Export page to Open Document format View page as slide show

Tietoturva

Yleiset verkkoihin kohdistuvat uhat

  • Salakuuntelu
  • Viestien toisto
  • Datan muuntaminen
  • Väärinreititys
  • Toisena esiintyminen
  • Kieltäminen
  • Denial of Service
  • Haittaohjelmat

Uhkien kohteet

  • Laitteisto
    • Käyttäjän laitteisto
      • Verkkolaitteet
      • Työasemat
    • Ulkoiset laitteet
      • Välityspalvelin (Internet yhteyden palveluntarjoajalta)
  • Palvelut/ ohjelmistot
    • Omat palvelut
    • Ulkoiset palvelut
      • Pilvipalvelut
  • Tiedonsiirto ja siirtotiet
  • Käyttäjät

Verkkoturvallisuuden haasteellisuus

  • Verkko koostuu useista erilaisista laitteista, jotka kommunikoivat eri protokollien avulla
    • Erilaisia siirtoteitä (langaton, kuparikaapeli, valokaapeli…)
    • Erilaisia verkkotyyppejä (Ethernet, token ring, FDDI, ADSL …)
    • Erilaisia protokollia eri protokolla kerroksilla (TCP/IP, IPX…) (FTP,HTTP…)
    • Erilaisia käyttöjärjestelmiä (Windows, Unix, VMS, MACOS…)
    • Erilaisia laitteita: (reitittimiä, siltoja, palvelimia, työasemia…)
  • Eri ympäristöissä on erilaiset haasteet
    • Tarvitaan erilaisia ratkaisuja
  • Turvallinen yhteensopivuus heterogeenisessä ympäristössä?
    • Kaikki ohjelmat eivät toimi kaikissa ympäristöissä
    • Standardin tulkinnat ja toteutukset eroavat toisistaan
    • Ohjelmistoista eri versioita eri ympäristöihin

Siirtotiet

  • Langaton yhteys
    • Radioaallot (sateliitti yhteydet, wlan, bluetooth …)
      • Signaali etenee vapaasti → salakuuntelu helppoa kantaman alueella
    • Infrapuna, laser
    • Ääni
  • Langalliset yhteydet
    • Kaapelin katkaisu, katkaisee palvelun
    • Koaksaalikaapeli, kierrettyparikaapeli
      • Induktanssin avulla voidaan tietoa “lukea” johdosta
    • Valokuitu
      • Valo ei vuoda johdosta ulos. Salakuuntelu vaikeaa ilman johdon katkaisua.

Internet

  • TCP/IP protokollaan pohjautuva kommunikointi
  • Pakettikytkentäinen
  1. Data hajotetaan paketteihin
  2. Paketit lähetetään verkkoon ja kulkevat ennalta määräämätöntä reittiä reitittimeltä toiselle ja lopulta päätyvät kohteeseen.
  3. Kohde kasaa paketit yhteen
  • Liikennettä ei suojattu mitenkään
    • Kuka tahansa reitin varrella voi lukea paketin sisällön.
    • Verkkoliikennettä on helppo seurata

Hyökkäykset Internet liikennettä kohtaan

  • Reititys hyökkäys
    • Ilmoitetaan reitittimelle, että oman koneen kautta on lyhyin reitti kohde koneelle.
    • Saadaan tietylle kohteelle menevät paketit omalle koneelle tarkasteltaviksi.
  • Salakuuntelu
    • Password Sniffing, salasanojen haistelu
      • Etsitään paketteja, jotka pitävät sisällään salasanoja
      • Löytyy paljon valmiita ohjelmia
    • Toteutetaan esimerkiksi reititys hyökkäyksellä
  • Pakettien muokkaus
    • Muutetaan kaapattujen pakettien sisältöä
  • Pakettien väärentäminen
    • Muokataan pakettien sisältöä
    • Muokataan paketin otsikko tietoja
      • Paketin otsikko tietojen oikeellisuutta ei tarkisteta mitenkään.
        • Esim. Voidaan luoda paketti millä tahansa lähde- ja kohdeosoitteella
    • IP spoofing: Väärennetään lähdeosoite, jotta saadaan paketti suojatulle alueelle

Nimipalvelu uhat (Domain Name Service (DNS) threats)

  • Hajautettu tietokanta joka pitää sisällään koneiden nimet (www.lut.fi) ja niitä vastaavat IP-osoitteet (157.24.8.103)
  • Ennen paketin lähettämistä kysytään nimeä vastaava IP-osoite DNS palvelimelta
    • Nimelle IP-osoitetta kysyttäessä oletetaan että vastaus on oikea.
  • Nimipalvelimeen ollaan voitu murtatutua ja hyökkääjä voi ilmoittaa mitä tahansa
    • oma.pankki.fi voikin ohjautua ilkeän hakkerin koneeseen, jossa on salasanan ja tunnuksen keräävä oikean kohteen näköinen sivu
  • Väärennetty viesti voidaan lähettää ikäänkuin se tulisi nimipalvelimelta
    • Muutetut nimipalvelu taulut leviävät helposti ympäriinsä
  • Nimipalvelu on hierarkinen.
    • Ei tarvitse murtaa yrityksen A nimipalvelinta, jos murtaa yhtä tasoa ylemmän olevan palvelimen

Palvelun Esto hyökkäys (Denial of Service) (DoS)

  • Estetään palvelun toiminta varaamalla tai tukkimalla jokin tarpeellinen resurssi
    • verkkokaistan tukkiminen
    • Järjestelmä resurssien kuluttaminen
      • puskurien täyttäminen, yhteys taulujen tukkiminen jne.
    • Ohjelmistojen vaatimat resurssit
      • Muisti, prosessori, jne.
    • Laitteiston tarvitsemat resurssit
      • Akku
  • Hyökkäyksissä kohde kone hukutetaan (flooding) suurella määrällä viestejä jolloin verkko tai palvelimen toiminta häiriintyy
    • SYN flood ensimmäinen kuuluisa
      • Lähetettiin 50 kappaletta synkronisointi pyyntö viestejä palvelimelle sekunnissa.
  • Reaalimaailmassa
    • Toisen nimissä kaiken mahdollisen ilmaisjakelun tilaaminen → tärkeä posti katoaa roskapostin sekaan
      • Postimiehen kantokyky saattaa olla koetuksella
  • Sähköpostihyökkäys (mail bombing)
    • Lähetetään niin paljon sähköpostia, että palvelin joko täyttyy tai kaatuu
  • Suuri määrä viestejä voi myös olla muun kuin hyökkäyksen tulos
    • Ensimmäiset puhelinäänestykset tukkivat puhelinkeskukset ja kaatoivat palvelimet
    • Doping käryt Lahden MM-kisoissa aiheuttivat uutispalvelimille niin kovan liikenteen, että yhteydet menivät tukkoon.
  • Voidaan estää ettei liian tiheään tulevia paketteja välitetä eteenpäin palvelimilta
    • Lähde osoite pohjainen filtteröinti
  • Liikenteen suodattamiselle voidaan myös suojautua
    • Läpi kulkevien pakettien tarkistaminen hidastaa liikennettä
  • Hyökkäystä ei ole pakko toteuttaa suoraan palvelua vastaan
    • Hyökätään jotain verkon solmukohtaa vastaan.
      • Estetään yhteydet esim. Suomesta ulospäin.
    • Onhan palvelun tarjoaja varautunu palvelunesto hyökkäyksiin?
  • Jotkut hyökkäykset käyttävät muita tietoturva-aukkoja tavallisen floodauksen lisäksi

Hajautettu DoS (DDoS)

  • Käytetään DoS hyökkäykseen useita koneita lähteenä
    • Tilataan kaverille pizza kylän jokaisesta kotiin toimittavasta pizzeriasta
  • Koska ei ole yhtä yksittäistä lähdettä on pakettien blokkaaminen vaikeaa
  • Heijastushyökkäys (reflection attack)
    • Esim. Lähetetään väärennetty viesti kohde koneen nimissä, joukolle tavallisia koneita, jotka vastatessaan viestiin tukkivat kohdekoneen.
    • Yhdeltä koneelta viestien lähettely vaatii paljon kaistaa
  • Hyökkäystä voidaan vahvistaa zombie koneilla
    • Toteuttaminen vaatii murtautumiseen useaan järjestelmään (esimerkiksi troijalaisten avulla).
    • Zombie koneet tekevät yhtä aikaa heijastushyökkäyksen.
  • Mitään hyvää tapaa suojautua ei ole
  • Verkkoliikenteen seuranta auttaa
  • Tilannetta voi helpottaa estämällä että omia laitteita ei päästä käyttämään hyökkäyksen tekemiseen
    • Jokainen yksittäinen kone internetissä pitäisi suojata kunnolla.
Last modified: 2013/07/01 14:42