Tietoliikenteen suojaus - SecMeter

Sisältöön

Tietoliikenteen suojaus

Yritysturvallisuus > Kyberturvallisuus
Tietoliikenteen turvallisuus muodostuu useiden eri suojauskomponenttien tuloksena. Fyysinen suojaus, tiedonsiirron varmistaminen, käyttäjien tunnistus sekä tiedon eheys ovat tärkeitä kohdealueita.

Suojaustoimenpiteet on mahdollista toteuttaa eritasoisina vallitsevan tarpeen mukaisesti. Perustehtäviin kuuluu tiedonsiirtolaitteiden fyysinen suojaus.

Laitteet sijoitetaan lukittuihin tiloihin. On myös harkittava tilojen liittämistä murtohälytysjärjestelmän piiriin. Verkon resurssit suojataan jokainen erikseen toisistaan riippumatta. Laitteet ja palvelut on mahdollista tunnistaa ja liikenne salata. Verkon valvonnan osalta tulee huomiota kiinnittää seuraaviin asioihin:

  • verkon rakenteeseen
  • varareititykseen
  • verkkoon liitettyihin laitteisiin
  • verkon kuormitukseen
  • vika- ja häiriötilanteisiin
  • liikenteeseen
  • kytkeytymisen estoon.

Palomuuri
Palomuuri on säännöstön sisältävä järjestelmä, jonka avulla voidaan ohjata ja rajoittaa liikennettä kahden tai useamman verkon välillä. Palomuuri sijoittuu kahden eri verkon väliseen reitittimeen. Pakettisuodatin on nopea palomuuri, joka vertaa verkkotasolla paketin otsikkokenttiä sääntöihin ja hyväksyy tai hylkää paketin (sääntö: hylkää porttiin 25 tuleva liikenne). Paketti (hyökkäys) voi päästä palomuurin läpi, vaikka ei kuulu sallittuun istuntoon.

Yhteyssuodatin on pakettisuodatinta monipuolisempi ratkaisu. Paketti ei pääse läpi, mikäli se ei kuulu hyväksyttyyn istuntoon. Yhteyssuodatin pystyy käsittelemään myös yhteyden tilaan liittyviä sääntöjä (esim. sallitaan kaikki jo avattuihin yhteyksiin liittyvät paketit).

Sovellusyhdyskäytävät (Proxy-palvelimet) ovat erikoistuneita tietyn sovelluksen liikenteeseen. Proxy valvoo liikenteen sisältöä, torjuu tunnettuja sovelluskohtaisia hyökkäyksiä ja suorittaa käyttäjien tunnistusta.

Palvelun suorituskyky edellyttää yleensä jokaiselle palvelulle oman palvelinlaitteen sovellusyhdyskäytävää varten. Kaikkiin palveluihin ei ole saatavilla sovellusyhdyskäytäväratkaisua.

NAT(Network Address Translation)
NAT muuntaa IP-paketin osoitteet toiseksi. Kaikissa sisäverkon laitteissa ei käytetä omaa IP –osoitetta. yrityksen verkon sisäpuolella käytetään ns. yksityisiä IP-osoitteita (RFC 1918), jotka eivät toimi Internetissä.

Reitittävä NAT–palomuuri muuttaa yksityiset osoitteet Internetissä toimiviksi osoitteiksi, samoiksi joka on palomuurilla. NAT saattaa aiheuttaa yhteensopivuusongelmia esim. uusimpien sovellusten kanssa. Estää mm. palveluiden keskinäisen osoitteenvaihdon.

DMZ (Demilitarized Zone)
DMZ on palomuurien väliin (Internet – toimistoverkko) sijoittuva vyöhyke, johon sijoitetaan palvelut, joita tarjotaan julkiseen verkkoon esimerkiksi asiakkaille ja kumppaneille sekä palvelimet, joiden liikennöintiä yrityksen muuhun verkkoon halutaan rajoittaa.

DMZ –ratkaisu tarjoaa julkisen verkon käyttäjille tarkoitetut palvelut käyttöön, mutta estää pääsyn julkisesta verkosta sisäverkkoon. Esimerkkejä DMZ –alueelle sijoittuvista palveluista:

  • WWW-palvelin
  • Nimipalvelin
  • FTP –palvelin
  • Sähköpostipalvelin

Tunkeutumisenhavainnointijärjestelmä (IDS, Intrusion Detection System)
IDS on järjestelmä, jonka tarkoituksena on erilaisten tunkeutumisyritysten havainnointi ja tunnistaminen. IDS –järjestelmä havainnoi tunkeutumisyrityksen verkkoliikennettä seuraamalla ja etsimällä normaalin liikenteen seasta sellaista liikennettä, jonka on tyypillistä jollekin tietylle hyökkäysmenetelmälle.

Toisin kuin IPS-järjestelmä, IDS ei kuitenkaan suojaa hyökkäyksiltä vaan ainoastaan ilmoittaa niistä. Käytetyimmät havainnointitavat ovat:

  • havainnointi ja
  • tilastollinen havainnointi.

Tunkeutumisenestojärjestelmä (IPS, Intrusion Prevention System)
Estää julkisen verkon kautta tapahtuvat tunkeutumisyritykset ja suojausten kiertoyritykset hyökkäys- sekä evaasiotekniikoita vastaan.

Tiedon menetyksen suojaus (DLP, Data Loss Prevent)
DLP-ohjelman tehtävänä on estää tahattomat tietovuodot yrityksen verkosta ulkomaailmaan. Ohjelmisto tarkkailee ja kontrolloi datan käyttöä, suodattaa verkossa liikkuvaa dataa ja suojaa talletettua dataa.

VPN (Virtual Private Network)
VPN on yleisnimitys tekniikoista, joilla toteutetaan liikennöivien osapuolten vahva tunnistus ja siirrettävän datan suojaaminen. Ratkaisua käytetään koneiden tai erillisten verkkojen liittämisessä julkisen verkon kautta toisiinsa turvallisesti ja läpinäkyvästi.

Tarkoituksena on varmistaa, että tietoa siirrettäessä esimerkiksi Internetin yli, tieto ei matkalla muutu, häviä tai tule kopioiduksi. Kaikkien VPN-reitittimien välillä emuloidaan suoraa Point-to-Point -yhteyttä. Tieto varustetaan tunnisteella, joka sisältää reititystiedot, jotka ohjaavat liikenteen jaetun tai yleisen verkon yli päätepisteeseensä. Tieto lähetetään salattuna. Paketit ovat lukukelvottomia ilman salauksen purkuavaimia.

  • Intranet VPN yhdistää kaksi tai useampia toimipisteitä LAN-LAN tyyppisesti. VPN-tunnelit asetetaan yhteyksien molempiin päihin.
  • Extranet VPN tarjoaa pääsyn tiettyyn osaan yrityksen verkkoa esimerkiksi asiakkaille ja yhteistyökumppaneille.

SSH (Secure Shell)
SSH on ohjelmisto, jonka avulla voi turvata sähköpostin ja yhteydet ulkopuolisilta. SSH -asiakasohjelmisto (client) on terminaaliemulaattori, joka vastaa vt100-päätettä tai Telnet-yhteyttä lisäten ominaisuuksiin kuitenkin 3DES, BlowFish- ja RSA- salausmenetelmät ja tiedonpakkauksen.

SSH turvaa TCP/IP-yhteydet. Turvaaminen tapahtuu salakirjoittamalla kaikki liikenne, mikä kulkee työskentelykoneen ja Unix-isäntäkoneen välillä. SSH myös salaa salasanojen siirron työkoneesta palvelimelle, säilyttäen niiden luottamuksellisuuden. Lisäksi koneiden välillä siirtyvän tietoaineiston luottamuksellisuus on turvattu.

SSL (Secure Socet Layer)
SSL on suojattu yhteyskäytäntö (salausprotokolla), joka on käyttöjärjestelmistä riippumaton ja vaatii palvelimelta sertifikaatin. Turvallisuus perustuu yhteyskohtaiseen kertakäyttöiseen salausavaimeen. SSL on Netscapen suunnittelema ja toimii TCP-protokollan päällä. Sen avulla pystytään siirtämään suojatusti tietoa sovellusten välillä. Ensimmäinen versio valmistui vuoden 1994 puolivälissä.

  • SSL palvelimen autentikoiminen (x.509 sertifikaatti) mahdollistaa käyttäjälle palvelimen identiteetin vahvistamisen.
  • SSL salaa yhteyden niin, että lähetetyt tiedostot salataan lähettäjän salausohjelmalla ja vastaanotetut tiedostot puretaan vastaanottajan salauksen purkuohjelmalla.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön