You are here: TUTWiki>Tietoturva>Sisällysluettelo?>MitenTunkeutumisenVoiHavaita

Miten tunkeutumisen voi havaita

Tunkeutumisen havaitsemiseksi on periaatteessa kahdenlaisia menetelmiä:

  • Tietämyspohjainen menetelmä käyttää kertynyttä tietoa tunnetuista hyökkäyksistä ja järjestelmän omista heikkouksista. Menetelmä tulkitsee sallituksi sellaisen toiminnan, joka ei sen tietämyksen mukaan näytä hyökkäykseltä. Vääriä hälytyksiä ei siis yleensä tule, mutta kattavuus edellyttää laajaa ja toistuvaa hyökkäysten mallintamista, jossa otetaan huomioon myös yleistettävyys kulloinkin kyseessä olevaan järjestelmään.
  • Käyttäytymispohjainen menetelmä lähtee hyökkäysten mallintamisesta toimintana, joka ei vastaa aiemmin havaittua normaalia toimintaa (ikäänkuin: "mikä ei ole sallittua on kiellettyä"). Lähestymistapa on kattava, mutta vaikeampi toteuttaa kuin tietämyspohjainen, erityisesti huonomman tarkkuuden vuoksi. Tarvitaan laajaa ja toistuvaa "normaalin" havainnointia, mutta siihen voi jo ehtiä sisältyä hyökkääjäkin.

Likimain samoille asioille on muitakin nimityksiä:

  • tietämyspohjainen ~~ sääntöpohjainen IDS ~~ hyökkäysmallin havaitseminen ~~ tunnusmerkkianalyysi.
  • käyttäytymispohjainen ~~ tilastollinen IDS ~~ anomalioiden havaitseminen

Tässä IDS = Intrusion Detection System.

Lokitiedostot ovat kaikissa menetelmissä keskeinen tietolähde, mutta on muitakin paikkoja mihin kannattaa katsoa. CERT:n (Computer Emergency Response Team) vuonna 1997 laatima UNIX-ylläpitäjän tarkistuslista hyökkäysten havaitsemiseksi näyttää tällaiselta: Tarkasta/etsi

  1. lokitiedostot: epätavalliset paikat, joista on otettu yhteyttä tai epätavalliset toimet.
  2. suid- ja sgid-tiedostot (esim. find-ohjelmalla)
  3. varusohjelmistot (system binaries)
  4. paketinnuuskijat (packet sniffers)
  5. tiedostot, joita ajetaan ajastettuina cron- tai at-ohjelmilla.
  6. ettei tarjolla ole valtuuttamattomia verkkoon päin tarjottavia palveluita (siis sellaisia, jotka inetd-demonin verkosta saama pyyntö käynnistäisi /etc/inetd.conf-tiedostossa olevien määritysten perusteella).
  7. /etc/passwd-tiedosto
  8. järjestelmän ja paikallisen verkon konfiguraatio (siis tiedostot joissa kerrotaan millä koneilla on erioikeuksia yhteyksiä muodostettaessa: /etc/hosts.equiv, /etc/hosts.lpd ja systeemitunnusten .rhosts-tiedostot).
  9. kaikkialta epätavalliset tai piilotetut tiedostot 10. kaikki koneet paikallisessa verkossa

ja ryhdy turvapolitiikan määräämiin toimiin.

Hieman tarkempi ohje Unix/Linux-tunkeutumisten havaitsemiseen on esim. Greenin ja Bakerin runsaan 10 sivun esitys (2005).

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Verkko
Mitä Useita
Miltä Useita
Missä Useita
Kuka Tite-ammattilainen
Milloin Päivittäin
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 22 Apr 2010 - 13:41:27 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback