavallisen floodauksen lisäksi

Hajautettu DoS (DDoS)

  • Käytetään DoS hyökkäykseen useita koneita lähteenä
    • Tilataan kaverille pizza kylän jokaisesta kotiin toimittavasta pizzeriasta
  • Koska ei ole yhtä yksittäistä lähdettä on pakettien blokkaaminen vaikeaa
  • Heijastushyökkäys (reflection attack)
    • Esim. Lähetetään väärennetty viesti kohde koneen nimissä, joukolle tavallisia koneita, jotka vastatessaan viestiin tukkivat kohdekoneen.
    • Yhdeltä koneelta viestien lähettely vaatii paljon kaistaa
  • Hyökkäystä voidaan vahvistaa zombie koneilla
    • Toteuttaminen vaatii murtautumiseen useaan järjestelmään (esimerkiksi troijalaisten avulla).
    • Zombie koneet tekevät yhtä aikaa heijastushyökkäyksen.
  • Mitään hyvää tapaa suojautua ei ole
  • Verkkoliikenteen seuranta auttaa
  • Tilannetta voi helpottaa estämällä että omia laitteita ei päästä käyttämään hyökkäyksen tekemiseen
    • Jokainen yksittäinen kone internetissä pitäisi suojata kunnolla.

Yksittäisen koneen verkkoyhteyden suojaus

  • Johdon irroittaminen
    • Tehokkain tapa suojata
    • Jos yhteyden tarve ei ole riskien arvoinen
    • Mikäli yhteyttä internetin palveluihin ei tarjota on vaarana, että työntekijät luovat sen itse turvattomasti
  • Yhteystyyppi
  1. rajoitettu yhteys
    • Yhteys rajoitettu vain pieneen osaan palveluja
  2. Välitetty yhteys
    • Yhteys ulos vain päätteillä
    • Ulkopuolelta ei yhteyttä sisäiseen verkkoon
  3. Dial-up yhteys
    • Yhteys muodostetaan erikseen esim. modeemilla
    • Pysyvä tai vaihtuva IP-osoite yhteyskoneella
  4. Suora yhteys
    • Täysi internet toiminnallisuus käytössä kokoajan

Yhteyden tarjoaja

  • Vaikuttaa verkon käytön ja omien palveluiden turvallisuuteen
  • Mitä on turvattu?
    • Estetäänkö jotain yhteyksiä (sensuuri listat)
    • kerätäänkö tietoa verkkoliikentestä
      • Kuinka kerätty tieto on suojattu?
  • Mitä tietoa turvaamisesta tarjotaan?
    • kertooko yhteyden tarjoaja toimistaan selvästi?
  • Millaista tukea tarjotaan

Fyysinen verkon suojaus

  • Ei ulkopuolisia laitteita
    • Verkkoon liitetyt laitteet tunnistettava
  • Ei fyysistä pääsyä johtoihin ulkopuolelta
  • Langattomat yhteydet vaativat vahvaa autentikointia
  • Palvelimet, kytkimet, reitittimet ja muut verkkolaitteet suojassa lukkojen takana
    • Laitteille pääsy rajatulla joukolla

Tietomurtohälytin (IDS, Intrusion detection system)

  • Ohjelma joka varoittaa havaitessaan murron tai murtoyrityksen
  • NIDS (network IDS)
    • Valvovat verkon liikennettä etsien epäilyttävää toimintaa
  • HIDS (Host IDS)
    • Valvoo yksittäisen koneen tapahtumia ja varoittaa epäilyttävästä toiminnasta
  • IDS:n ominaisuuksia
    • Tarkkuus
      • Tunnistaa kaikki hyökkäykset
      • Ei hälyytä turhaan
    • Oikea aikaisuus
      • Varoittaa jo käynnissä olevasta hyökkäyksestä, eikä vasta onnistuneesta
    • Diagnoosin teko
      • Mistä hyökkäys tulee
      • Kuinka hyökätään
      • Antaa ohjeita kuinka toimia
  • Kaksi tapaa toteuttaa tällä hetkellä
  1. Misuse detection (Väärinkäytön tunnistaminen)
    • Tunnistetaan hyökkäykset niiden sormenjäljistä
    • Vaatii tietokannan, jota aktiivisesti päivitetään (vrt. virustorjunta)
    • Pysyykö perässä koko ajan uudentyylisten hyökkäysmenetelmien tullessa
  2. Epänormaalin toiminnan tunnistus
    • Tehdään tilastollinen mallinnus verkon toiminnasta, jonka mukaan IDS päättelee mikä on epänormaalia toimintaa
    • Mitä jos hyökkäys on päällä opetuksen aikana? Hyökkäystila on normaali!
    • Miten määritellään uhkaava epänormaali toiminta.
      • Paljon vääriä hälyytyksiä (virustorjunnassa siirrytty pois tästä mallista)
    • Miten eri hyökkäykset jaotellaan?

Palomuurit

  • Laite tai ohjelma
  • Älykäs portinvartija joka valvoo liikennettä
    • Määrittelee sisääntulijat
    • … ja ulosmenijät
  • Suojaa joko verkkoa tai yksittäistä konetta.

Yleinen toiminta

  • Verkkopalomuuri
    • Kone, joka suojaa sisäisen verkon ulkoisen verkon uhilta
    • Kontrolloi liikennettä kahden verkon välillä tarkasti valitussa pisteessä
    • Piilottaa sisäverkon rakenteen
  • Henkilökohtainen palomuuri
    • Suojaa yksittäistä konetta verkosta tulevilta uhilta sekä erikoiselta ulospäin lähtevältä liikenteeltä
  • Ei kuitenkaan
    • takaa datan eheyttä tai luottamuksellisuutta
    • varmista datan lähdettä
    • suojaa sisäisiltä uhilta
  • Suojaa ainoastaan hyökkäysyrityksiltä joissa liikenne kulkee palomuurin kautta

Palomuurit - Pakettisuodatin

  • Store and forward
    • Paketti saadaan yhteen rajapintaan
    • Paketin otsikkotieto tarkistetaan ja verrataan suodatus konguraatioon
    • Tietojen pohjalta päätetään jatketaanko pakettia eteenpäin vai hylätäänkö se
  • Suodatuskriteereinä mm.
    • Liikenteen suunta (rajapinta johon paketti saapuu, sisään vai ulos)
    • Protokollan tyyppi (IP,TCP,UDP,ICMP….)
    • Lähtö ja kohde IP-osoite sekä TCP/UDP portti
    • TCP tilainformaatio

Välipalvelin (Proxy) palomuurit

  • Välitettäviä paketteja katsotaan sovellustasolla
  • Muodostaa 2 erillistä yhteyttä: lähteestä palvelimelle ja palvelimelta kohteeseen
    • vrt. kaksi vartijaa… toinen muurin ulkona toinen sisällä. Ulkopuolen vartija ei tiedä mitään muurin sisäpuolesta, sisäpuolen vartija ei tiedä mitään ulkomaailmasta
    • esim. käyttäjän ohjelma pyytää proxyltä verkkosivun (sisävartija). proxy (ulkovartija) hakee sivun ja toimittaa sen sitten käyttjälle (sisävartijan kautta).
  • Vaativat esikonfiguroinnin
    • Käyttäjän täytyy määritellä ohjelmalle proxyn sijainti
    • Asiakas ohjelman täytyy muokkautua proxylle sopivaksi
  • Geneerinen proxy
    • IP masquerade, NAT
  • Sovellusproxy
    • esim. HTTP proxy
  • Piiri proxy
    • Päästä päähän virtuaalipiiri
    • esim SOCKS
Last modified: 2013/07/01 14:50