You are here: TUTWiki>Tietoturva>Sisällysluettelo?>YleistäSuodatuksestaJaTunkeutumistenHavainnoinnista (revision 1)

Yleistä suodatuksesta ja tunkeutumisten havainnoinnista

Tunkeutuminen ('intrusion') tarkoittaa sitä, että joku käyttää tietojenkäsittelyn resursseja ilman lupaa. Tämähän olisi helppo saada selville, jos voisi käydä kysymässä PC:n tai päätteen äärellä istuvalta asiaan liittyviä dokumentteja -- kuten autoilijalta ajokorttia ja auton rekisteriotetta. Tietokoneella ajon luvallisuutta ei yleensä pysty selvittämään näin suorasti. Ennemminkin tilannetta voisi verrata siihen, että auton käytön luvallisuus pitäisi selvittää polttoaineseoksen, moottorin kierrosluvun, ajonopeuden, ohjausliikkeiden ja tien pinnan perusteella. Kaiketi autokin voisi tällaisten (tai muiden) tietojen avulla "tietää" tulleensa varastetuksi (tai ryöstetyksi), jolloin se voisi lähettää hälytyksen. Ennenkuin varsinaiseen ajoon pääsee, täytyy autossa ohittaa kaikenlaista pääsynvalvontaa ja ajonestolaitetta, ehkäpä päästä ensin sisään autotalliin. Vastaavasti tietojenkäsittelyssä voidaan pysäyttää tunkeilijoita jo kauemmas. Oleellisesti kyse on vain pääsynvalvonnasta, mutta kun se tapahtuu verkkoliikenteessä, niin tallinovien sulkemista kutsutaan suodatukseksi ja sitä toteutetaan palomuureilla.

Tunkeutumisen havaitsemisen järjestelmät käyttävät kolmenlaista tietoa analyysinsa perustana:

  • pitkän aikavälin tietoa (tietämystä), joka liittyy siihen tekniikkaan, jolla tunkeutumisia on tarkoitus havaita. Tätä voi olla kahdenlaista:
    • aiempien ja muihin järjestelmiin tehtyjen hyökkäysten (tunnusmerkkien) tietokanta (tai vastaava).
    • aiemmin kerätty tietämys järjestelmän normaalista käyttäytymisestä ja rakenteesta, eräänlainen lähtötaso, johon kuuluvat esim. monien ajettavien ja konfiguraatiotiedostojen tarkistussummat.
  • tiedot nykyisen järjestelmän tietynhetkisestä tilasta ja rakenteesta, eli konfiguraatiosta. Sellaisenaan tämä tieto voi paljastaa haavoittuvuuksia, eli mitä voisi tapahtua. Se voi myös antaa viitteitä siitä, mitä ehkä on tapahtunut, vaikkei itse tapausta olisikaan nähty.
  • kirjanpitotietoa ('audit log') tapahtumista. Tällä voitaisiin periaatteessa saada rosvo kiinni itse teosta (tai vähän sen jälkeen).

Palomuurit tarjoavat keskitetyn paikan, jossa kirjanpitoa voi kerätä -- mutta jo sisäänpäässyttä hyökkääjää ei näillä tiedoilla saa yleensä kiinni. Hänhän käyttäytyy muurin kohdalla kuin kuka muu tahansa ja tunkeilevat piirteet paljastuvat vasta sisäverkossa olevien koneiden lokitiedostoista.

Sitä mukaa kun tietoa uudenlaisista tunkeutumisista kertyy, ohjelmistonvalmistajien odotetaan paikkaavan tuotteissaan olevia reikiä eli haavoittuvuuksia. Koska tämä prosessi on hidas, käytännössä ylläpitäjät ehkäisevät näiden reikien käytön tiukentamalla suodatusta ohjelmistojen ulkopuolella, erityisesti palomuureissa. Samalla he saavat uusia testaustyökaluja: päivityksiä voidaan nimittäin tehdä myös ohjelmistoihin ('työkalupakkeihin'), joilla hyökkäyksiä voi automaattisesti tehdä ja siis myös kokeilla. Oman järjestelmän haavoittuvuuksia kannattaakin tutkia myös tällaisilla työkaluilla -- ettei se jäisi vain hyökkääjän "etuoikeudeksi".

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 18 Apr 2010 - 18:59:48 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback