2. Tekninen internet-infrastruktuuri ja tietoturvallisuus

Tässä luvussa käydään läpi asioita, jotka tulee tuntea ja ottaa huomioon Internetyhteyksiä ja eri käyttötapoja suunniteltaessa ja käyttöönotettaessa.

Internetin perusrakenne koostuu Internet-runkoverkosta, siihen liittyvistä laitteista ja eri organisaatioiden aliverkosta. Internet-verkon perusrakenne ei sisällä valmiina läheskään kaikkia tietoturvallisuuden kannalta tarvittavia ominaisuuksia. Verkon ominaisuudet eivät suojaa verkon käyttäjää salakuuntelua, vääränä henkilönä esiintymistä tai tietomurtoa vastaan.

Internet muodostuu toisistaan riippumattomista verkkoon kytketyistä palvelimista, reitittimistä ja muista tietoliikennelaitteista sekä näiden avuilla toteutetuista, useiden tietoliikenneyhteyksien tarjoajien toteuttamista peruspalveluista. Tietoliikenneyhteyksien tarjoajien verkkolaitteet muodostavat yhdessä Internetin runkoverkon. Koska Internet- arkkitehtuuri on luonnostaan autonomisesti laajennettava, voi kuka tahansa alkaa teletoimintaa ohjaavan lainsäädännön puitteissa tarjoamaan palveluita Internetissä.

2.1 Verkon rakenne

Internet on vikasietoinen verkko, joka sai alkunsa Yhdysvaltojen puolustushallinnon rahoittamana tutkimushankkeena, jossa pidettiin tärkeänä tietoliikenteen ja tiedonvälityksen toimivuutta, vaikka yksi tai useampi tietoliikennekomponentti ei toimisikaan.

2.1.1 Internetin fyysinen rakenne

Internet-runkoverkko on maailmanlaajuinen reitittimien ja niiden välisten tietoliikenneyhteyksien verkko. Reitittimet vastaanottavat tietoliikennepaketteja ja välittävät niitä omien reittitaulutietojensa perusteella edelleen seuraavalle reitittimelle, toivottavasti kohti oikeaa vastaanottajaverkkoa. Lisäksi verkossa on palvelinkoneita kuten nimipalvelimia, sähköposti- ja WWW-palvelimia.

Verkolla ei ole yhtä omistajaa, vaan se koostuu toisiinsa kytketyistä, tietoliikenneoperaattoreiden ja muiden tietoliikennepalvelutarjoajien (ISP, Internet Service Provider) itsenäisesti hallinnoimista verkoista, joissa nämä vastaavat runkoverkon muodostavien siirtokanavien ja reitittimien toiminnasta.

Internet-runkoverkko yhdistää organisaatioiden lähiverkot (“inter-net”) ja yksityisten kotikäyttäjien tietokoneet näiden valitseman palvelutarjoajan kautta. Lähiverkkojen liikennöintitekniikka on yhteensopiva runkoverkon kanssa, verkkolaitteisto on periaatteessa sama ja erot ovat lähinnä verkkojen fyysisessä siirtotiessä ja reititysprotokollissa.

Yleisesti Internet-verkolla tarkoitetaan kaikkia liikenneyhteyksiä, palvelimia ja palveluita, mitä oman organisaation tai kotikoneiden ulkopuolelta Internet-liikennöintitekniikalla tavoitetaan, sekä palveluita, joita organisaatio tarjoaa omasta verkostaan sen ulkopuolella oleville Internet-käyttäjille. Näin laskien Internet koostuu miljoonista tietokoneista, sadoista tuhansista organisaatioiden verkoista, noin kymmenestä tuhannesta verkkopalveluntarjoajan (ISP) verkosta sekä yli kymmenestä verkon ns. liikenteenvaihtopisteestä ja niiden välisten yhteyksien ylläpitäjästä.

Organisaatioiden verkot liittyvät Internetiin oman reitittimen kautta. Palomuuri ja sen yhteydessä oleva organisaation verkon julkinen osa (eteisverkko) ovat nykyään verkon käytön perusturvallisuuteen kuuluvia.

Suomessa operaattorien verkot kohtaavat FICIX-solmupisteissä, jotka helpottavat liikennöintiä Suomessa. Toiminnasta vastaa FICIX ry (Finnish Communication and Internet Exchange), jonka jäsenet ovat tietoliikenneoperaattoreita tai tarjoavat vastaavia palveluita asiakkailleen. Operaattoreilla on kullakin omat runkoverkkonsa ja niistä yhteys sekä kansainvälisiin liikenteenvaihtopisteisiin että asiakkaidensa lähiverkkoihin.

Internet-runkoverkon siirtotienä käytettävät valokaapelit kulkevat yleensä maassa ja mannerten välillä merenpohjassa, lisäksi joissain tapauksissa yhteydet hoidetaan satelliittien välityksellä. Toimintahäiriöiden (fyysisen kaapelin tai satelliittiyhteyden katkeaminen, solmupisteessä toimivan operaattorin toimintahäiriö) varalta ja liikennekapasiteetin riittävyyden vuoksi tärkeimmille Internet-runkoverkkoyhteyksille on rakennettu rinnakkaisia ja vaihtoehtoisia reittejä käyttäviä varaväyliä.

Internet yhteyksiä jatketaan organisaatioissa erilaisilla langattomilla ratkaisuilla. Esimerkiksi GPRS-verkkojen (General Packet Radio System) yleistyessä niiden käyttö tulee riittävän suuren siirtokykynsä vuoksi yhä käyttökelpoisemmaksi organisaatioille. Liikkuvaan käyttöön organisaatioiden sisäverkkojen toimialueella käytetään lisääntyvästi langattomia yhteyksiä, WLAN-verkkoja (Wireless LAN), jotka ovat turvattomia ilman erillisiä suojaustoimenpiteitä. Myös organisaatioiden yhteisiä WLAN-verkkoja on käytössä[1].

2.1.2 Internetin tekninen toteutus ja perusprotokollat

Internetissä tapahtuvaa tiedonvälitystä protokollatasolla voidaan kuvata vertaamalla kansainvälisen standardointiorganisaatio ISO:n OSI-referenssimallia TCP/IP-protokollaperheeseen (kuva 2).

Teknisesti Internet-verkon toteutus jakautuu dataa siirtäviin protokolliin ja niiden päällä oleviin sovellusprotokolliin. Kokonaisuutta kutsutaan TCP/IP-protokollaperheeksi (Transmission Control Protocol/Internet Protocol).

TCP/IP -protokollaperheen alemman tason protokollat tarjoavat sovelluksia yhdistäviä TCP-yhteyksiä ja sovellusten välisiä yhteydettömiä UDP-tietosähkeitä (User Datagram Protocol). Näiden päälle rakennetaan varsinaisia sovelluksia.

Internet-verkko itsessään (eli reitittimet ja niitä yhdistävät tietoliikenneyhteydet) siirtää verkossa olevien koneiden välillä IP-tietoliikennepaketteja (Internet Protocol). IP-paketin alussa on määrämuotoinen otsikkokenttä, jossa on kentät vastaanottajan ja lähettäjän numeerisille IP-osoitteille sekä muuta tietoa. Otsikkokentän jälkeen tulee IP tason näkökulmasta dataa, käytännössä ylemmän tason protokollan otsikkokenttä.

IP-paketin sisällä kulkevissa paketeissa kuljetetaan TCP- tai UDP-protokollan tietoliikennepaketteja. TCP-protokolla (Transmission Control Protocol) toimii ylemmän tason sovellusprotokollien kuljetustienä. TCP hoitaa tässä yhteydessä muun muassa vuonohjauksen, uudelleenlähetykset ja satunnaisien virheiden aiheuttamien tiedon eheysongelmien tarkistamisen.

UDP-protokolla välittää yhteydettömiä tietosähkeitä sovellusten välillä. Se soveltuu yksinkertaisimpiin tarpeisiin, kuten DNS-nimipalvelun (Domain Name Service) tietokantakyselyihin. UDP-protokollaa käytetään tänä päivänä yhä enenevässä määrin myös reaaliaikaisten jatkuvien tapahtumien kuten esimerkiksi audio- ja videomateriaalin lähettämiseen verkoissa. Näitä UDP-paketteja hallinnoidaan RTP-protokollan (Real-Time Transport) avulla.

Paketit ovat sisäkkäisiä ja toimivat eri loogisilla tasoilla. Jokaisella tasolla lisätään pakettiin loogisen tason otsikkotietoja, jotka sitten puretaan kerroksittain tarvittavalle tasolle asti reititettäessä pakettia kohti kohdeosoitetta. Esimerkiksi, kuten kirje kuoressaan kulkee osan matkaa postisäkissä, joka puolestaan kuljetetaan lentokoneessa tai junassa. Kuvassa 4 on esitetty kuinka eri protokollat tarjoavat palveluja seuraavalle protokollakerrokselle. Kuvan esimerkissä käyttäjä hakee tietoa Internetistä käyttäen WWW-selainta.

Internet-protokollien ominaisuuksia ei ole suunniteltu tunnistukseen eikä todennukseen, joten niistä tulee huolehtia sovellustasolla.

Tässä dokumentissa IP-protokollalla tarkoitetaan IP-protokollan versiota neljä (IPv4), joka on vielä yleisesti käytössä. IPv4-protokollan tietoturvapuutteita on korjattu IPprotokollan versiossa kuusi (IPv6), joka on ollut kehitteillä jo useita vuosia. IPv6-tuki sisältyy yhä useamman valmistajan laite- ja ohjelmistotuotteisiin. IPv6-liikennöintiä testataan useissa verkoissa, mutta IPv6:n yleistä käyttöönottoa ei voida vielä arvioida. 

IPv6-protokolla tarjoaa useita parannuksia tietoturvallisuuteen, mm.:

Laajentaa osoiteavaruuden 32 bitistä 128 bittiin, jolloin osoiteavaruuden riittämättömyysongelma poistuu.
Hallitsee vuon ja datan priorisoinnin, joiden avulla voidaan parantaa siirtovarmuutta ja nopeuttaa kriittisiä palveluita.
Tarjoaa verkkokerrokselle parempia tietoturvaominaisuuksia, mm. eheystarkistukset.
Tarjoaa välineitä verkkojärjestelmien automaattiseen asettamiseen Joukkolähetykset (Anycast), joiden avulla voidaan lähettää sama viesti vain kerran.
Sisältää tuen IPSec-salaukselle.

 2.1.3 Tietoliikenneportit

IP-protokolla välittää tietoliikennepaketteja koneiden välillä. Palvelinkoneissa on kuitenkin liki aina useita eri palveluita ja työasemistakin voi tyypillisesti olla useampia samanaikaisia yhteyksiä avoinna. Tämän takia sovellukset eivät käytä IP-protokollaa suoraan, vaan TCP- ja UDP-protokollan kautta. Nämä protokollat puolestaan tuovat mukaan koneen sisäisen osoiteabstraktion, jota kutsutaan portiksi.

TCP/IP:n portti on abstrakti käsite, jonka avulla TCP- ja UDP-protokollat pystyvät tunnistamaan eri kohdesovellukset samassa laitteessa, ei mikään fyysinen osa tietokoneessa. Jokaisella portilla on oma 16-bittinen numero. Tiettyjä porttinumeroita on periaatteessa varattu sovittuun käyttöön, esimerkiksi WWW-palvelun on sovittu käyttävän porttinumeroa 80, joten useimmat WWW-palvelimet varaavat käynnistyessään portin numero 80 itselleen ja jäävät odottamaan yhteydenottoja. Selainohjelmat ottavat sitten oletusarvoisesti yhteyden tähän porttiin käyttäjän antaessa koneen nimen osoitteeksi. UDP- ja TCP-protokollien porttinumeroavaruudet ovat erilliset, joskin käytännössä yleensä synkronoidut. Porttinumeroiden standardoinnista vastaa IANA (Internet
Assigned Numbers Authority)[2]. Sovelluksien asentaminen myös epästandardeihin porttinumeroihin on yleensä mahdollista, mutta ei suositeltavaa.

Palvelimissa sovellukset avaavat portteja kuuntelutilaan, jolloin käyttäjät voivat ottaa yhteyden sovellukseen aina tarvittaessa. Useimmat käyttöjärjestelmäasennukset avaavat erilaisia ylimääräisiä porttipalveluja. Kaikki nämä ylimääräiset palvelut tulee asennuksessa kytkeä pois päältä.

Asiakassovellukset (esimerkiksi WWW-selain tai sähköpostipalvelu) avaavat myös portin omassa laitteessaan päästäkseen verkkoon. Ne eivät yleensä käytä mitään sovittua porttinumeroa vaan pyytävät käyttöjärjestelmältä seuraavaksi vapaata porttia. Tyypillisesti asiakassovellukset saavat käyttöönsä vain porttinumerosta 1023 suurempia portteja.

Kaikki IP-protokollan päällä kulkevat protokollat eivät käytä portteja. Esimerkiksi ICMP– protokolla (Internet Control Message Protocol), jota käytetään verkon sisäisen hallintainformaation välitykseen, ei käytä portteja. Tyypillisimpiä ICMP-viestejä ovat virheilmoitukset (kuten reitittimen lähettämä tieto siitä, että koneeseen, johon yritettiin saada yhteyttä, ei ole mahdollista saada yhteyttä) ja ohjausviestit (kuten ping-ohjelman käyttämä echo-request/echo-reply -pyyntö). Nämä ovat laitteiden, ei sovellusten välistä yhteydenpitoa.

Verkkohyökkäyksissä ICMP-viestejä käytetään muun muassa erilaisiin palvelunestohyökkäyksiin (DoS). Erään tällaisen hyökkäyksen tarkoituksena on tukehduttaa kohdeverkko ICMP-kaikuvastauksiin. Näin kohdeverkko ei ennätä kuin vastaamaan virheellisesti massaväärennettyihin ICMP-kaikupyyntöihin. ICMP-pakettien (kuten ping) kokoa voidaan myös suurentaa ja näiden liian suurten IP-pakettien käsittely voi kaataa koko laitteen.

Tietoliikenneturvallisuudessa tulee huolehtia turvallisuudesta jokaisessa protokollatasolla, jotta tunkeutuja ei voi hyödyntää ns. alemman tason tietoturvaongelmia tunkeutumiseensa. Esimerkiksi organisaatio on huolehtinut sovellustasolla tietoliikenneturvallisuudesta ohjelmistollisesti, mutta IP-tason viestien, kuten ohjausviestit, annetaan kulkea palvelimelle kontrolloimattomina.

2.1.4 Internetin reititys

Fyysinen Internet-verkko koostuu reitittimistä tai tietokoneista ja niitä yhdistävistä tietoliikenneyhteyksistä. Reitittimet välittävät IP-paketteja siten, että ne vertaavat vastaanottamansa
IP-paketin vastaanottajan osoitetietoja reititystaulukkoonsa ja lähettävät sitten IP-paketin seuraavalle reitittimelle.

Reitityspalvelu on Internetissä tärkeä palvelu, koska ilman toimivaa reititystä Internet ei toimi. Jotta IP-pakettien reititys olisi mahdollista, niin jokaisella lähettäjällä ja vastaanottajalla tulee olla yksilöivä tunniste. IP-pakettien IP-osoitteet ovat tällaisia. Erityisesti IP-osoitteissa käytetyt 32-bittiset numerot mahdollistavat sen, että ympäri maailmaa olevat IP-verkkojen laitteet pystyvät kommunikoimaan keskenään. Reitittämisessä on myös oleellista verkkopeitto (mask), joka kertoo verkon peittoalueen. Esimerkiksi, jos C-luokan verkossa ei tarvita kaikkia osoitteita voidaan se jakaa pienempiin verkkoalueisiin verkkopeitteiden avulla. Tällöin verkon 192.168.1.0/25 tarkoittaa
verkkoa, jonka verkko-osoite on 192.168.1.0 ja broadcast-osoite on 192.168.1.127.

IP-osoite jaetaan kahteen osaan. Ensimmäinen osa määrittelee verkko-osoitteen ja toinen määrittelee palvelimen osoitteen. Postikorttianalogiaa käyttäen IP-osoitteen rakennetta voidaan kuvata seuraavasti:
Palvelimen osoite = Matti Meikäläinen, 3 A 9
Verkko-osoite = Mannerheimintie 200, Helsinki, Suomi

Alla olevassa kuvassa IPv4 –paketin rakenne ja sisältö on kuvattu tarkemmin.

Kuva 5. IP-paketin rakenne

Versio

Otsikon

Palvelu

Paketin

Paketin

Liput

Lohkon

Elinaika

Proto-

Otsikon

Lähet-

Vastaan-

DATA

esim. IP

pituus

(TOS =

pituus

tunnistus

(Flags)

sijainti

(TTL=

kolla

takistus-

täjän

ottajan

 

v4

 

Type of

 

(identifi-

 

(Frag-

Time to

esim.

summa

IP -osoi-

IP -osoi‑

 

 

 

Service)

 

cation)

 

ment offset)

Live)

TCP tai UDP

 

te

te

 

Reitittimet muodostavat reititystauluja ja säilyttävät niissä reititystietoja, joiden mukaan ne toimivat, jos tietoliikennepaketti ei kuulu lähiverkon alueelle. Lähiverkkokyselyissä fyysiset laitteet tiedustelevat saman verkon muiden laitteiden verkkokorttien MAC-osoitteet (Media Access Control) ARP-toiminnolla (Address Resolution Protocol). Vastaavasti RARP-toiminnolla (Reverse Address Resolution Protocol) laite kyselee IP-osoitetietojaan reitittimeltä tai ARP -palvelimelta. Useissa organisaatioissa on käytössä DHCP-palvelu (Dynamic Host Configuration Protocol), jonka avulla työasemat kytkeytyvät verkkoon ja saavat automaattisesti osoitteensa. Tällöin hyödynnetään
myös ARP- ja RARP-protokollia.

Runkoverkon reitittimien reititystaulut ovat yleensä dynaamisia, eli reitittimet vaihtavat tietoa keskenään siitä, millaisiin IP-osoitteisiin ne pystyvät välittämään paketteja. Dynaamisesti reitittyvä verkko pystyy automaattisesti konfiguroimaan itsensä kiertämään virhetilanteet aikaviiveellä.

Operaattoreiden asiakkaiden tiloihin asentamat reitittimet ovat yleensä staattisesti konfiguroituja. Esimerkiksi tietoliikenneoperaattorin asiakkaan tiloihin sijoittama reititin tietää tyypillisesti lähiverkkoliittymässä olevan verkon osoitteen (esim. 192.168.16.0/ 24) ja kaikkiin muihin osoitteisiin lähetetyn liikenteen se ohjaa runkoverkon suuntaan. Staattista reititystä käytetään muun muassa tietoturvasyistä. Dynaamisesti reitittyvä verkko on altis väärälle reititystiedolle, jonka avulla liikenne voitaisiin ohjata väärään paikkaan. Reititystietoja muuttavat esimerkiksi krakkerit, jotka haluavat aiheuttaa kiusaa organisaation tietoliikenteelle.

Erilaisia reititysprotokollia on useita, kuten esimerkiksi RIP (Routing Information Protocol) ja OSPF (Open Shortest Path First). Osa näistä protokollista osaa automaattisesti reitittää paketteja uudelleen, jos tietoliikenneyhteyksissä esiintyy häiriöitä. Tällaisten protokollien lisäksi on kehitetty tietoliikennepalvelutarjoajien välille BGP-protokolla (Border Gateway Protocol, jonka avulla verkkopalveluntarjoajat vaihtavat reititystietoja varmistaakseen yhteyksien jatkumisen vikatapauksissa.

Reitittimet eivät käsittele paljoakaan korkeamman tason sovellusprotokollia, kuten esimerkiksi SMTP-protokollaa (Simple Mail Transfer Protocol). Yleensä reitittimissä on yksinkertaisia tietoturvaominaisuuksia, kuten IP-pakettien hylkääminen lähettäjän osoitteen, kohdeosoitteen tai portin numeron (protokollan) perusteella.

Reitittimien tietoliikennerajoitukset perustuvat pääsynvalvontalistoihin. Pääsynvalvontalistoilla säädellään, mistä ja mihin verkkopalveluihin sallitaan liikennettä sisä- ja ulkoverkon välillä. Pääsynvalvontalistoilla voidaan myös estää sisäverkon osoitteiden väärentäminen lähdeosoitteeksi ulkoverkosta tulevaan liikenteeseen eli väärennettyjä IP-lähdeosoitteita ei sallita.

Reitittimien lisäksi verkkojen rakentamiseen käytetään kytkimiä ja yhdyskäytäviä. Kytkimet pystyvät hallinnoimaan siihen kytkettyjä verkkoja omina loogisina osinaan ja ehkäisemään näin verkkojen näkymisen toisilleen. Lisää turvallisuutta saadaan käyttämällä erillisiä verkkojen yhdyskäytäviä, kuten palomuureja.

Internetin dynaamisuudesta johtuen ei tietoliikennepakettien kulkureittejä aina tiedetä ja niiden reitityksien selvittäminen jälkikäteen on lähes mahdotonta.

2.1.5 Nimipalvelu

Nimipalvelu (Domain Name Service, DNS) on toinen tärkeä Internet-palvelu. Nimipalvelun avulla nimet muutetaan numeerisiksi IP-osoitteiksi ja tarvittaessa osoitteet nimiksi. Esimerkiksi nimi www.vn.fi muutetaan IP-osoitteeksi 192.251.241.106. Samalla logiikalla laitteiden numeeriset IP-osoitteet muutetaan vastaamaan nimiä.

Reititys toimii puhtaasti numeeristen IP-osoitteiden perusteella. Nimipalvelu on suuri hajautettu hierarkkinen tietokanta, jossa koko Internet-nimiavaruus on jaettu pienempiin osiin, nimialueisiin, niiden hallinnan helpottamiseksi. Tietokannan juuresta on varattu kullekin maalle ISO:n kaksikirjaimisen lyhenteen mukainen nimi (fi Suomelle) sekä muita tunnuksia (com, edu, org, net jne.) Näitä nimiä kutsutaan myös nimellä ylimmän tason aluenimet (top level domain)[3].

Fi-alueen nimipalvelun hallinnoijana toimii Viestintävirasto (http://www.ficora.fi/), joka myöntää organisaatioille niiden aluenimet (domain name). Kukin organisaatio hallitsee omaa haaraansa nimipalvelusta ja voi vapaasti käyttää omaa nimialuettaan. Organisaatiot voivat pyytää myös teleoperaattoreita rekisteröimään aluenimiä ja huolehtimaan organisaation nimipalvelusta.

Nimipalvelussa olevat tiedot sijaitsevat nimipalvelimissa, joista sovellukset niitä tarpeen mukaan kyselevät. Nimipalvelimiin on konfiguroitu maailman juurinimipalvelimien IP-osoitteet kiinteästi. Juurinimipalvelimista saa puolestaan kysyttyä tiedon ylimmän tason aluenimistä (Suomen fi-alueella muun muassa prifi.ficora.fi, hydra.helsinki.fi), jotka puolestaan tietävät organisaatioiden nimipalvelimien osoitteet.

Kutakin nimipalvelualuetta palvelemassa tulee olla palvelun tärkeyden takia vähintään kaksi nimipalvelinta, joista yksi on primaaripalvelin (primary server), jossa ylläpidetään ko. alueen tietoja, ja muut ovat sekundaaripalvelimia (secondary server), jotka säännöllisin väliajoin hakevat tietonsa primaaripalvelimelta ja varmistavat nimipalvelun toimivuuden. Samat palvelimet voivat toimia eri alueiden kohdalla primaari- tai sekundaaripalvelimen roolissa tarpeen mukaan, järjestelmä on tässä suhteessa varsin joustava.

Pääsääntöisesti maailmalle jaeltavaan julkiseen nimipalveluun kannattaa sijoittaa vain tarvittavat tiedot, yksinkertaisimmillaan WWW-palvelimen osoite, sähköpostipostipalvelimen osoite ja sähköpostia ohjaavat MX-kentät (Mail eXchanger) sekä nimipalvelussa vaadittavat reverse-tietueet.

Nimipalvelun on otettava vastaan myös sisäverkon nimipalvelukyselyt ja välitettävä ne ulkoverkkoon paljastamatta sisäverkon osoitteita. Sisäiseen nimipalveluun, joka on erillään julkisesta nimipalvelusta, voidaan kirjata organisaation laitteet ja palvelut, organisaation sisäverkon tarpeiden mukaan. Sisä- ja ulkoverkon nimipalvelimilla, pyritään estämään sisäverkon nimi- ja verkkotopologisten tietojen leviäminen mahdollisille ulkopuolisille.

Koska nimipalvelu on ollut järjestelmissä hyvin haavoittuva toiminto, on syytä kiinnittää huomiota nimipalvelun sijaintiin ja asentamiseen. Nimipalvelinta ei tule asentaa minkään muun sovelluksen yhteyteen, vaan sille tulee aina olla oma laitteensa. Sisäinen ja ulkoinen nimipalvelu tulee olla aina erillisiä. Ulkoinen nimipalvelu voidaan ja usein kannattaakin ostaa palveluntarjoajalta. Nimipalvelimet tulee suojata esimerkiksi palomuurin avulla ja aina kannattaa tarkistaa, mille nimipalvelimelle sisäinen nimipalvelin sallii tietojensa välityksen ns. zone transfer toiminnoilla.

2.2 Sovellusprotokollat

Internetin perusprotokollat (esimerkiksi TCP ja UDP) ja sovellusprotokollat (esimerkiksi Telnet ja HTTP) on alunperin tehty pieneen luotettavaan verkkoympäristöön, jossa oleellista oli protokollien keveys ja vikasietoisuus, samaan aikaan kun käyttäjiin oletusarvoisesti saattoi luottaa.

Internetin ja TCP/IP-protokollaperheen suunnittelussa ei alunperin huomioitu tietoturvallisuutta vaan keskityttiin tietoliikenteen toimivuuden varmistamiseen. Esimerkiksi TCP/IP:in perusprotokollat eivät itsessään tarjoa ratkaisuja luotettavaan käyttäjien, dokumenttien ja eri tietoliikennelaitteiden tunnistamiseen tai tietoliikenteen salaamiseen. Organisaatioiden tulee huomioida TCP/IP-protokollaperheen tietoturvapuutteet ja ratkaista ongelmat sovellustasolla erilaisilla tietoturvaohjelmistoilla ja -ratkaisuilla. Käyttäjän kannalta valittujen tietoturvaratkaisuiden tulisi olla mahdollisimman helppokäyttöisiä ja läpinäkyviä.

Käyttäjille tarjottavat Internet–palvelut käyttävät sovellusprotokollia rajapintanaan  kuljetuskerrokseen. Käyttäjän ei itse tarvitse määritellä käytettävää sovellusprotokollaa. Esimerkiksi sähköpostia käyttäessään käyttäjä näkee sähköpostiohjelmiston käyttöliittymän, mutta ei välttämättä tiedä, että ohjelmisto käyttää muun muassa SMTPsovellusprotokollaa. WWW-palveluissa käytetään HTTP-protokollaa. HTTP-protokolla välittää esimerkiksi käyttäjän tunnistamistiedot selväkielisinä Internetin yli. Ne voidaan suojata käyttämällä SSL/TLS suojattuja yhteyksiä. SSL-protokolla sijoittuu TCI/ IP-protokollaperheessä sovelluskerroksen ja TCP/IP- kerroksien väliin. Kuvassa 6 on esitetty yleisimmin käytössä olevat sovellusprotokollat.

Telnet-protokollalla muodostetaan pääteyhteyksiä. Telnet on turvaton protokolla, koska esimerkiksi salasana ja siirrettävä tieto kulkevat tietoliikenneverkossa selväkielisenä. Edellä mainittu tietoturvariski koskee myös FTP-tiedonsiirtoprotokollaa (File Transfer Protocol). Telnet- ja FTP-protokollat ovat haavoittuvaisia yhteyden kaappaamiselle ilman suojaavia protokollia, joiden tilalla voidaan käyttää esimerkiksi SSH:ta.

SNMP-protokolla (Simple Network Management Protocol) käytetään tietoliikenneverkon hallintaan. SNMP:tä käyttämällä voidaan esimerkiksi selvittää tietoliikenneverkossa oleva vikaantunut laite ja estää tätä häiritsemästä tietoliikenneverkon toimintaa. SNMP käyttää liikennöintiin UDP-protokollaa ja SNMP-protokollan tietoturvallisuus uusista versioista huolimatta on heikko.

Sähköpostiliikenteeseen liittyviä sovellusprotokollia kuten SMTP, POP ja IMAP käsitellään luvussa 3.6.

2.3 Perusohjelmistot ja palvelut

Internetissä tiedonvaihtoa tapahtuu monilla sovellusprotokollilla, mutta suurimmaksi osaksi tiedonvaihto tapahtuu WWW-järjestelmää (World Wide Web) käyttämällä. Yksinkertaisimmillaan WWW-järjestelmä muodostuu kahdesta osasta: WWW-palvelimesta ja WWW-selaimista. WWW-palvelin tarjoaa palveluita ja tietoa Internetissä, joita käyttäjä pääsee WWW-selaimella käyttämään.

2.3.1 Selaimet

Selaimesta on muodostunut nykyaikaisen tietojenkäsittelyn peruskäyttöliittymäohjelmisto, jonka ominaisuuksien ymmärtäminen ja hallinta on organisaation tietoturvallisuuden kannalta tärkeää varsinkin, kun selain on usein myös tiedoston hallinnan tai tietojärjestelmien käyttöliittymä. Tästä syystä selaimen tietoturvallisuuden hallinta on ajateltava laajemmin kuin pelkästään Internet-käytön kannalta.

Selaimen perusominaisuus on ns. hypertekstidokumenttien suorittaminen siten, että ne ovat kuvaruudulta luettavissa HTML-standardin määrittelemässä muodossa. Selaimen perustietoturvaominaisuuksiin kuuluu saman alkuperän sääntö, eli se, että eri sivustoilta peräisin tai niiden käsittelyyn liittyvät tiedot (esim. käyttäjän antamat syötteet, evästeet) on suojattu muiden sivustojen käsittelyltä. Esimerkiksi silloin, kun selaimessa on avoinna useita ikkunoita joihin käyttäjä voi antaa syötteitä. Toinen keskeinen tietoturvaominaisuus on se, että käyttäjän koneelle voi selailun yhteydessä tallentua vain tarkoin määriteltyjä tietoja. Selaimen tietoturvallisuudessa huomioitavia seikkoja ovat:

EVÄSTEET
Eväste on tiedosto tai merkkijono, johon sivu tai sivusto voi selailuun liittyen tallentaa haluamiaan tietoja. Eväste voi olla istuntokohtainen, pysyvä tai määräaikainen. Yleensä evästeen avulla sivusto muistaa sen koneen, joka on sivua aikaisemmin käsitellyt. Evästeeseen voidaan tallentaa esimerkiksi vaarattomia käyttäjän valitsemia sivun ulkoasuun liittyviä profiilitietoja, mutta myös käyttäjän tietosuojan kannalta arveluttavia tietoja. Ongelma on tällöin se, että evästettä ei ole suojattu ulkopuolisilta kiintolevyllä eikä tietoliikenteessä[4].

VÄLIMUISTIT
Selain tallentaa selaimeen haettuja sivuja työaseman levylle sivujen mahdollista uudelleenkäyttöä varten, jotta niitä ei tarvitse (kaikilta osin) hakea alkuperäisestä osoitteesta uudelleen. Välimuisti voi olla tietosuojariski yhteiskäytössä olevilla laitteilla. Ainakin asiointijärjestelmissä on syytä ohjeistaa käyttäjää tyhjentämään välimuisti, jos järjestelmää käytetään yhteiskäyttöisessä laitteessa.

Muita vastaavia tallentuvia tietoja voivat olla
• selaushistoria
• käyttäjän tallentamat “suosikit” (bookmarks)
• käyttäjätunnusten/ salasanojen tallennus/ lomakkeiden automaattitäydennys

Myös näihin liittyy samankaltaisia tietoturva- ja tietosuojariskejä, joten ko. tiedot on joko oltava suojattuna muilta käyttäjiltä tai niiden poisto tai estäminen on hallittava.

VALINNANVARAISET LISÄOHJELMAT
Selainten asennusvaiheessa on valittavissa joukko lisäominaisuuksia, esimerkiksi selailun graafisiin ominaisuuksiin liittyviä, video-, animaatio-, ääni- ym. tiedostoformaattien käsittelyyn tai viestintään liittyviä lisäosia. Näiden lisäosien valinta ja käyttöönotto on syytä tehdä organisaation tietoturvapolitiikan mukaisesti lähtien siitä, millainen tietojenkäsittely on organisaation toiminnan kannalta tarpeellista ja mitä lisäuhkia eri lisäohjelmista voi seurata. Uhkia ovat mm. tietyntyyppisten haittaohjelmien pääsy verkkoon, tietoliikenteen tukkeutuminen ja väärinkäytökset johtuen käyttäjien puutteellisesta ohjeistamisesta. Esimerkiksi päätöksellä siitä, asennetaanko selaimen yhteydessä tietyt ohjelmakomponentit, voidaan joko mahdollistaa tai estää joidenkin
haittaohjelmien toiminta. Joka tapauksessa lisäosien valinta ja asennus on syytä tehdä teknisten asiantuntijoiden toimesta eikä sallia käyttäjien itse ladata ja asentaa lisäohjelmia.

VERKOSTA LATAUTUVAT TOIMINTEET
Pysyvien ohjelmakomponenttien lisäksi tietoturvallisuuden kannalta huomion arvoisia ovat HTML-dokumentteihin sulautetut suoritettavat komponentit. Näiden avulla voidaan esimerkiksi lisätä HTML-dokumentteihin dynaamisia ominaisuuksia. Suoritettavia komponentteja ovat esimerkiksi JavaScriptit, joilla voidaan komentokielityyppisesti käsitellä selaimen oliomallin kautta HTML-dokumentin osia halutulla tavalla. Muita suoritettavia ja latautuvia komponentteja ovat Java-ohjelmat joiden tietoturvaominaisuuksiin kuuluu toiminta “hiekkalaatikon sisällä”, jolloin ohjelmalla ei ole pääsyä työaseman kiintolevylle ja sovellusarkkitehtuuri sisältää luotettavan tietoturvamallin. Suoritettavien komponenttien avulla voidaan suorittaa raskasta ja vaativaakin käsittelyä, kuten erilaisia tietokantahakuja ja tiedostokäsittelyjä. Jollakin suoritusohjelmilla, kuten ActiveX, voidaan suorittaa käyttäjän koneella mitä tahansa tietojen käsittelyä. JavaScript ja Java tarvitsevat toimiakseen erillisen suoritusaikaisen lisäosan.

Latautuvien toiminteiden käytön mahdollistamiseen pitää suhtautua erittäin varovaisesti ottaen huomioon:

• tarvitaanko toiminteita joissakin tilanteissa
• voidaanko niiden alkuperä todentaa esim. sähköisillä allekirjoituksilla
• voidaanko käyttö konfiguroida antamalla käytölle lisäehtoja, esim. käyttäjän hyväksyntä tai riittävän luotettava alkuperän todennus

Lähtökohtana voidaan pitää, että muiden kuin JavaScriptin salliminen vaatii erityisiä perusteluja sekä käytölle että selvitystä ja tietoutta siitä, miten käyttöön liittyvät riskit hallitaan.

2.3.2 WWW-palvelinohjelmistot

Internet-käyttö perustuu nykyään pitkälti WWW-järjestelmiin. WWW on maailmanlaajuinen hypermediaverkosto, joka koostuu palvelimista ja niihin talletetuista hypermediadokumenteista. Nämä HTML-kielellä (HyperText Markup Language) koodatut tiedostot voivat sisältää tekstiä, kuvia, ääntä, grafiikkaa ja videokuvaa. Dokumentit kytketään toisiinsa hyperlinkeillä. Palvelussa tiedostojen siirtoon käytetty protokolla on HTTP (HyperText Transfer Protocol). Tällaisen linkin kautta voidaan siirtyä viitattuun dokumenttiin, joka voi sijaita myös toisella palvelimella. Järjestelmä voi myös toimia edustapalveluna taustalla olevaan tietojärjestelmään ja WWW onkin nykyään yleinen edusta erilaisille tietokannoille.

WWW-dokumentteja haetaan käyttöliittymien eli selaimien avulla. Kun käyttäjä antaa halutun dokumentin URL-osoitteen (Universal Resource Locator), selain ottaa yhteyden ko. koneeseen ja pyytää kyseistä tiedostoa. HTML-koodatun sivun yhteydessä haetaan myös yleensä sivulle määritellyt muissa tiedostoissa olevat elementit, kuten kuvat, mukaan. Tiedosto tulkitaan sen tyypin mukaisesti (palvelin ilmoittaa tiedoston MIME-tyypin (Multipurpose Internet Mail Extension)) ja näytetään selaimen tulkitsemalla tavalla.

URL on tapa viitata verkossa oleviin dokumentteihin. URL:n rakenne on seuraavanlainen: protokolla://kone/hakemistopolku/tiedosto. On huomattava, että protokolla voi olla muukin kuin HTTP-protokolla, esimerkiksi HTTPS tai FTP. Protokollien RFC-standardit ovat haettavissa esimerkiksi sivulta http://www.ietf.org/rfc.html. Käytettyjä tiedonvälitysprotokollia tukevat erilaiset sovellukset, kuten WWW-, FTP- tai sähköpostiohjelmistot. 

2.3.3 Perusohjelmistojen tietoturvanäkökohtia

Internet-infrastruktuurin eri käyttötapojen teknisen tietoturvallisuuden suurin haaste on eri käyttötapoihin liittyvien ohjelmistojen tietoturvallisuuden hallinta. Tietoturvallisuuden hallinnan kannalta on otettava huomioon ohjelmistojen integrointi ja ohjelmavirheiden hallinta.

OHJELMISTOINTEGRAATIO
Nykyaikainen tietojenkäsittely perustuu ohjelmistoarkkitehtuureihin, joissa ohjelmat kootaan osittain yleiskäyttöisistä komponenteista. Toisaalta ohjelmistot ja sovellukset pyritään tiedon siirron ja käsittelyn tehostamiseksi integroimaan sekä esim. käyttäjän työpöydällä että koko tietojenkäsittelyketjun osalta mahdollisimman saumattomiksi kokonaisuuksiksi. Tällöin ongelmaksi muodostuu se, miten hallitaan sovellusarkkitehtuurin yksittäisissä osissa tehtyjen valintojen vaikutus kokonaisuuteen (esim. selaimen tietoturvallisuusasetukset voivat vaikuttaa sähköpostiohjelman toimintaan tai tekstinkäsittelyohjelman automaattitoiminnot voivat olla ohjattavissa sähköpostiviestistä käsin). Lisäksi on tiedettävä (dokumentaatio ja/ tai lähdekoodi) yksittäisten ohjelmistojen toiminta riittävässä määrin ja ohjelmiston toiminnot on todennettava sekä erikseen että yhdessä muiden ohjelmien kanssa (testaus).

Sovellusten ja tietojenkäsittelyn integraatio on kehityssuunta, jossa ollaan menossa yhä laajempiin kokonaisuuksiin. Esimerkiksi WWW-sovelluspalvelut joissa järjestelmiä ja niiden palveluita ja tietoja voidaan integroida yli organisaatiorajojen tai “grid computing” eli suoritinresurssien virtuaalinen keskittäminen[5]. Jälkimmäinen tarkoittaa tietojenkäsittelyresurssien yhdistämistä verkon kautta, jolloin päästään jopa supertietokoneiden käsittelykapasiteetteihin. Suurempien kokonaisuuksien hallinta edellyttää entistä vahvempaa pohjaa järjestelmäarkkitehtuurien tietoturvamalleilta ja -toteutuksilta.

YLLÄPITO JA MUUTOSTENHALLINTA
Monimutkaisten ohjelmistokokonaisuuksien hallinnan haasteellisuutta lisäävät  tietokoneohjelmistoissa tyypillisesti esiintyvät ohjelmointi- ja/tai suunnitteluvirheet. Tämä aiheuttaa sen, että varsinkin Internetiin joko välillisesti tai suoraan yhteydessä olevien järjestelmien tietoturvallisuuteen vaikuttavien ohjelmistovirheiden löytymisen seurannan ja ohjelmistovirheiden paikkausohjelmien käyttöönoton on oltava käyttäjäorganisaatioissa jatkuva prosessi. Prosessin on toimittava riippumatta siitä, mikä on ohjelmistovirheongelman syy.

Tyypillinen esimerkki ohjelmointivirheestä, jonka kautta voi Internetiin yhteydessä olevaan järjestelmään muodostua järjestelmään pääsyn mahdollistava aukko, on ns. puskurin ylivuoto. Puskurin ylivuoto siitä, että järjestelmän ohjelmoinnissa ei ole huomioitu ylisuurten, liian pienten tai muuten väärän muotoisten syötteiden tarkistusta ja jatkokäsittelyn estoa. Tällöin järjestelmä saattaa joutua tilaan, jossa sille voidaan syötteenä antaa suoritettavaa koodia, jonka järjestelmä suorittaa ja tilanteesta riippuen esimerkiksi avaa jonkin tasoisen pääsyn järjestelmään tai antaa ulos tietoja, joiden pitäisi olla vain valtuutettujen käyttäjien saatavilla. Erityisesti tätä virhetyyppiä on löytynyt ja löytyy jatkossa verkko-, verkkopalvelin- ja työasemaohjelmistoista.

Koska ohjelmistovirheiden löytymis- ja sitä seuraava korjausprosessi on osittain sekä virheiden löytäjien että ohjelmistotoimittajan toiminnasta ja aktiivisuudesta riippuva asia, Internetiin liitettyjen järjestelmien tietoturvallisuudesta tulee huolehtia kattavasti. Tällöin on järjestelmien haavoittuvuus otettava huomioon sekä Internetiin yhteydessä olevien järjestelmien muissa suojauksissa, asennuksissa ja valvonnassa että tarvittaessa huolehdittava korkeaa suojaustasoa edellyttävien järjestelmien riittävästä tai mahdollisesti täydellisestä eristämisestä Internet-palveluista.

2.4 Internet-verkon ja sen käytön haavoittuvuuksista

Internetin käytöstä aiheutuu käyttötavoista riippuen uhkia. Ne kohdistuvat tietoihin ja toimintoihin sekä organisaation omassa verkossa ja järjestelmissä että käytettäessä Internetiä tiedonsiirtoverkkona.

Tiedon siirron ja palvelukanavana käytön osalta uhkia voidaan luokitella lähtien tietoturvallisuuden perusnäkökulmista tiedon luottamuksellisuudesta, eheydestä ja käytettävyydestä.

Internetissä kaikki salaamattomana välitetty tietoliikenne on altista luvattomalle seurannalle. Seurannan havaitseminen on usein mahdotonta. Palvelutarjoajien koneisiin saattaa jäädä kopioita välitetyistä viesteistä tai lokitietoja, joiden perusteella voidaan verkonkäyttötoimintoja hyvinkin yksilöivästi seurata. Tästä syystä tiedon luottamuksellisuuden kannalta lähtökohta on aina, että Internet on avoin verkko. Tällöin on kaikkien käyttötapojen osalta erikseen lähdettävä (a) siitä, että vain julkista tietoa välitetään Internetissä salaamatta. Tämä merkitsee sitä, että organisaation on myös hallittava käyttö niin, ettei salassa pidettävää tietoa sitä salaamatta välitetä Internetissä. Mikäli (b) Internet-verkkoa käytetään salassa pidettävän tiedon siirtoon tulee käyttää tiedon arvon kannalta oikein mitoitettuja salausmenetelmiä tiedon välittämisessä. Tiedon joutuminen vääriin käsiin ei välttämättä edellytä teknisesti vaativaa salakuuntelua esimerkiksi linjayhteyksiin kytkeytymällä. Se voi tapahtua tiedon normaalin kulun yhteydessä tilanteissa ja paikoissa, jossa luottamuksellisuuden menettäminen ei ole viranomaisen havaittavissa tai edes Suomen lainsäädännön ulottuvissa.

Tiedon eheyden kannalta Internetin perusprotokollat huolehtivat osittain teknisen tason oikeellisuudesta niin, että lähetetty tieto yleensä on myös luettavissa saman muotoisena. Mikäli eheyteen luetaan tiedon alkuperän todennettavuus tai se, että tiedolla on jokin arvo esimerkiksi raha-arvoa omaavien tapahtumien todisteena, niin Internetin perusominaisuudet eivät sellaisenaan tai perus- tai sovellusprotokollien kautta saatavienkaan osoite- tms. tietojen perusteella pohjaa tapahtumien aukottomalle todistamiselle. Konkreettisena uhkana tästä seuraa, että asiointijärjestelmät ilman vahvoja tietoturvaominaisuuksia ovat erittäin alttiita ja suojattomia esimerkiksi petoksille, väärennyksille ja muille väärinkäytöksille.

Käytettävyyden kannalta Internet-verkon toimintavarmuus on käytännössä osoittautunut melko hyväksi. Perusprotokollissa on ominaisuuksia, jotka tukevat virhetilanteiden hallintaa ja tietoliikenteen uudelleenreititystä ohi ongelmallisten paikkojen. Jotkin verkon solmukohdat ovat haavoittuvia ja niissä tapahtuvat ongelmatilanteet voivat vaikuttaa laajalla alueella. Esimerkiksi nimipalvelun ollessa pois käytöstä Internetin normaali toiminta tietyllä verkon alueella estyy.

Organisaation sisäisen verkon kannalta Internet-liittymän kautta tulevat uhkat liittyvät luvattomaan järjestelmään ja verkkoon tunkeutumiseen, verkon kautta kulkeutuviin ns. haittaohjelmiin tai palvelun käytön estymiseen tahallisella palvelunestohyökkäyksellä tai näiden yhdistelmiin. Luvaton järjestelmään pääsy voi olla seurausta aktiivisesta ja tavoitteellisesta järjestelmään murtautumisesta. Se voi olla myös seurausta rutiininomaisesta tunkeutumisyrityksestä, jossa ensin testataan organisaation Internet- verkkoon päin näkyvän palvelun heikkouksia tavanomaisilla tunkeutujien apuvälineillä, ja näin löydettyjen aukkojen kautta löydetään tie verkon sisälle. Tämän jälkeen päästään käsiksi muun muassa organisaation salassa pidettäviin ja operatiivisiin tietoihin, jolloin aiheutetaan aina korjauskustannuksia organisaatiolle, mutta usein myös muuta vahinkoa.

Haittaohjelmat voivat levitä käyttäen mitä tahansa tiedonsiirtokanavaa, mutta pääasiassa ohjelmat käyttävät vertaisverkkoon perustuvia tiedostojakohjelmia, WWW-selailua ja sähköpostia leviämiskanavinaan. Haittaohjelmat aiheuttavat eri tasoista vahinkoa, kuten teknisen siivouksen tarvetta, tärkeiden tietojen turmeltumista tai häviämistä ja näistä aiheutuvia seurausvaikutuksia. Haittaohjelma voi myös sisältää ominaisuuksia, joiden avulla ulkopuolinen pääsee murtautumaan verkkoon[6].

Taustalla verkkoon murtautumisessa voi olla luonnollisesti myös tarkoituksellinen toiminta, jossa kohteena voivat viranomaisen toiminnan luonteesta riippuen olla esimerkiksi valtakunnan turvallisuuden kannalta tärkeät tiedot tai organisaation hallussa olevat liike- tai ammattisalaisuuksia sisältävät asiakastiedot.

Edellä mainitut ovat vain pieni osa mahdollisista Internetin käytöstä aiheutuvista tietoturvauhkista. Organisaation tulee järjestelmällisesti seurata Internetin tietoturvauhkia ja kartoittaa niiden vaikutuksia organisaatiolle. Kriittisiin tietoturvauhkiin tulee tarvittavin keinoin varautua esimerkiksi palomuurilla ja kieltämällä luottamuksellisen materiaalin lähettämisen salaamattomana Internetin välityksellä.

2.5 Yleisiä tietoturvaratkaisuja

Internet-verkon tietoturvallisuuden toteuttaminen edellyttää Internet-tekniikan ymmärtämistä. Suuri osa tietomurtotapahtumista perustuu Internet-verkon elementtien ja tietoliikenneprotokollien tuntemiseen ja osaamiseen. Jotta Internet-verkon kaikki elementit, kuten laitteet ja osoitteet, eivät olisi kaikkien väärinkäyttäjienkin käytettävissä, tarvitaan erilaisia suojausmenetelmiä.

Tärkeimpiä näistä suojausmenetelmistä on kuvattu tässä luvussa. Käyttäjien tunnistaminen ja todentaminen on yksi tärkeimmistä elementeistä Internetissä tarjottavien palveluiden turvaamiseksi. Muita suojausmekanismeja ovat mm. tietoliikenteen salaus, haittaohjelmien torjunta, sisäverkon suojaaminen palomuurilla, tunkeutumisen havainnointi sekä tietoturvauhkien ja haavoittuvuuksien jatkuva seuranta.

2.5.1 Tunnistaminen, todentaminen ja pääsynvalvonta

Internet-perusprotokollat luovat mahdollisuudet löytää laitteita (IP-osoitteet), niihin liittyviä palveluita ja ohjelmia (portit), asiakirjoja ja niiden hakupolkuja (URL), joissakin sovellusprotokollissa on ominaisuuksia (käyttäjätunnus ja salasana), joilla voidaan kirjoittautua järjestelmiin (telnet ym.) etukäteen määritellyillä tunnuksilla tai tunnistaa viestin lähettäjä (sähköpostiosoite).

Alkuperäiset Internet-protokollien tunnistamis- ja varsinkin todentamisratkaisut ovat kuitenkin vaativaa käyttöä ajatellen muun muassa helposti väärennettävissä (sähköpostisoite) tai käytettävissä väärin (selväkielisen tai heikosti salatun salasanan paljastuminen verkossa). Tästä syystä monia Internet-käyttötapoja suunniteltaessa on otettava kantaa ja tarvittaessa ratkaistava käyttäjän tai asiakkaan tunnistamisen tarve verkossa ja tunnistamistekniikan tietoturvallisuudelta edellytettävä taso.

Asiakkaan, käyttäjän tai muun kohteen yksilöinnin osalta on eriteltävä tunnistaminen ja todentaminen. Voidaan ajatella, että tunnistaminen verkossa perustuu pelkästään johonkin tekniseen tunnukseen, joka voi olla esimerkiksi henkilön nimi, asiakasnumero, dokumentin nimi, sähköpostiosoite. Tunniste voi sinänsä olla täysin väärennettävissä ilman todentamiseen liittyviä sekä teknisiä että hallinnollisia, tarvittaessa mahdollisimman aukottomia menettelyitä.

Koska tietoverkon käyttäjällä ei voi olla toisesta tietoverkon käyttäjästä mitään havaintomateriaalia, katsotaan, että ns. vahva todentaminen edellyttää vähintään kahta seuraavista asioista:

• Jotakin mitä käyttäjä tietää (esimerkiksi salasana, PIN-koodi)

• Jotakin mitä käyttäjällä on hallussaan (esimerkiksi sähköinen . tunniste- tai henkilökortti)

• Jotakin mitä käyttäjä on (esimerkiksi sormenjälkitunnistus)

Käyttäjätunnus ja salasana ovat perinteisesti riittäneet tunnistamiseen ja todentamiseen suljetuissa järjestelmissä. Myös Internetissä salasanan suojaus on järjestettävissä salauksella riittävän turvalliseksi, jolloin sitä voidaan käyttää ennalta rekisteröityjen käyttäjien todentamiseen, suositeltavimmin kertakäyttösalasanojen avulla[7].

Tietoturvallisuuden kannalta vahvin eli suositeltavin ratkaisu on laatuvarmenteen kriteerit täyttävä toimikortti-PIN-yhdistelmä.

Vahvan tunnistamisen lisäksi avoimessa verkossa tapahtuva asiakkaan todentaminen edellyttää hallinnollisesti ja ohjelmistoteknisesti luotettavaa ja toisaalta päällekkäistä työtä ehkäisevää ratkaisua.

Ohjelmistoteknisesti ratkaisu, jossa tunnistettava henkilö täytyy fyysisesti todentaa vain kerran, on toteutettu ns. epäsymmetrisellä salauksella. Menetelmässä sähköisen identiteetin saaja saa henkilökohtaisen, julkisen ns. varmentajan myöntämän varmenteen. Varmenne käsittää myös yksityisen avaimen, jolla salatut viestit voidaan matemaattisesti todistetun algoritmin perusteella todentaa olevan peräisin yksityisen avaimen haltijalta. Viesti saadaan avattua lähettäjän asianmukaisesti varmennetulla julkisella avaimella.

Todentaminen perustuu siis kolmeen asiaan: käyttäjän julkiseen avaimeen (public key), käyttäjän yksityiseen avaimeen (private key) ja luotettuun kolmanteen osapuoleen (TTP = trusted third party). Käyttäjän julkinen avain on sähköisen asioinnin muiden osapuolten tiedossa, mutta yksityinen avain on henkilökohtainen. Käyttäjä ei saa paljastaa/ luovuttaa salaista avaintaan kenellekään. Luotettu kolmas osapuoli varmistaa käyttäjän varmenteen, jolloin voidaan olla varmoja siitä, että varmenne kuuluu kyseiselle henkilölle.

Julkisen avaimen järjestelmällä (Public Key Infrastructure, PKI) voidaan taata myös tapahtuman kiistämättömyys. Kiistämättömyyteen tarvitaan sähköinen allekirjoitus, jossa yksityisellä avaimella allekirjoitetaan (luodaan datasta yksisuuntainen tiiviste). Tällöin vastaanottaja varmistaa laskemalla tiivisteen uudelleen lähettäjän julkisella avaimella olevien tietojen avulla ja vertaamalla tiivistettä alkuperäiseen tiivisteeseen, että oli tekemisissä juuri oikean varmenteen kanssa.

Laatuvarmenteiden käyttöön perustuvaan tunnistus- ja todennusmenettelyyn kuuluu lisäksi muun muassa:

• varmentajan ja varmenteen haltijan vastuiden määrittely

• yksityisen avaimen salassapidon varmistava tekniikka niin, ettei avain ole kopioitavissa

• menettelyt yksityisen avaimen (esim. toimikortti) joutuessa vääriin käsiin (ilmoitus sulkulistalle)

• käytettävien salausmenetelmien tekninen vahvuus.

Laatuvarmenteiden käyttöä Suomessa valvoo viestintävirasto. Tällä hetkellä (kevät 2003) ainoa laatuvarmenteiden tarjoaja Suomessa on Väestörekisterikeskus. Lisätietoja Väestörekisterikeskuksen varmennepalveluista ja sähköisestä henkilökortista löytyy osoitteesta http://www.sahkoinenhenkilokortti.fi/. Kuvassa 7 on esimerkki osapuolten todentamisesta PKI-ratkaisussa.

Mikäli käyttäjää ei verkkokäytössä tai palvelussa tunnisteta, käytön sanotaan olevan anonyymiä. Käyttäjää tai asiakasta ei pidä tunnistaa tavallisissa tiedon, lomakkeiden tms. hakupalveluissa, joissa ei viranomaisen suuntaan tarvita asiakasta yksilöivää tiedon siirtoa.

Vahvoja tunnistusmenetelmiä voi olla tarpeen käyttää myös esimerkiksi dokumentin aitouden todentamiseen, WWW-sivuston todentamiseen tai yksittäisen palvelinlaitteen todentamiseen.

Dokumentin alkuperä voidaan todentaa käyttämällä sähköisiä allekirjoituksia. WWW-sivusto voidaan todentaa varmenteilla. Suljetussa verkossa oleva yksittäinen palvelinlaite voidaan tunnistaa käyttämällä IPSec-suojaukseen perustuvaa menetelmää.

Esimerkiksi IPSec-suojausta käytettäessä verkon ylläpitäjä allekirjoittaa jokaisen laitteen julkisen avaimen omalla yksityisellä avaimellaan. Tämän jälkeen jokaisella verkon laitteella on hallussaan:

• laitteen oma yksityinen avain (pidettävä salaisena)

• laitteen julkinen avain

• ylläpitäjän allekirjoittama laitteen julkisen avaimen varmenne ja

• ylläpitäjän julkinen avain.

Kun verkon laitteet ottavat keskenään yhteyttä, ne antavat yhteyskumppanilleen oman julkisen avaimensa ja varmenteensa sekä tarkistavat vastapuolelta saamansa varmenteen allekirjoituksen. Seuraavaksi kumpikin kone varmistaa, että toisella osapuolella on hallussa julkista avainta vastaava yksityinen avain. Tämän jälkeen osapuolet ’luottavat toisiinsa’ ja voivat vaihtaa salattua tietoa[8].

Internet-palveluiden käytön helpottamiseksi eräät ohjelmistotoimittajat tai näiden yhteenliittymät ovat kehittämässä kertakirjautumisjärjestelmiä[9] (Single Sign On) tietojärjestelmiin ja verkkopalveluihin. Kertakirjautumisjärjestelmässä käyttäjällä on ainoastaan yksi salasana, jolla hän voi yhdellä kirjautumisella saada pääsy- ja käyttöoikeudet useampaan tietojärjestelmään.  WWW-kertakirjautumistekniikat eivät ratkaise valtionhallinnon Internet-palveluiden todentamistarpeita.

2.5.2 Tietoliikenteen salaus

Tietotekniikassa salaus on menetelmä, jolla tieto voidaan muuttaa lukukelvottomaksi kaikille muille kuin oikean salausavaimen haltijalle. Hyvät tietotekniset salausmenetelmät perustuvat siihen, ettei salattua tietoa saada luettavaksi muulla tavoin kuin tietämällä oikea salausavain (= symmetrisessä salauksessa sama kuin purkuavain, epäsymmetrisessä eri) tai kokeilemalla esim. ohjelmallisesti kaikkia mahdollisia avaimen eri bittijonovaihtoehtoja. Mikäli avaimen pituus on riittävä, jälkimmäinen ei käytännössä ole mahdollinen edes suurkoneen suoritusteholla.

Salauksen toteutus eroaa hieman riippuen siitä, käytetäänkö salausta tietojen säilytyksessä vai tietojen siirrossa. Tietojen säilytyksessä on tärkeää, että salaus on aina tarpeen mukaan purettavissa, jolloin organisaatiotasolla on otettava kantaa yksityisten salausavainten varmuuskopiointiin ja palautukseen. Salaus on ainoa tehokas tapa toteuttaa salassa pidettävän tiedon välitys Internet-verkossa.

Koska symmetrisessä salauksessa salausavain on sama kuin purkuavain, on ratkaistava avaimen välitys tiedon saajalle. Käytännössä salausohjelmisto luo istuntokohtaisen symmetrisen avaimen, joka välitetään vastaanottajalle epäsymmetrisesti salattuna. Tällöin lähettäjällä ja vastaanottajalla tarvitsee olla hallussaan vain epäsymmetrisessä salauksessa käytetyt avaimet. Lähettäjällä vastaanottajan julkinen avain ja vastaanottajalla oma yksityinen avain.

Tietoliikenteen salauksessa tulee huomioida seuraavat asiat:

• Virustorjunta- ja tunkeutumisen havainnointiohjelmistot eivät pysty tutkimaan salattua tietoliikennettä.

• Tiedon salassapidon kannalta paras vaihtoehto on salata tietoliikenne käyttäjältä käyttäjälle, mutta tällöin ongelmaksi muodostuu tietojen tarkastaminen esimerkiksi viruksista.

• Suositeltavin vaihtoehto on salata tietoliikenne palomuuriin asti, jossa salattu tieto puretaan ja välitetään virustorjunta- ja tunkeutumisen havainnointiohjelmiston tarkastettavaksi.

Salausmenetelmää valittaessa tulee huomioida seuraavat asiat:

• Salauksen teoreettinen vahvuus ei aina vastaa salauksen vahvuutta käytännössä. Esimerkiksi käyttäjän valitsema salasana salauksen purkuavaimelle on useimmiten liian lyhyt ja salasana muodostuu pelkistä pienistä kirjaimista. Tällöin teoreettisesti vahva salaus heikkenee.

• Valitun salausmenetelmän tulee olla käyttäjälle mahdollisimman läpinäkyvä. Esimerkiksi useimmat yksityiset virtuaaliverkkoratkaisut eivät edellytä käyttäjältä muita toimenpiteitä kuin käyttäjän tunnistustietojen syöttämisen.

• Mitä vahvempi salaus, sitä enemmän salaaminen yleensä vaatii järjestelmältä suoritustehoa[10].

Seuraavassa on lyhyesti esitelty yleisimmin käytettäviä tietoliikenteen salaamisen tietoturvamekanismeja:

IPSec

• Suunniteltu suojaamaan IP-pakettien luottamuksellisuutta sekä havaitsemaan niihin kohdistuvia väärennysyrityksiä.

• Salaa ja sinetöi kuljetus- ja sovellusdatan tiedonsiirron aikana.

• Voidaan hyödyntää muun muassa palvelinlaitteiden luottamussuhteiden luomiseen.

• Käytetään VPN-yhteyksissä.

SSL (Secure Socket Layer)

• Suojataan pääasiallisesti WWW-sovellusten tai sähköpostikäyttöohjelmien välistä tiedonsiirtoa käyttäjän työaseman ja palvelimen välillä.

• Sisältyy yleisimpiin WWW-selaimiin.

• Viimeisintä SSL-parannusta kutsutaan TLS:ksi (Transport Layer Security)

SSH (Secure Shell)

• Suojattuihin pääteyhteyksiin ja tiedonsiirtoihin kehitetty tietoturvaprotokolla, joka soveltuu hyvin järjestelmien etähallintaan.

• Korvaa mm. turvattomat Telnet, FTP, ja r-komennot.

• Käytetään yleisesti myös sovellustason VPN-ratkaisuna

• Perustuu vahvojen salausmenetelmien käyttöön.

• Monenkertaiset vahvat todennusmenetelmät perustuen esimerkiksi julkisiin avaimiin.

Yksityiset virtuaaliverkot (Virtual Private Network, VPN) ovat palomuuriratkaisun osatekijöitä erityisesti silloin, kun organisaation verkkoja yhdistetään epäluotettavan verkon (Internet) yli. VPN-yhteyksillä suojataan yleensä etäkäyttäjiä tai organisaation verkkoja, jotka fyysisesti ovat erillisiä. Myös organisaation sisäverkko voi olla epäluotettava, erityisesti jos siirrettävä tieto ei ole tarkoitettu kaikille organisaation jäsenille. Tällöin sisäverkon liikenne on syytä suojata. VPN-yhteydet perustuvat salaaviin protokolliin, kuten IPSec, joiden avulla muodostetaan salattuyhteys kahden VPN-palvelimen välille.

•  VPN (Virtual Private Network)

•• Liitetään kaksi etäpistettä Internetin välityksellä turvallisesti toisiinsa

•• VPN-yhteyksissä käytetään yleisimmin edellä mainittua IPSec-protokollaa. Muita käytössä olevia VPN-protokollia ovat mm. Microsoftin PPTP (Point-to-Point Tunneling Protocol ja Secure Tunnel Establishment Protocol (STEP)

•• Kustannustehokkaampi ja skaalautuvampi vaihtoehto kuin kiinteät yhteydet (esimerkiksi X.25 tai frame relay)

VPN-palvelut on yleensä helpointa sijoittaa palomuurilaitteeseen, koska tällöin voidaan tietoliikennettä seurata myös näiden yhteyksien osalta ja poistaa mahdolliset VPN-yhteyksien kautta tulevat haittaohjelmat. Lisäksi palomuurin ylläpito yksinkertaistuu, kun VPN-yhteydet salataan vain palomuurilaitteeseen asti[11].

2.5.3 Haittaohjelmien torjunta

Internetin käytön suurimpia uhkatekijöitä ovat erilaiset haittaohjelmat, kuten madot, virukset, Troijan Hevoset ja erilaiset ’vakoiluohjelmat’ (Spyware). Haittaohjelmien avulla hakkerit pyrkivät vahingoittamaan organisaation tietojärjestelmiä, mahdollisuuksien mukaan tunkeutumaan tietojärjestelmiin tai seuraamaan yksittäisten käyttäjien toiminnasta aiheutuneita tietoturva-aukkoja.

Haittaohjelmien torjunnassa tärkein puolustusmekanismi on ennaltaehkäisy, joka toteutetaan käyttöohjelmistojen oikealla asennuksella ja turvallisuusaukkojen paikkaamisella sekä yhdellä tai useammalla oikein asennetuilla automaattisesti päivittyvällä virustorjuntaohjelmalla. Koska haittaohjelmat voivat olla merkittävä tietoturvauhka minkä tahansa organisaation toiminnalle, liittyy niiden torjunta olennaisesti myös organisaation verkon ja järjestelmien suojaamiseen. Monissa organisaatioissa haittaohjelmien torjunta vaatii monentasoista toimintaa, kuten palvelinten ja työasemien virustorjuntaohjelmat, evästeiden ja mainosten hallintaohjelmistoja sekä erillisen tietoliikenteen, lähinnä sähköpostin tarkastuksessa käytetyn, virustorjuntaohjelman8.

Järjestelmiin asennettuja ylimääräisiä portteja voidaan käyttää myös Troijan Hevosten ja muiden haittaohjelmien asennuksessa. Taulukossa 1 on esitetty joitakin yleisesti esiintyviä Troijan Hevosia.

Taulukko 1. Esimerkki tunnetuista TCP/IP –portteja hyödyntävistä Troijan Hevosista

TCP/IP -portteja ja troijalaisia, jotka käyttävät näitä portteja

PROTOKOLLA

FTP

PORTTINUMERO
20 ja 21

TROIJALAINEN

Senna Spy FTP Server,
Blade Runner, Dark FTP, jne.

SSH                                         22                                       Adore sshd, Shaft

Telnet

23

ADM worm, Fire HacKer,
Telnet Pro, jne.

SMTP                                      25                          I love you, Stealth, WinSpy, jne.

HTTP

80

Seven Eleven, Back Orifice 2000
Plug-Ins, RTB 666, jne.

Ei varattu                                 1243                                                                     Sub Seven

Ei varattu

12346

Net Bus/Net Bus Pro käyttää
porttia 20034

Ei varattu                                                     54320                        Black Orifice 2000 (oletusportti)

Tietoliikenteen mukana kulkeutuvien haittaohjelmien havainnointi voi olla ongelma silloin, kun tietoliikenne on salattua. Siksi on tärkeää, että organisaatiossa on selvät toimintasäännöt, kuinka haittaohjelmien torjuntaohjelmisto käsittelee esimerkiksi salatut sähköpostin mukana tulevat  liitetiedostot.

2.5.4 Palomuuri

Palomuuri on laitteisto ja/tai ohjelmisto (abstraktimmin suojausrajapinta), jonka tehtävä on rajoittaa pääsyä sen taustalla olevaan suojattuun verkkoon. Palomuuri on tietoliikenteen valvontamekanismi, joka ei yksittäisenä laitteena tai ohjelmistona tarjoa täydellistä suojaa, mutta yhdessä toimivan tietoliikenteen seurannan kanssa muodostaa tärkeimmän suojausrajapinnan organisaation Internet-yhteydelle. Palomuurista ei ole hyötyä, jos se voidaan kiertää tai se asennetaan väärin.

Palomuurilaitteisto sijoitetaan Internet-yhteyksien yhteydessä suojattavan lähiverkon ja avoimen Internet-verkon väliin. Kaikki yhteydet suojattuun verkkoon ja verkosta ulos kulkevat palomuurin kautta ja palomuuriin määritellään, mitä yhteyksiä päästetään läpi. Palomuurin sääntöjen määrittelyyn on kaksi perusvaihtoehtoa: joko estetään pääsy tiettyihin palveluihin tai laitteisiin, tai estetään pääsy kaikkiin (paitsi erikseen sallittuihin) laitteisiin ja palveluihin. Jälkimmäinen on hallittavuuden kannalta ehdottomasti parempi.

Tehokkaan ja toimivan palomuuriratkaisun lähtökohta on perusteellinen topologinen suunnittelu ja toteutus. Koska Internetin käyttötavat vaihtelevat, voi myös tietoturvavaatimuksiltaan erilaisten käyttötapojen palomuuritopologia vaihdella (esimerkiksi palomuureja voi olla useita), mutta yleensä palomuurin/en avulla toteutetaan erillinen/ erilliset eteisverkko/t.

Palomuurin topologiassa voidaan erotella toisistaan seuraavat osat (kuva 8) :

• Ulkoverkko (kuvassa Internet), johon ei luoteta.

• Eteisverkko, joka on omassa hallussa oleva verkkosegmentti, mutta käytettävän tarkoituksen tietoliikenneyhteydet ovat riittävän avoimia ja minimoituja. Ulkoverkkoon suunnatut palvelut sijoitetaan yleensä tähän verkkoon. Tämä verkko voidaan vielä jakaa julkisia Internet-palveluita tarjoa. vaan verkkoon ja rajoitetumpaan eteisverkkoon.

• Suljettu yksityisverkko, eli sisäverkko, jonne päästetään vain hyväksytty liikenne.

Kehittyneemmissä ratkaisuissa palomuuri voi myös rajoitetussa määrin valvoa tietoliikenteen sisältöä, esimerkiksi estää ActiveX-komponenttien lataamisen verkosta.

Palomuuri ei kuitenkaan tarjoa täydellistä suojaa tietoliikenteen kautta tulevia uhkia vastaan, vaan näitä tulee hallinnoida myös muilla tietoturvamekanismeilla. Alla on esitetty ominaisuuksia, joita valmistajat ovat lisänneet palomuureihinsa:

• Aikaisemmin mainitulla VPN-tekniikalla loogista sisäverkkoa voidaan laajentaa Internetin yli yhdistämään lähiverkkoja

• Verkko-osoitemuunnoksia (Network Address Translation, NAT), joiden avulla estetään sisäverkon verkko-osoitteiden näkyminen Internetiin

• Kuorman tasauksella hallitaan laitteiden suorituskykyyn liittyviä ongelmia jakamalla tietoliikennettä useammille laitteille

• Vikasietoisuusominaisuuksilla varustettua palomuurijärjestelmää voidaan käyttää, vaikka jokin osa palomuurijärjestelmästä ei toimisi

• Tunkeutumisen havainnoinnilla tehostetaan yhteyksien valvontaa (ks. 2.5.5)[12].

Palomuurit voidaan ryhmitellä toimintaperiaatteiden perusteella eri tyyppeihin, jotka ovat sovellusyhdyskäytävät, pakettisuodattimet ja hybridiratkaisut.

SOVELLUSYHDYSKÄYTÄVÄT
Sovellusyhdyskäytävä tarkoittaa sitä että palomuuri itse ottaa vastaan sovelluksien tietoliikenneyhteydet ja itse toteuttaa sovelluksen palveluita (ns. proxy-toiminto). Esimerkiksi SMTP-proxyna toimiva palomuuri ottaa ulkoverkon koneilta vastaan sähköposteja ja välittää sähköpostit sisäverkon postipalvelimelle.

Sovellusyhdyskäytäväpalomuuri voidaan toteuttaa eri tavoin, mutta olennaista on se, että palomuuri käyttää suodatuskriteereinä sovelluspalveluiden ominaisuuksia eikä IP-otsikoita, kuten liikenteen lähteen tai kohteen osoitteita. Tämä edellyttää usein asennusmuutoksia ohjelmistoihin, esimerkiksi FTP-asiakasohjelmiin on annettava palomuurin proxy-palvelun osoite.

Sovellusyhdyskäytäväperiaatteeseen perustuvat palomuurit ovat aina hitaampia kuin pakettisuodatinratkaisut. Pelkästään sovellusyhdyskäytävään perustuvat palomuuriratkaisut eivät sovellu vilkasliikenteisiin verkkoihin. Lisäksi tämä menetelmä vaatii, että palomuuri tunnistaa käytössä olevan sovellusprotokollan, joten ne eivät yleensä tue erikoisia tai paikallisesti kehitettyjä sovelluksia.

PAKETTISUODATUS
Pakettisuodatus päästää IP-paketit läpi sellaisenaan tiettyjen sääntöjen mukaan. Säännöt perustuvat yleensä IP-osoitteisiin, palveluiden osoitteisiin (TCP:n ja UDP:n portit) sekä tietoliikenteen suuntaan. Tavallisten reitittimien turvaominaisuudet riittävät jo tämäntyyppisiin toimintoihin. Olennaista on kuitenkin, että pakettisuodatin tarkastelee tietoliikennettä IP-paketti kerrallaan, näkemättä välttämättä tietoliikenteen kokonaisuutta. Edistyneemmät palomuurit pystyvät tunnistamaan yhteyden avauksen sisäverkosta ulkoverkkoon ja rajoittamaan yhteydet vain sisäverkosta avattuihin.

Pakettisuodatin voi tehdä tietoliikenteelle myös osoitemuunnoksia, jolloin sisäverkon koneiden osoitteet eivät näy ulospäin. Pakettisuodattimet ovat nopeita, mutta eivät yksin riitä organisaation sisäverkon suojaamiseen.

Tilapohjaiset palomuurit pitävät kirjaa istuntojen tiloista. Tämä ominaisuus mahdollistaa sen, että tilapohjaiset pakettisuodattimet voivat dynaamisesti avata liikenteen paluukanavan vasta kun sitä tarvitaan.

Käytännössä useimmat palomuurit ovat ns. hybridipalomuureja, jotka yhdistävät sekä sovellusyhdyskäytävän että tilapohjaisen pakettisuodattimen ominaisuuksia. Tällöin voidaan valita, mitkä palomuuritoiminnot toteutetaan sovellustasolla ja mitkä esimerkiksi nopeussyistä pakettisuodatustasolla.

2.5.5 Tunkeutumisen havainnointijärjestelmä

Tietoliikenteen lisääntyessä ei ylläpitäjien aika riitä kaiken liikenteen valvomiseen ja joissakin ympäristöissä palomuurien suojaustoiminnat ovat riittämättömiä Internetistä tuleviin monipuolistuviin tunkeutumisyrityksiin.

Tietoliikenteen seuraamiseksi on kehitetty tunkeutumisen havainnointijärjestelmiä (Intrusion Detection System, IDS). Järjestelmän toiminta perustuu verkon normaalin tietoliikenteen määrittämiseen, hyökkäysmallien kuvaamiseen, tietoliikenteen poikkeamien tunnistamiseen ja poikkeamien aiheuttamiin hälytyksiin.

Tunkeutumisen havainnointijärjestelmiä on kahta tyyppiä: isäntäkone- ja verkko-ohjelmia. Edellinen seuraa vain isäntälaitteen toimintoja ja ilmoittaa, jos sen levyjen tietosisällössä ohjelmistoissa, tietoliikenteessä tai prosesseissa on mainittavia muutoksia. Isäntälaiteohjelmistot (Host Intrusion Detection System HIDS) perustuvat yleensä agenttiohjelmiin, joita voidaan ’räätälöidä’ havainnoimaan myös ohjelmakohtaisia muutoksia, kuten pääsyoikeuksia.

Verkko-ohjelmisto (Network Intrusion Detection System NIDS) seuraa koko verkon tai yhden verkkosegmentin tapahtumia. Se on avuksi tietoliikenteen seuraamisessa, mutta se ei yksinään ilman huolellista ylläpitoa ja muita verkon turvamekanismeja ratkaise verkon tietoturvaongelmia. Järjestelmän käyttöä voidaan harkita vasta, kun tietoliikenteen seuranta ja muut tietoliikennejärjestelmien lokien käsittelyt on järjestetty ja seuranta on säännöllistä.

Tunkeutumisen havainnointijärjestelmää voidaan käyttää lokitietojen keskitettynä hallintajärjestelmänä. Tällöin kopioidaan kaikista verkkopalvelimista, niiden tietoliikenteestä ja verkkoanalysointiohjelmista lokitiedot joita yhdistämällä saadaan selville organisaation normaali tietoliikenne. Havainnointijärjestelmä hälyttää verkon väärinkäytöksistä tai ongelmista, jos poikkeamia normaaliin liikennöintiin tai tietojärjestelmien ohjelmauhkiin havaitaan.

Toistaiseksi tunkeutumisen havainnointijärjestelmissä on esiintynyt seuraavia ongelmia:

• Väärät hälytykset, koska järjestelmien ylläpitämät tietokannat eivät ole riittävän kehittyneitä.

• Isäntälaitejärjestelmien suuri suoritustehon tarve.

• Verkkojen havainnoinnin manipulointialttius esimerkiksi hyökkäyssekvenssien muuntelulla ja hyökkäysfrekvenssin jakamisella osiin.

• Kytkentäiset verkot voivat muodostaa esteen järjestelmien toimivuudelle verkossa, mikäli kytkin ei tue kaiken tietoliikenteen näkymistä käytettyyn kytkinporttiin.

Tunkeutumisen havainnointijärjestelmät kehittyvät koko ajan ja järjestelmien toimittajat pyrkivät kehittämään järjestelmiään siten, että ne eivät aiheuta vääriä hälytyksiä ja niitä on vaikeampi kiertää.

Tunkeutumisen havainnointijärjestelmän käyttöönotto vaatii huolellista suunnittelua ja käyttöönoton jälkeen jatkuvaa ylläpitoa. Erityisesti verkon havainnointijärjestelmät vaativat uusien hyökkäysmallien päivityksiä järjestelmän ajan tasalla pitämiseksi.

1 Langattomat yhteydet mahdollistavat myös sijaintitietojen teknisen käsittelyn, jolloin yhä lisääntyvässä määrin joudutaan ottamaan huomioon myös sijaintitietojen käsittelyn tietosuoja. Tähän otetaan kantaa Sähköisen viestinnän tietosuojalakiesityksessä.

2 IANA määrittelemät tietoliikenneportit löytyvät listattuna osoitteesta www.iana.org/assignments/port-numbers.

3 Joidenkin erityisesti pienten valtioiden maatunnuksia on myyty kokonaisuudessaan yksityisten yritysten käyttöön.

4 Sähköisen viestinnän tietosuojalakiesityksen mukaan käyttäjän on saatava aina valita tallennetaanko evästeitä.

5 Lisätietoja osoitteesta www.gridforum.org/2_SEC/SEC.htm

6 Varsinaisessa verkkoon murtautumisessa käytetään harvoin virustorjuntaohjelmien havaitsemia haittaohjelmia.

7 Valtiovarainministeriön suositus “Tunnistaminen sähköisiä asiointipalveluita käytettäessä”. Suosituksessa hyväksytään tunnistamistavoiksi valtionhallinnon sähköisessä asioinnissa  laatuvarmenteet sekä pankkiyhdistyksen TUPAS2- määrityksissä kuvattu tunnistamismenettely. Sähköisen asioinnin todennuksessa on huomioitava “Laki sähköisestä asioinnista viranomaistoiminnassa”

8 Lisätietoja palveluille asetetuista käyttäjien tunnistamiseen ja todentamisen vaatimuksista ja tekniikoista löytyy seuraavista dokumenteista: VAHTI 3/2001ja VAHTI 4/2001

9 Lisätietoja löytyy osoitteista www.projectliberty.org tai www.passport.net

10 Suoritusteho ei ole viimeaikoina ollut ongelma, koska laitteet ja algoritmit ovat kehittyneet.

11 Salausmenettelyjen suunnitteluun löytyy lisätietoja VAHTI 3/2001 Salauskäytäntöjä koskevasta valtionhallinnon tietoturvasuosituksesta.

12 Suositeltavaa on käyttää tunkeutumisenhavainnointiin omia erillisiä laitteita.

Vahti- ylläpito08.10.2009 / 14:05:29
Tulosta