View page as slide show Export page to Open Document format

TIETOTURVAN PERUSTEET

Palomuurit

  • Laite tai ohjelma
  • Älykäs portinvartija joka valvoo liikennettä
    • Määrittelee sisääntulijat
    • ja ulosmenijät
  • Suojaa joko verkkoa tai yksittäistä konetta.

Palomuurin yleinen toiminta

  • Verkkopalomuuri
    • Kone, joka suojaa sisäisen verkon ulkoisen verkon uhilta
    • Kontrolloi liikennettä kahden verkon välillä tarkasti valitussa pisteessä
    • Piilottaa sisäverkon rakenteen
  • Henkilökohtainen palomuuri
    • Suojaa yksittäistä konetta verkosta tulevilta uhilta sekä erikoiselta ulospäin lähtevältä liikenteeltä
  • Palomuuri ei kuitenkaan
    • Takaa datan eheyttä tai luottamuksellisuutta
    • Varmista datan lähdettä
    • Suojaa sisäisiltä uhilta
  • Palomuuri suojaa ainoastaan hyökkäysyrityksiltä joissa liikenne kulkee palomuurin kautta

Palomuurit - Pakettisuodatin

  • Store and forward
    • Paketti saadaan yhteen rajapintaan
    • Paketin otsikkotieto tarkistetaan ja verrataan suodatus konfiguraatioon
    • Tietojen pohjalta päätetään jatketaanko pakettia eteenpäin vai hylätäänkö se
  • Suodatuskriteereinä mm.
    • Liikenteen suunta (rajapinta johon paketti saapuu, sisään vai ulos)
    • Protokollan tyyppi (IP,TCP,UDP,ICMP….)
    • Lähtö ja kohde IP-osoite sekä TCP/UDP portti
    • TCP tilainformaatio

Välipalvelin (Proxy) palomuurit

  • Välitettäviä paketteja katsotaan sovellustasolla
  • Muodostaa 2 erillistä yhteyttä: lähteestä palvelimelle ja palvelimelta kohteeseen
    • vrt. kaksi vartijaa… toinen muurin ulkona toinen sisällä. Ulkopuolen vartija ei tiedä mitään muurin sisäpuolesta, sisäpuolen vartija ei tiedä mitään ulkomaailmasta
    • esim. käyttäjän ohjelma pyytää proxyltä verkkosivun (sisävartija). proxy (ulkovartija) hakee sivun ja toimittaa sen sitten käyttjälle (sisävartijan kautta).
  • Vaativat esikonfiguroinnin
    • Käyttäjän täytyy määritellä ohjelmalle proxyn sijainti
    • Asiakas ohjelman täytyy muokkautua proxylle sopivaksi
  • Geneerinen proxy
    • IP masquerade, NAT
  • Sovellusproxy
    • esim. HTTP proxy
  • Piiri proxy
    • Päästä päähän virtuaalipiiri
    • esim SOCKS

Tietomurtohälytin (IDS, Intrusion detection system)

  • Ohjelma joka varoittaa havaitessaan murron tai murtoyrityksen
  • NIDS (network IDS)
    • Valvovat verkon liikennettä etsien epäilyttävää toimintaa
  • HIDS (Host IDS)
    • Valvoo yksittäisen koneen tapahtumia ja varoittaa epäilyttävästä toiminnasta
  • IDS:n ominaisuuksia
    • Tarkkuus
      • Tunnistaa kaikki hyökkäykset
      • Ei hälyytä turhaan
    • Oikea aikaisuus
      • Varoittaa jo käynnissä olevasta hyökkäyksestä, eikä vasta onnistuneesta
    • Diagnoosin teko
      • Mistä hyökkäys tulee
      • Kuinka hyökätään
      • Antaa ohjeita kuinka toimia
  • Kaksi tapaa toteuttaa tällä hetkellä
  1. Misuse detection (Väärinkäytön tunnistaminen)
    • Tunnistetaan hyökkäykset niiden sormenjäljistä
    • Vaatii tietokannan, jota aktiivisesti päivitetään (vrt. virustorjunta)
    • Pysyykö perässä koko ajan uudentyylisten hyökkäysmenetelmien tullessa
  2. Epänormaalin toiminnan tunnistus
    • Tehdään tilastollinen mallinnus verkon toiminnasta, jonka mukaan IDS päättelee mikä on epänormaalia toimintaa
    • Mitä jos hyökkäys on päällä opetuksen aikana? Hyökkäystila on normaali!
    • Miten määritellään uhkaava epänormaali toiminta.
      • Paljon vääriä hälyytyksiä (virustorjunnassa siirrytty pois tästä mallista)
    • Miten eri hyökkäykset jaotellaan?

Tunkeutumisen esto järjestelmä (Intrusion prevention system,IPS)

  • Suojajärjestelmä joka tunnistaessaan murtoyrityksen, yrittää myös estää sen toiminnan
    • esim: Tavanomaisesta poikkeava liikenne estetään.
  • IPS järjestelmät ovat kohtuu uusia ja vahvasti vielä kehitys työn alla.
  • HIPS (Host IPS)
    • Yksittäisen koneen suojaaminen
    • Seuraa tapahtumia koneella ja yrittää estää haitallisen toiminnan vrt. virustorjunta ohjelma
  • NIPS (Network IPS)
    • NIDS pohjainen tunkeutumisen tunnistus ja palomuuri tyyppinen esto
  • Ongelmat pitkälti samoja kuin IDS järjestelmiä
    • Väärät tunnistukset aiheuttavat ongelmia verkkoyhetyksissä
    • IPS on aktiivinen kun IDS on passiivinen

Houkutuslintu (Honeypot)

  • Erillinen suojaamaton/minimi suojauksilla oleva kone suojatun verkon ulkopuolella
    • Pitää sisällään kuitenkin hyvät toiminnan seuraus ohjelmistot (IDS)
  • Houkuttelee itseensä haittaohjelmat ja hakkerit
    • Huomataan hyökkäys yritys ennenkuin se tehdään oikeasti kriittiseen järjestelmään.
    • Antaa aikaa suojautua oikeat kohteet paremmin hyökkääjää vastaan
    • Helpottaa myös hyökkääjien kiinni saamisessa.
      • Järjestelmää ei tarvi sulkea pois verkosta, kun hyökkäys havaitaan.
  • Voidaan hyödyntää myös uusien hyökkäys tyyppien selvittämiseen

Verkkopalvelujen turvaaminen

  1. Haluttujen palvelujen selvittäminen
  2. Palvelujen merkityksen määrittäminen
  3. Palveluihin kohdistuvien uhkakuvien määrittäminen
  4. Kontrollimekanismien etsiminen turvallisuus uhkia vastaan
  5. Kontrollimekanismien arviointi
  6. Kontrollimekanismien asentaminen
  7. Kontrollimekanismien säännöllinen toimivuuden tarkistaminen

Palveluiden arviointi

  • Liiketoimintaan liittyvät palvelut
    • Joidenkin liiketoimintapalveluiden turvallisuus on parhaimmillaankin vain osittain kontrolloitavissa
      • Verkkokauppaan on asiakkaitten päästävä sisälle.
    • Internet pohjaisella palvelulla on enemmän turvallisuusriskejä kuin perinteisellä
      • Luottokortin numeron siirto ja tallettaminen
    • Älä tarjoa palvelua verkossa ennenkuin olet varmistunut sen turvallisuudesta
  • Sisäiset palvelut
    • Arvo vaikeampi määrittää
      • Mikä arvo on ftp:n käyttömahdollisuudella? entä sähköpostin?
      • Mitä uhkia palvelu tuo?
        • Esim. Sähköpostin kautta haittaohjelmia tai kalastelua
      • Mitä uhkia palvelun tarjoamatta jättäminen tuo?
        • Jos palveluita ei tarjota käyttäjä saattaa tehdä oman turvattoman virityksen
        • Onko ulkoisen palvelun käyttö turvallisempaa?
    • Moniin palveluihin erilaisia ratkaisuja, joista toiset turvallisempia
      • ssh vs telnet
    • Palvelujen rajaaminen tiettyihin koneisiin tai kokonaan poistaminen

Verkon suunnittelu ja suojaus

  • Sisäisen verkon rakenne kannattaa suunnitella ennen kuin sen liittää yleiseen verkkoon
  • Avoin verkko vs. suljettu verkko
    • Helpompi suojata yksi piste kuin monta pistettä
    • Sisäistä verkon liikennettä ei päästä kuuntelemaan ulkopuolelta
  • Gateway
    • Portti ulkomaailmaan
    • Kontrolloi liikennettä
    • Palomuurin paikka
  • Sisäiseen ja ulkoiseen verkkoon jako
    • Palomuurit välillä
  • Suoja-alue
    • Sisäinen alue jonka palvelut eivät näy ulospäin
      • vrt. linna vallihaudan takana.
    • Alueen sisällä laitteet jotka pitävät sisällään tärkeää tietoa
    • Verkkopalvelin tulee olla ulkopuolella
    • Minne kuuluvat luotetut yhteydet muihin yrityksiin?
  • Suoja-alueella voi olla useampia pienempiä suoja-alueita
    • Suojaa verkon eri osia
    • Tarjoaa jotain suojaa sisäisiä uhkia vastaan
    • Pienentää murron aiheuttamaa tuhoaluetta
  • Demilitarisoitu vyöhyke (DMZ)
    • Kahden palomuurin välinen alue
      • vrt. Kaupungin muurin ja linnan muurin välinen alue.
    • Yleiset palvelut voidaan tarjota suojattuna, muttei riskeerata sisäverkon turvallisuutta.
      • Riskikohteet suoja-alueen ulkopuolelle, jotta niiden murtuminen ei aiheuta uhkaa sisäiselle verkolle
    • Reitit sisäiseen verkkoon
      • Varmistettava, että ainoastaan tunnettuja ja hyväksyttyjä reittejä käytet ään verkon sisääntuloon
      • Ei omia modeemeja työntekijöiden koneissa
  • Minne IDS järjestelmä?
    • ennen ulkoista palomuuria
      • Nähdään kaikki tulevat hyökkäykset
    • Ulkoisen palomuurin takana
      • Variotuksia ainoastaan palomuurin läpi tulevista mahdollisista tunkeutumisyrityksistä.

Verkkopalveluiden riskit: Sähköposti

  • Sähköposti kulkee verkossa ilman suojausta
    • vrt. postikortti
  • Suojattu yhteys sähköposti palvelimeen suojaa vain liikenteen palvelimen ja sähköposti ohjelman välillä. Ei lähteviä viestejä palvelimelta eteenpäin.
    • vrt. postikortin kuljettaminen postitoimistoon panssariautossa
  • Sähköpostin salaaminen esimerkiksi PGP ohjelmalla
    • Viestin sisältö on salattu, mutta otsikko tiedot, kuten vastaanottajat ja subject kenttä näkyvät silti
    • vrt. kirjekuori jossa päällä lukee viestin välitystietojen lisäksi vielä viestin otsikko.
  • Verkon ja verkkopalvelujen turvallinen käyttö vaatii perusymmärtämyksen näiden toiminnasta.
Last modified: 2013/07/01 14:42