Tunkeutumisen havaitseminen

Transkriptio

1 hyväksymispäivä arvosana arvostelija Tunkeutumisen havaitseminen Kim Nyman Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

2 HELSINGIN YLIOPISTO - HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Tiedekunta/Osasto - Fakultet/Sektion Faculty/Section Laitos - Institution - Department Matemaattis-luonnontieteellinen Helsingin yliopisto Tekijä - Författare - Author Kim Nyman Työn nimi - Arbetets titel - Title Tunkeutumisen havaitseminen Oppiaine - Läroämne - Subject Tietojenkäsittelytiede Työn laji - Arbetets art - Level Aika - Datum - Month and year Sivumäärä - Sidoantal - Number of pages 29 Tutkielma Tiivistelmä - Referat - Abstract Tässä tutkielmassa keskitytään tunkeutumisen havaitsemisjärjestelmiin - (IDS, Intrusion Detection System). Internetin laajentuminen ja yhä kasvavat tietoturvauhat sekä tietoturvan kasvavat vaatimukset pakottavat ylläpitäjiä etsimään järjestelmiä ja toimintamalleja, joiden avulla tietoturvan tasoa sekä tietoturvan hallinnointia voidaan parantaa. Tunkeutumisen havaitsemisjärjestelmät auttavat ylläpitäjiä tässä vaikeassa tehtävässä. Tutkielmassa tarkastellaan hyökkäyksien teoriaa sekä käydään läpi esimerkin omaisesti muutaman hyökkäyksen toiminta. Tunkeutumisen havaitsemisjärjestelmien historia, toiminta, komponentit ja tarve selostetaan yleisellä tasolla. Tunkeutumisen havaitsemisjärjestelmät ovat ohjelmisto tai laitteistopohjaisia ja ne automatisoivat verkossa tai järjestelmässä tapahtuvien tapahtumien analysoinnin etsien niistä merkkejä tietoturvaloukkauksista. Tunkeutumisen havaitsemisjärjestelmät perustuvat verkko- ja palvelinsensoreihin. Nykysuuntauksessa tunkeutumisen havaitsemisjärjestelmät ovat menossa kohti tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IDP, Intrusion Detection and Prevention). Tunkeutumisen havaitsemisjärjestelmät ovat myös integroitumassa yksittäisiin komponentteihin kuten henkilökohtaisiin palomuureihin. Tunkeutumisen havaitsemisjärjestelmissä on vielä monia avoimia kysymyksiä kuten; tehokkuus, väärien hälytysten karsiminen sekä eri järjestelmien yhteensopivuus. Tunkeutumisen havaitsemisjärjestelmiä tarvitaan tunkeutumisten sekä niiden yrityksien ja todistusaineistojen keräämiseen. ACM Computing Classification System (CCS): C.2.1 [Network Architecture and Design], C.2.2 [Network Protocols], C.2.3 [Network Monitoring], C.2.5 [Local and Wide-Area Networks], K.6.5 [Security and Protection] Avainsanat Nyckelord - Keywords IDS, IPS, IDP, tunkeutumisen havaitseminen, sensori, hyökkäys, tietoturvaloukkaus Säilytyspaikka - Förvaringställe - Where deposited Muita tietoja - Övriga uppgifter - Additional information

3 Sisältö 1 Johdanto Tunkeutumisen havaitseminen Tunkeutumisen havaitsemisen historiaa Tunkeutumisen havaitsemisjärjestelmän komponentit Sensorit Havaitsemistekniikat Tunkeutumisen havaitsemisjärjestelmien jaottelu Sensoreiden sijoittaminen verkkoon Tietoturvaloukkaukset ja hyökkäykset Hyökkääjät ja heidän motiivit Hyökkäyksen kulku Esimerkkejä hyökkäyksistä Lähetyksenohjausprotokolla ja sen hyökkäyksiä Menetelmät ja topologiat Väärinkäytösten havainnointi Poikkeamien havaitseminen Topologiat Tunkeutumisen havaitseminen ja torjuminen Analyysi Ongelmia ja avoimia kysymyksiä Toteutuksia Tulevaisuus Kirjoittajan omia huomioita Yhteenveto...28 Lähteet Liitteet Liite 1. CERT Hyökkäystilastot... 33

4

5 1 1 Johdanto Internetin laajentuminen ja yhä kasvavat tietoturvauhat sekä tietoturvan kasvavat vaatimukset pakottavat ylläpitäjiä etsimään järjestelmiä ja toimintamalleja, joiden avulla tietoturvan tasoa sekä tietoturvan hallinnointia voidaan parantaa. Tunkeutumisen havaitsemisjärjestelmät (IDS, Intrusion Detection System) auttavat ylläpitäjiä tässä vaikeassa tehtävässä [Den87]. Tunkeutumisen havaitsemisjärjestelmät ovat ohjelmisto tai laitteistopohjaisia ja ne automatisoivat verkossa tai järjestelmässä tapahtuvien tapahtumien analysoinnin etsien niistä merkkejä tietoturvaloukkauksista. Nämä voivat kohdistua verkkoon tai verkon yksittäiseen koneeseen. Tunkeutumisen tai sen yrityksen havaitessaan järjestelmä aiheuttaa vasteen, jossa annetaan lisää tietoa kyseisestä tapahtumasta. Tunkeutumisen havaitsemisjärjestelmät keräävät myös todistusaineistoa tunkeutumisista. Luvussa 2 selvitään lyhyesti tunkeutumishavaitsemisjärjestelmien historiaa, niiden komponentit sekä erilaiset havaitsemistekniikat. Tunkeutumisen havaitsemisjärjestelmät perustuvat verkko- ja palvelinsensoreihin. Verkkosensorit etsivät merkkejä tunkeutumisista sekä niiden yrityksistä tietoliikenteestä. Palvelinsensorit tarkkailevat yksittäisen palvelimen tilaa. Sensoreiden oikea sijoittaminen verkkoon on erittäin tärkeää ja siitä kerrotaan luvussa 2. Tunkeutumisen havaitsemisjärjestelmät on suunniteltu järjestelmiin kohdistuvien tunkeutumisten sekä niiden havaitsemiseen. Tämän takia kolmannessa luvussa keskitytään tietoturvaloukkauksiin ja hyökkäyksiin. Luvussa käydään läpi hyökkääjien motiiveja, tyyppejä sekä teoriaa. Muutamien hyökkäysten kuten Smurt- sekä ping-of-death -hyökkäysten toiminta käydään seikkaperäisesti läpi. Samasta luvusta löytyy myös tilastotietoa hyökkäyksistä sekä järjestelmistä löydetyistä haavoittuvuuksista. Neljäs luku keskittyy syvemmin tunkeutumisen havaitsemisjärjestelmien tekniikkaan sekä toimintaan. Tunkeutumisen havaitsemisjärjestelmissä on vielä monia avoimia kysymyksiä; tehokkuus, väärien hälytysten karsiminen sekä eri järjestelmien yhteensopivuus. Näitä kysymyksiä käsitellään luvussa 5. Yhteenveto on luvussa 6.

6 2 Nykysuuntauksessa tunkeutumisen havaitsemisjärjestelmät ovat menossa kohti tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IPS, Intrusion Detection and Prevention System). Tunkeutumisen havaitsemisjärjestelmät ovat myös integroitumassa yksittäisiin komponentteihin kuten henkilökohtaisiin palomuureihin.

7 3 2 Tunkeutumisen havaitseminen Pohjan nykyisille reaaliaikaisille tunkeutumisen havaitsemisjärjestelmille loi Dorothy Denning [Den87] mallillaan, jonka mukaan järjestelmän väärinkäyttäminen edellyttää järjestelmän epänormaalia käyttöä. Malli ei ole riippuvainen käytetystä järjestelmästä, sovelluksesta tai hyökkäystyypistä. Tästä mallista käytetään nimeä IDES (Intrusion-Detection Expert System) [Den85]. Tunkeutumisen havaitsemisjärjestelmän tehtävänä on havaita tietokonejärjestelmiä vastaan suoritettuja tunkeutumisia sekä niiden yrityksiä. Yhtenä lisätehtävänä on kerätä tunkeutumisesta todistusaineistoa. Tunkeutumisen havaitsemisjärjestelmät koostuvat tyypillisesti yhdestä tai useammasta sensorista sekä tietovarastosta ja ylläpitäjän tarkkailusovelluksesta. Sensorit toimivat järjestelmän korvina kuunnellen ja tarkkaillen tietoliikennettä sekä yksittäisen järjestelmän toimintaa. Tietovarastoon tallennetaan sensoreiden havaitsemat tunkeutumiset, joita kutsutaan tapahtumiksi. Näitä tapahtumia ylläpitäjät seuraavat tarkkailusovelluksen avulla. Tunkeutumisen havaitessaan järjestelmä suorittaa vasteen, joista yleisin on hälytyksen generoiminen. Hälytyksessä kuvataan järjestelmän havaitsema hyökkäys. On olemassa aggressiivisempiakin vasteita kuten sähköpostin tai tekstiviestin lähettäminen ylläpitäjälle tai vastahyökkäyksen suorittaminen. Vastahyökkäyksessä reititin tai palomuuri voidaan määritellä estämään hyökkääjän pääsy kohteeseen. Vastahyökkäykset voivat olla vaarallisia, koska ne voivat kohdistua viattomaan kohteeseen oikean hyökkääjän sijaan. Tämä johtuu siitä, että hyökkääjän on helppo väärentää oman koneensa lähdeosoite. Tunkeutumisten havaitsemisjärjestelmät käyttävät kolmea erilaista tekniikkaa, jotka ovat poikkeamien, väärinkäytösten ja määrittelyyn perustuva poikkeamien havainnointi [Bis03]. Tekniikoita on mahdollista käyttää yhdessä tai erikseen.

8 4 2.1 Tunkeutumisen havaitsemisen historiaa Alkujaan järjestelmien ylläpitäjät etsivät merkkejä tunkeutumisista istumalla konsolin ääressä tarkkaillen järjestelmän käyttäjien toimintaa. Tunkeutuminen voitiin havaita esimerkiksi huomaamalla, että lomalla ollut käyttäjä on kirjautuneena järjestelmään. Seuraavassa vaiheessa ylläpitäjät tutkivat järjestelmien lokitietoja etsien niistä merkkejä pahanilkisestä tai epätavallisesta toiminnasta. Tunkeutumisen etsiminen suoritettiin lokitietojen tulosteista 70- ja 80-luvulla. Lokitulosteita tarkkailtiin yleensä vain tietoturvaloukkausepäilyksen takia, niinpä tunkeutumiset havaittiin vasta niiden tapahduttua. Levytietovarastojen tullessa halvemmiksi siirtyivät lokitiedot tiedostoiksi, joiden tutkimiseksi kehitettiin ohjelmia. Ohjelmat suoritettiin öisin, koska tietojen analysointi oli hidasta ja vaati paljon laskentatehoa. Tämän takia tunkeutumiset havaittiin yleensä vasta niiden tapahduttua. Reaaliajassa tietoja analysoivat tunkeutumisen havaitsemisjärjestelmät kehitettiin 90-luvulla [KeV02]. Reaaliaikaisuus mahdollisti tunkeutumisyritysten ja onnistuneiden tunkeutumisten havaitsemisen niiden tapahtuessa. 2.2 Tunkeutumisen havaitsemisjärjestelmän komponentit Tunkeutumisen havaitsemisjärjestelmät koostuvat yhdestä tai useammasta sensorista sekä tietovarastosta, joka voi olla tietokanta tai tiedosto. Sensoreiden päätehtävänä on kerätä ja analysoida tietoa. Sensoreiden analysoima tieto tallennetaan tietovarastoon, joka voi olla tiedosto tai tietokanta. On olemassa kolmenlaisia sensoreita: verkko-, palvelin- ja sovellussensoreita. Sensorit käsitellään tarkemmin tässä luvussa sekä niiden etuja ja haittoja käsitellään luvussa 4. Ylläpitäjät tarkkailevat hälytyksiä joko erillisen käyttöliittymän avulla tai lukemalla suoraan hälytystiedostoa. Tällä hetkellä käyttöliittymät voivat olla erillisiä sovelluksia tai WWW-sivuja.

9 5 2.3 Sensorit Sensorit ovat järjestelmän aivot ja korvat. Sensorit yritetään aina piilottaa mahdollisimman hyvin, jotta hyökkääjät eivät niitä havaitsisi ja täten mahdollisesti yrittäisi niitä kiertää tai hämätä. Sensoreilla on politiikkansa, jonka mukaan ne määrittelevät tapahtuman hyökkäykseksi tai sallituksi. Kaikilla sensoreilla ei välttämättä ole sama politiikka johtuen sensoreiden sijoituspaikasta sekä mahdollisesti palvelinsensorin kyseessä ollessa palvelimen roolista. Esimerkiksi Windows NT-palvelimesta on turhia etsiä UNIX-palvelimia vastaan suunnattuja hyökkäyksiä tai verkkosensorilla etsiä Apple Talk -liikenteen hyökkäyksiä, mikäli Apple Talk ei ole käytössä kyseissä verkon segmentissä. Verkkosensori Verkkosensorin tehtävänä on kuunnella ja analysoida verkkoliikennettä toimien ikään kuin tietoliikenneanalysaattorina tai verkossa olevana korvana. Verkkosensorin tehtävänä on tarkkailla ja analysoida tietoverkon liikennettä. Verkkosensorin sijoittaminen verkkoihin on hankalaa ja vaatii verkon topologian sekä verkossa olevien fyysisten aktiivilaitteiden tuntemista. Aktiivilaitteilla tarkoitetaan verkossa olevia reitittimiä, kytkimiä, palomuureja ja muita tietoliikenteen laitteistoja. Nykyiset kytkentäiset verkot aiheuttavat vaikeuksia verkkosensoreille, koska pelkästään yleislähetysliikenteestä (broadcast) ei tunkeutumisia kovin paljon havaita. Kytkentäisyyden sekä mahdollisten virtuaaliverkkojen (VLAN) takia joudutaan verkon aktiivilaitteita usein konfiguroimaan uudestaan sensorin liittämisen yhteydessä. Tyypillisesti sensorille tehdään kuunteluportti kytkimeen. Verkkosensorilaitteessa on usein useampia verkkokortteja, jolloin laite saadaan liitettyä kahteen tai useampaan verkkoon samanaikaisesti. Sensorin piilottaminen kuunneltavassa verkossa tehdään yleisimmin niin, että kyseiselle verkkokortille ei anneta IP-osoitetta ollenkaan. Toinen mahdollisuus voi olla käyttää muokattua verkkokaapelia, jossa lähetysjohdot on katkaistu. Toista verkkokorttia käytetään hälytysten lähettämiseen sekä sensorin hallintaan. Nykyiset verkot ovat jo niin nopeita, että verkkosensorit eivät pysty niitä analysoimaan ilman lisälaitteita. Näillä lisälaitteilla pystytään jakamaan esimerkiksi

10 6 kahdensuuntainen 1 Gbit/s-verkon tietoliikenne useammallekin sensorille, jotka pystyvät täten liikenteen analysoimaan kadottamatta tietoa. On mainittava, että mikäli tietoliikenne on salattua, ei siitä voida löytää merkkejä tunkeutumisista. Verkkosensorit vaativat tehokkaan laitteiston ja erittäin hyvät verkkokortit kyetäkseen analysoimaan kaiken tietoliikenteen. Suurinopeuksissa verkoissa verkkosensori vaatii erittäin paljon muistia. Palvelinsensori Palvelinsensori tarkkailee yhden tietyn palvelimen tilaa etsien merkkejä epäilyttävästä toiminnasta. Näitä merkkejä etsitään palvelimen lokitiedostoista, muista tiedostoista sekä mahdollisesti myös tulevasta ja lähtevästä tietoliikenteestä. Tietoliikenteen tarkastelun ollessa käytössä toimii palvelinsensori eräänlaisena perinteisen palvelin- ja verkkosensorin yhdistelmänä. Tiedostoille voidaan määrittää tarkistussummat, jotka lasketaan niiden aikaleimojen sekä koon perusteella. Mikäli nämä tarkistussummat muuttuvat, tiedetään myös tiedoston muuttuneen. Mikäli kyseessä ei ole sallittu muutos, voidaan epäillä tietomurtoa. Palvelinsensori ei aiheuta palvelimelle suurta ylimääräistä kuormaa. Palvelinsensori asennetaan kriittisiin sekä erittäin kriittisiin palvelimiin. Sovellussensori Sovellussensori on ohjelmoitu sovelluksen sisään ja se tarkkailee kyseisen sovelluksen toimintaa. Sovellussensoreita ei ole vielä paljon, johtuen siitä, että niiden tekeminen on kallista ja ne ovat aina räätälöityjä tiettyä sovellusta varten. 2.4 Havaitsemistekniikat Tunkeutumisten havaitsemisjärjestelmät käyttävät kolmea erilaista tekniikkaa, jotka ovat poikkeamien (anomaly detection), väärinkäytösten (misuse detection) ja määrittelyyn perustuva poikkeamien havainnointi (spesification-based anomaly detection)[bis03]. Näitä tekniikoita on mahdollista käyttää yhdessä tai erikseen.

11 7 Poikkeamien havainnointi käyttää käyttäjien ja sovellusten normaalin toimintatavan malleja etsien eroavuuksia normaalista toiminnasta. Lähtökohtana on, että hyökkäys tai tunkeutuminen poikkeaa normaalista toimintatavasta. Tämän tekniikan etuna on uusien tuntemattomien hyökkäysten tunnistaminen. Haittapuolena tämä tekniikka tuottaa tyypillisesti paljon vääriä hälytyksiä, eikä se oikein sovellu verkkoihin, jotka muuttuvat dynaamisesti. Väärinkäytösten havainnointiin perustuvat järjestelmät määrittävät mikä on väärinkäytös. Kerättyä tietoa verrataan hyökkäyksien tunnisteisiin. Tyypillisesti väärinkäytösten havainnointiin perustuvat järjestelmät aiheuttavat tämän takia vähemmän vääriä hälytyksiä. Haittapuolena on, ettei uusia tuntemattomia hyökkäyksiä tunnisteta ja tunnisteet joudutaan usein päivittämään. Ensimmäinen väärinkäytösten havainnointiin perustuva järjestelmä oli IDES [Den85]. Määrittelyyn perustuva poikkeamien havainnointi toimii siten, että määritellään käsin epänormaalit tilat. Epänormaalin tilan havaitessaan järjestelmä antaa hälytyksen. 2.5 Tunkeutumisen havaitsemisjärjestelmien jaottelu Tunkeutumisen havaitsemisjärjestelmät voidaan jaotella taulukon 1 mukaisesti kolmella eri tavalla topologian, menetelmän tai toiminnan perusteella. Topologia Palvelin sensori Verkko sensori Sovellus sensori Host based IDS, HIDS Network based IDS, NIDS Menetelmä Väärinkäytösten Poikkeamien havaitseminen havaitseminen Toiminta Passiivinen Aktiivinen Application based IDS Määrittelyyn perustuva poikkeamien havaitseminen Taulukko 1. IDS-järjestelmien jaottelu.

12 8 Topologisessa jaottelussa toimii jakajana sensorin tarkkailuympäristö. Palvelimen toimintaa tarkkailevia järjestelmiä kutsutaan palvelin pohjaisiksi tunkeutumisen havaitsemisjärjestelmiksi (Host based IDS). Verkkoliikennettä tarkkailevat järjestelmät ovat verkkopohjaisia tunkeutumisen havaitsemisjärjestelmiä (network based IDS). Yksittäisessä sovelluksessa toimivat järjestelmät ovat sovelluspohjaisia tunkeutumisen havaitsemisjärjestelmiä (application based IDS). Tunkeutumisen havaitsemisjärjestelmän käyttämän metodin perusteella järjestelmät voidaan jakaa kolmeen osaan, jotka ovat väärinkäytösten havaitseminen (misuse detection), poikkeamien havaitseminen (anomaly detection) ja määrittelyyn perustuva poikkeamien havainnointi (spesification based anomaly detection). Tunkeutumisen havaitsemisjärjestelmät voidaan jakaa niiden toiminnan perusteella. Toiminta voi olla joko passiivista tai aktiivista. Passiiviset järjestelmät generoivat passiivisen vasteen tapahtuman havaitessaan. Aktiivisen vasteen generoivista järjestelmistä käytetään nimitystä tunkeutumisen havaitsemis- ja torjuntajärjestelmä. Hybridijärjestelmiksi kutsutaan järjestelmiä, jotka ovat sekä palvelin- että verkkopohjaisia sekä myös järjestelmiä, jotka käyttävät kahta tai useampaa havainnointitekniikkaa. 2.6 Sensoreiden sijoittaminen verkkoon Sensoreiden oikea sijoittaminen verkkoon on erittäin tärkeätä. Kuva 1 mallintaa hyvin yleistä sensoreiden ja IDS-järjestelmän komponenttien sijoittelutapaa [Bam01]. Palvelinsensoreiden sijoittaminen on jätetty kuvasta pois. Järkevä verkkosensoreiden sijoittaminen tarkoittaa lähes aina niiden hajauttamista verkon kriittisten solmukohtien lähettyville. Mitä suurempi ja monimutkaisempi verkko sitä enemmän tarvitaan verkkosensoreita. Kuvan 1 verkko on hieman yksinkertaistettu, mutta sopii sinällään hyvänä perustana myös suuremmille verkoille. Kuvan keskeisin elementti on palomuuri, joka jakaa verkon eri segmentteihin ulkoverkkoon, harmaaseen alueeseen, hallintaverkkoon ja sisäverkkoon. Internetiin

13 9 päin näkyvät palvelimet sijaitsevat harmaalla alueella. Sisäverkossa on työasemat sekä niiden tarvitsemat palvelut. Hallintaverkosta löytyy verkonhallintaan tarvittavat komponentit. Internet Verkkosensori Verkkosensori Harmaa alue Palomuuri Hallintaverkko Palvelin Palvelin Tietokanta sisäverkko Verkkosensori Työasema Työasema Työasema Kuva 1. Verkkosensoreiden sijoittaminen verkkoon. Useasti verkkosensori sijoitetaan ulkoverkkoon organisaation palomuurin ja Internet-yhteyden palveluntarjoajan reitittimen väliin. Kyseinen sensori löytyy kuvasta 1 nimellä verkkosensori 1. Sensorin sijoittaminen ulkoverkkoon ei välttämättä tuo mitään suurta lisäetua, koska ulkoverkossa hälytyksiä tapahtuu paljon ja organisaation turvana oleva palomuuri torjuu ne. Suurin osa näistä ulkoverkon hälytyksistä kuuluu Internetin normaaliin kohinaan. Sensorin sijoittaminen harmaalle alueelle on järkevää ja tällöin yhdessä ulkoverkon ja harmaan alueen sensorin sekä palomuurin lokitietojen avulla saadaan selkeä jälki ja todiste mahdollisesta tietomurrosta. Toinen looginen paikka verkkosensorille on sisäverkossa. Edelleen pitää paikkansa, että suurin uhka tietomurroille tulee sisäverkoista käsin. Mikäli tietoturvapolitiikassa määritellään esimerkiksi porttiskannaamiset (port scan) kielletyiksi, tulee olla olemassa jotain välineitä, joilla kyseiset kielletyt tapahtumat ha-

14 10 vaitaan. Tunkeutumisen havaitsemisjärjestelmät sopivat tähän tehdään erittäin hyvin. Sensorit on yhdistetty hallintaverkkoon erillisellä verkkokortilla, jolloin sensorit voidaan täysin piilottaa kuunneltavissa verkoissa. Omalla ja eristetyllä hallintaverkolla taataan myös IDS-järjestelmän turvallisuus.

15 11 3 Tietoturvaloukkaukset ja hyökkäykset Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa organisaation, yrityksen, yhteisön tai yksityisen henkilön tietojärjestelmän tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta oikeudettomasti muutetaan [Thr04]. Maailmalla on useita julkisia organisaatiota, joiden päätehtävänä on tietoturvaloukkauksien ennaltaehkäisy ja niiden havainnointi sekä niistä tiedottaminen. Näistä organisaatioista käytetään nimitystä CERT (Computer Emergency Responce Team). Organisaatiota on useita ympäri maailmaa Suomellakin on omansa - ja ne toimivat yhteistyössä keskenään jakaen tietoa tietoturvaloukkauksista ja niihin liittyvistä seikoista sekä tiedottavat niistä järjestelmien käyttäjille esimerkiksi Internetin välityksellä. Kuvassa 2 on Computer Emergency Responce Team (CERT) -organisaation laatima tilasto sen tietoon tulleista hyökkäyksistä sekä löydetyistä haavoittuvuuksista vuosilta CERT [Ces04]. Tilastosta ilmenee hyvin kuinka tapahtumien määrä on kasvanut vuosien saatossa lähes exponentiaalisesti, myös löydettyjen haavoittuvuuksien määrä on kasvanut vuosi vuodelta. Liitteestä 1 löytyy kuvan 2 tilaston numeroarvot. Hyökkäys- ja haavoittuvuustilastot Määrä Tapahtumia Haavoittuvuudet Vuosi Kuva 2 Hyökkäystilasto ( Hyökkäykset voidaan luokitella karkeasti kolmeen osaan jotka ovat : tietomurto tai tiedonvarastaminen (information disclosure), palvelunestohyökkäys (denial of

16 12 service, DoS) ja luvaton käyttö (compromise). Kyseinen luokitus on hyvin yleinen ja noudattaa Suomen CERT:in määrityksiä [Hyö04a]. Käytetty hyökkäystyyppi riippuu usein hyökkääjän motiivista ja tavoitteista. Tietomurrossa tai tiedonvarastamisessa hyökkääjä anastaa kohteen tietoja. Tyypillisesti nämä ovat väärin konfiguroituja palveluita, jotka paljastavat potentiaaliselle hyökkääjälle enemmän tietoa kuin järjestelmän ylläpitäjällä oli tarkoitus. Muutamia esimerkkejä: - SMTP/WWW palvelimen viiri (banner) tiedot paljastavat kyseisen sovelluksen versiotiedot, joskus paljon enemmänkin. - Nimipalvelin, joka sallii alue-kyselyt (zone load). Alue-kyselyillä voidaan nopeasti ja helposti kysyä nimipalvelimelta kaikki kyseisen alueen (DOMAIN) palvelimet. - SNMP palvelu public tai jolloin muulla helposti arvattavalla yhteisönimellä (community) ilman kysyjän osoiterajoituksia paljastaa useasti paljon tietoa, joista osa saattaa olla arkaluontoista. Palvelunestohyökkäyksellä tarkoitetaan hyökkäystä, jolla hyökkääjä pyrkii hidastamaan, estämään tai hankaloittamaan kohteen toimintaa. Palvelunestohyökkäyksestä on olemassa laajennettu versio nimeltä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS). Tietyt versiot ohjelmistoista ja käyttöjärjestelmistäkin mahdollistavat palvelunestohyökkäyksen verkon yli käyttäen räätälöityjä paketteja. Tyypillisiä esimerkkejä: - Windows NT ilman korjauspäivityksiä mahdollistaa koneen kaatamisen etäältä käyttämällä liian suurta pakettia. Tämä selostetaan tarkemmin luvussa Reititin tai palomuuri, joka päästää Internetin ohjausviestiprotokollan (Internet Control Message Protocol, ICMP) echo request -paketit lähetettyinä yleislähetys-osoitteisiin (broadcast) läpi. Tämä mahdollistaa Smurfhyökkäyksen, joka selostetaan tarkemmin myöhemmin.

17 13 Luvattomassa käytössä hyökkääjä käyttää kohteen resursseja hyödykseen. Luvaton käyttö edellyttää onnistunutta hyökkäystä kohteeseen. Tyypillisiä esimerkkejä haavoittuvista sovelluksista: - Linux kone telnet-palvelulla mahdollistaa raaka voima (brute force) hyökkäykset käyttäjätunnus salasanaparia vastaan. - Apache WWW-palvelin, joka versio on alle Microsoft IIS, jossa on mallisivut asennettuna. 3.1 Hyökkääjät ja heidän motiivit Tietoturvaloukkauksen suorittava hyökkääjä voi olla kuka tahansa uteliaasta kokeilijasta teollisuusvakoilijaan. Hyökkääjät voidaan jaotella seuraavasti: seikkailijat, hakkerit / krakkerit, vakoojat / tiedustelupalvelut, kilpailevat yritykset, entiset työntekijät / konsultit, haktivistit ja sabotoijat [Hym04]. Seikkailijat ovat yleensä nuoria, jotka kokeilevat Internetistä löytyviä työkaluja ymmärtämättä niiden toimintaa saati mahdollisia seuraamuksia. Hakkereilta ja krakkereilta löytyy taitoa ja osaamista ja heitä voi jo pitää vaarana. Haktivistit ovat uusi ryhmä, joka voidaan kategorioida verkkoon siirtyneiksi (eläin tai vastaava) aktivisteiksi. Entiset työntekijät, konsultit, vakoojat kilpailevat yritykset ovat jo erittäin vaarallisia, koska heiltä löytyy tarvittava tieto ja vakoojien ja kilpailevien yritysten tapauksessa tarvittava raha. Kuva 3 havainnollistaa eri hyökkääjien taitoa ja käytössä olevaa raha määrää. Hyökkääjän motiivit vaihtelevat ja ne voivat olla seikkailun halusta ja maineen kasvattamisesta teollisuusvakoiluun ja elektroniseen sodankäyntiin.

18 14 RAHA Tiedustelupalvelu Armeija Krakkeri Seikkailijat Haktivisti Hakkeri TAITO Kuva 3. Hyökkääjien raha ja taito. 3.2 Hyökkäyksen kulku Hyökkäyksessä on tyypillisesti neljä vaihetta, jotka ovat tiedustelu, kohteen ja haavoittuvuuksien etsintä, hyökkäys sekä jälkien peittäminen. Itse hyökkäysprosessi kokonaisuudessaan voi kestää kuukausia tai jopa vuosia riippuen käytettävästä rahamäärästä sekä tahdosta. Vaiheistuksia on erilaisia, mutta yleisesti vaiheistuksen voi kiteyttää edellä kuvatulla tavalla [Ano98, WTS03, Hyp04]. Tiedusteluvaiheessa kohteesta etsitään mahdollisimman paljon tietoa käyttäen hyväksi esimerkiksi uutisryhmiä, nimipalvelutietoja, sosiaalista tiedonkeruuta ja kohteen www-sivuja. Seuraavaksi koetetaan saada selville kohteen verkkotopologia, siinä olevat laitteet ja näissä käynnissä olevat palvelut. Näiden tietojen avulla kohteen valintaa tarkennetaan. Tiedustelussa ilmenneiden tietojen perusteella kohteen verkosta/verkoista etsitään aktiivisia palvelimia. Kohteen ja haavoittuvuuksien etsintä -vaihe aloitetaan yleensä traceroute-komennolla, joka kertoo reitin lähteestä kohteeseen. Tämä voi

19 15 paljastaa matkan varrella olevia paketteja suodattavia laitteita. Aktiivisia palvelimia etsitään lähettämällä erityyppisiä paketteja kohteen verkkoon ja tarkistamalla paluupakettien sisältö. Mikäli välissä ei ole pakettisuodattamia, löytyvät aktiiviset laitteet nopeasti, muutoin tässä voi mennä aikaa. On olemassa muitakin tapoja kuten esimerkiksi sosiaalinen hakkerointi (Social- Engineering), jossa käytetään hyväksi ihmisten hyväntahtoisuutta. Hyökkääjä voi esimerkiksi pyytää sähköpostilla tai puhelimitse kohteen henkilökunnalta käyttäjätunnuksia ja salasanoja tekeytyen kohteen työntekijäksi [Hyö04b]. Muun muassa Kevin Mitnick oli sosiaalisen hakkeroinnin mestari huiputtaen monia kansainvälisiä ja erittäin tunnettuja yrityksiä [Ran04] kuten Nokiaa. Aktiivisissa laitteissa olevien palvelujen löytämiseksi käytetään erilaisia porttiskanneriohjelmistoja. Näillä ohjelmistoilla hyökkääjä tutkii kohteensa avoimia tietoliikenneportteja ja kohteessa käytössä olevia palveluita. Esimerkiksi NMAP on hyvin yleisesti käytetty porttiskanneri sekä käyttöjärjestelmän tunnistava ohjelmisto [Fyo04]. Porttiskannauksen valmistuttua suoritetaan löydettyjen palveluiden versioiden tarkistus. Monet sovellukset kertovat paljon tietoa ulkopuolisille niissä olevissa viireissä (BANNER). Melkein kaikkien viirien tietoa voidaan muokata, mutta näin tehdään valitettavasti hyvin harvoin. Seuraavaksi jo löydetyistä palveluista etsitään tunnettuja ja uusia haavoittuvuuksia. Haavoittuvuuksista kertovia lähteitä on useita, joista osa on kaupallisia. Itse sovelluksessakin voi olla virheitä tai annettua syötettä ei tarkisteta kunnolla. Tämä esimerkiksi www-sovelluksen tapauksessa voi olla cgi, perl, sh tai jokin muu scripti. Omia kyselyitäkin voi olla mahdollista suorittaa SQL-lisäyksellä (sqlinjection). Palveluiden ja sovellusten konfiguroinnissakin voi olla virheitä, jotka voivat mahdollistaa järjestelmän etähallinnan. Hyökkäys toteutetaan usein siten, että ylläpitäjien huomio kohdistetaan muihin järjestelmiin esimerkiksi SYN-tulvalla tai massiivisella porttiskannauksella käyttäen apuna väärennettyä lähdeosoitetta. Samanaikaisesti suoritetaan hyökkäys käyttäen hyväksi aiemmissa vaiheissa saatuja tietoja. Onnistuneen hyökkäyksen jälkeen voidaan järjestelmään asentaa takaporttiohjelmistoja, salasanan nuuskijoita

20 16 ynnä muita haitallisia ohjelmistoja sekä anastaa tietoja tai käyttää kohdetta alustana seuraavaan kohteeseen kohdistuvassa hyökkäyksessä. Viimeisenä vaiheena on jälkien peittäminen. Tässä vaiheessa hyökkääjä tuhoaa tai muokkaa järjestelmän lokitiedostoja sekä peittää omat asentamansa ohjelmistot muuttamalla niiden tiedostonimiä tai sijoittamalla ne vaikeasti havaittaviin paikkoihin. Tyypillisesti lokitiedoista muutetaan tai poistetaan kokonaan hyökkääjän tiedot. 3.3 Esimerkkejä hyökkäyksistä Hyökkäysesimerkkien ymmärtäminen vaatii vähintään perustiedot seuraavista protokollista IP (Internet Protocol, internet protokolla [Pos81a]), TCP (Transmission Control Protocol, lähetyksenohjausprotokolla [Pos81b]), ICMP (Internet Control Message Protocol, internetin ohjausviestiprotokolla [Pos81c]). Tässä tutkielmassa käydään läpi vain ne asiat, jotka ovat tarpeellisia myöhemmin selostettavien hyökkäysten tai menetelmien ymmärtämiseen. Kaikki liikenne Internetissä perustuu IP-protokollaan, jonka rakenteita muut protokollat käyttävät hyväkseen Lähetyksenohjausprotokolla ja sen hyökkäyksiä TCP-protokolla on luotettava yhteyspohjainen protokolla, jota käytetään tunnetuissa sovellutuksissa kuten sähköpostin välityksessä. Protokollaan kuuluu tärkeänä yksityiskohtana yhteydenmuodostumisvaiheen kättely. Yhteydenmuodostaminen tapahtuu kuvan 4 mukaisesti, jossa lähetetyt viestit on kuvattu suhteessa aikaan joka kasvaa alaspäin. Ensimmäinen lähetetty viesti on siten ylimpänä. Työasema aloittaa yhteydenmuodostamisen lähettämällä ensimmäisen paketin SYN-lippu (FLAG) päällä palvelimelle, joka vastaa SYN + ACK -lipuilla, mikäli se tarjoaa kysyttyä palvelua ja pystyy ottamaan yhteyden vastaan. Kolmannen paketin ACKlippu ylhäällä lähettää työasema palvelimelle ilmoittaen edelleen haluavan jatkaa yhteyttä. Yhteys on näin muodostunut. Koska yhteyden muodostamiseen tarvitaan kolmen paketin vaihto, puhutaan usein kolmivaiheisesta kättelystä.

21 17 työasema SYN palvelin SYN + ACK ACK Kuva 4. TCP-protokollan yhteyden muodostaminen. Lähetyksenohjausprotokollan hyökkäyksiä ovat esimerkiksi seuraavat maahyökkäys (Land Attack) irti tiputus (Tear Drop) ja kartoitustekniikkana puoliavoin skannaus (stealth scan / half open scan) [Ano98, NoN01]. sekä yleinen SYN-tulva (SYN Flood). Maahyökkäys on hyvin yksinkertainen palvelunestohyökkäys ja perustuu siihen, että lähde ja kohde ip-osoitteet ovat samat ja täysin tarkassa määritelmässä myös lähde- ja kohdeportit ovat samoja. Irti pudotus hyökkäys käyttää hienouksia verrattuna smurffiin. Se nimittäin hyödyntää sitä tosiasiaa, että verkkoprotokollien pinot eivät ole hyviä matematiikassa varsinkin negatiivisissa luvuissa. Hyökkäyksen juju on siinä, että lähetetään paloiteltuja paketteja kohteeseen siten, että myöhemmät paketit alkavatkin aiemmasta palan kohdasta kuin on odotettavissa, jolloin joudutaan käyttämään negatiivisia lukuja, jotka voivat muuttua suuriksikin positiiviksi luvuiksi. Tällöin järjestelmä saattaa hyvinkin kirjoittaa toisen ohjelman muistiosoitteen päälle aiheuttaen käyttöjärjestelmän pysähtymisen [NoN01] [Ano00]. Palvelunestohyökkäyksistä voidaan mainita SYN-tulva, jossa hyökkääjä lähettää nopeaan tahtiin suuren määrän yhteydenmuodostuspyyntöjä kohteelle estäen siten normaalien käyttäjien pääsyn palveluun. Palvelunesto tapahtuu koska, palvelimen vastaanottopuskurit täyttyvät hyökkääjään pyynnöistä. Hyökkäys tehdään

22 18 kuvan 4 mukaisesti siten, että hyökkääjä lähettää vain ensimmäisen SYN-viestin palvelimelle, joka jää odottamaan hyökkääjän seuraavaa viestiä jota ei koskaan tule varaten täten aina yhden yhteyspaikan. Puoliavoin skannaus (half-open tai stealth scan) tehdään siten, että täydellistä TCP-yhteyttä ei muodosteta vaan lähetetään yhteydenavauspyyntö eli SYN-lipulla varustettu paketti kohteeseen. Tämän jälkeen odotetaan kohteen vastausta. Mikäli kohde vastaa paketilla, jossa SYN- ja ACK-liput ovat päällä tiedetään kokeillun palvelun olevan auki kohteessa. Hyökkääjä vastaa tähän pakettiin RST (reset) -lipullisella paketilla, joka välittömästi sulkee yhteyden. Mikäli kohteessa ei ole avointa palvelua kokeillussa portissa ilmenee se siten, että kohde palauttaa RSTpaketin. Tämän skannaustekniikan etuna on se, että harvat kohteet kirjoittavasta näistä yrityksistä lokeihinsa, jolloin nämä skannaukset jäävät huomaamatta. Internetin ohjausviestiprotokolla ja sitä käyttäviä hyökkäyksiä Internetin ohjausviestiprotokolla kehitettiin harmittomaksi tavaksi ilmoittaa virhetilanteista sekä lähettää ja vastata yksinkertaisiin pyyntöihin. Merkittävinä eroina TCP:hen ja ICMP:en välillä on, että ICMP tukee yleislähetystä ja siinä ei ole porttikäsitettä. ICMP viestit voivat kadota tai jäädä lähettämättä toisin kuin TCP:een tapauksessa. ICMP viestit paketoidaan IP:een sisälle kuten TCP-paketitkin, mutta ICMP niitä pidetään osana IP-kerrosta. Yleisin sovellus, joka käyttää ICMP:tä on ping tai traceroute. Ping ohjelma lähettää ICMP echo-request pyynnön kohteelle, joka vastaa normaalioloissa ICMP echo-reply viestillä [Pos81c]. Kuten myöhemmin selostetaan myös harmittomaksi suunniteltua ICMP:tä voidaan käyttää erittäin menestyksekkäästi väärin. Ohjausviestiprotokollan hyökkäyksiä ovat kuuluisat ping-of-death sekä smurf -hyökkäykset [Cac98]. Kuoleman pyyntö (ping-of-death) toimii siten, että kohteeseen lähetetään paloiteltu (fragmented) ICMP echo-request pyyntö, jonka koko on suurempi kuin IP-pakettiin mahtuva tietosisältö. Tietosisällön koko on tavua, joten jos lähetään tavua kohteeseen saa se aikaan palvelunestohyökkäyksen kaatamalla kohteena olevan koneen, mikäli sitä ei ole päivitetty.

23 19 Kuoleman pyyntö on vanha haavoittuvuus joka toimi Microsoft Windows 95, NT sekä vanhempien 2.0.x LINUX -ytimien kanssa. Smurf-hyökkäys on yksi niistä harvoista hyökkäykisitä, joiden estämiseen on luotu IETF:än (Internet Engineering Task Force) RFC [Sen99]. Tämä sen takia, että smurf-hyökkäys oli todellakin niin vaarallinen, että se piti saada kytkettyä pois. Nykyisin smurf-hyökkäyksellä ei ole paljon tehoa. Smurf perustuu siihen, että ICMP echo-request -paketin lähdeosoite väärennetään kohdeosoitteeksi ja lähetetään kohteen verkon yleislähetysosoitteeseen. Tällöin kaikki kohdekoneen verkon aktiiviset koneet vastaavat ping-pyyntöön ja lähettävät vastauksensa kohteelle tukehduttaen sen tai sen kaistan ping-vastauksiin. Sekä kuoleman pyyntö, että smurfhyökkäykset ovat hyvin yksinkertaisia, mutta osoittavat hyvin kuinka protokollia voidaan käyttää väärin aiheuttaen pahoja seuraamuksia.

24 20 4 Menetelmät ja topologiat Tässä luvussa kuvataan tunkeutumisen havaitsemisjärjestelmien käyttämät analysointimenetelmät niiden sekä eri topologien edut ja haitat. Menetelmä voi perustua ennalta määriteltyihin tunnusmerkkeihin, jolloin kyseessä on väärinkäytösten havainnointi. Toisena tekniikkana on kahteen alitekniikkaan jakautuva poikkeaminen havaitseminen, joka perustuu normaaliin ja epänormaaliin tilaan. 4.1 Väärinkäytösten havainnointi Väärinkäytösten havainnointi perustuu ennalta määriteltyihin tunkeutumisten tunnistusmerkkeihin [BIS03]. Näitä tunnistusmerkkejä täytyy päivittää aina uuden hyökkäyksen tai viruksen löytyessä. Vastaavaa jatkuvaa päivitystoimintaa ei poikkeamien havaitsemistekniikkaa käyttävissä järjestelmissä tarvitse tehdä. Väärinkäytösten havainnoinnin etuina ovat vähäinen väärien hälytysten määrä sekä tunnettujen hyökkäystyökalujen ja metodien varma tunnistaminen [Bam01]. Tekniikka ei havaitse uusia tuntemattomia hyökkäyksiä ennen kuin järjestelmään on syötetty kyseisen hyökkäyksen tunnusmerkit, tämä on selkeä haitta. Tämä onkin tämän tekniikan pahin puute [BIS03, Bam01]. 4.2 Poikkeamien havaitseminen Poikkeamien havaitseminen jakautuu kahteen tekniikkaan, jotka eroavat poikkeamien määritysmenetelmissä. Näiden erot selitetään jäljempänä. Automatisoitu poikkeamien havaitseminen Tämä tekniikka jakautuu kahteen selvään vaiheeseen, jotka ovat harjoitus- ja havainnointivaihe. Harjoitusvaiheessa järjestelmä määrittelee normaalitilanteen tarkkailemalla tietoliikenneverkon tai jonkin järjestelmän toimintaa. Tässä vaiheessa tapahtuvat tunkeutumiset tai niiden yritykset jäävät huomaamatta. Itse asiassa vastaavat tilanteet tulkitaan normaaliksi myös havainnointitilassa, mikä on selkeä haitta.

25 21 Normaalitilanteen määrittelyn jälkeen järjestelmä siirtyy havainnointitilaan. Havainnointitilassa järjestelmä tunnistaa poikkeamat normaalitilasta aiheuttaen näistä hälytyksen. Normaalitilan muuttuessa, vaikka uuden aktiivilaitteen tai verkon topologiamuutoksen vuoksi, joudutaan harjoitusvaihe suorittamaan uudestaan. Tämän tekniikan eduksi voidaan sanoa uusien tuntemattomien hyökkäysten havaitseminen haittapuolena on kuitenkin suuri määrä vääriä hälytyksiä [Bam01, BIS03]. Määrittelyyn perustuva poikkeamien havainnointi Tässä tekniikassa etsitään tiloja, jotka eivät ole normaaleja. Systeemin tai järjestelmän siirtyessä epänormaaliin tilaan annetaan hälytys. Tämä tekniikka on hyvin samanlainen kuin poikkeamien havaitseminenkin, mutta tässä tekniikassa tilat määritellään käsin. Tämän tekniikan etuna on hyvin pieni väärien hälytysten määrä. Haittapuolena on pitkä ja hankala tilojen määrittelyvaihe [BIS03]. 4.3 Topologiat Palvelinpohjaiset järjestelmät Palvelinpohjaiset tunkeutumisen havaitsemisjärjestelmät asennetaan tyypillisesti kriittisiin palvelimiin ja ne perustuvat palvelinsensoreihin. Palvelimen käyttöjärjestelmän toimintaa ja lokitietoja sekä tiedostojen muutoksia tarkkaillaan väärinkäytösten varalta [BaM01]. Palvelinpohjainen järjestelmä voi huomata hyökkäyksiä, joita verkkopohjainen järjestelmä ei huomaa. Nämä järjestelmät voivat toimia salatussa tietoliikenneympäristössä, koska salaus puretaan kyseisessä järjestelmässä. Myöskään kytkentäiset ympäristöt eivät aiheuta ongelmia palvelinpohjaisille järjestelmille samaisesta syystä. Ne voivat myös havaita paremmin järjestelmässä olevia haittaohjelmia [Bam01]. Haittaohjelmien avulla hyökkääjä voi pystyä kiertämään järjestelmän turvallisuusominaisuudet ja avaamaan hyökkäysreitin järjestelmän sisältä päin. Näitä järjestelmiä on hankalampi konfiguroida, koska ne ovat täysin järjestelmäriippuvaisia ja siten jokainen palvelin on oma yksilönsä vaatien oman konfiguraation [Bam01]. Muina haittoina voidaan luetella seuraavat: ne eivät sovellu hyvin verkkoskannauksien havaitsemiseen, ne voidaan saada pois toiminnasta palve-

26 22 lunestohyökkäyksellä ja ne käyttävät kyseisen palvelimen prosessiaikaa vieden tehoja pois palvelimen oikealta käyttötarkoitukselta [Bam01]. Verkkopohjaiset järjestelmät Verkkopohjaiset järjestelmät toimivat tietoliikenteen kuuntelijoina etsien tietoliikenteestä merkkejä hyökkäyksistä. Oikein sijoitettuna verkkopohjainen järjestelmä voi tarkkailla suurtakin verkkoa ja se voidaan tehdä näkymättömäksi verkossa sekä se voidaan suojata erittäin hyvin hyökkäyksiä vastaan. Verkkosensorin lamaannuttaminen palvelunestohyökkäyksellä on huomattavasti hankalampaa kuin palvelinsensorin. Tämä tekniikka ei löydä hyökkäyksiä salatusta tietoliikenteestä ja suorituskykyvaatimukset järjestelmille ovat kovat. Nykyiset verkot ovat niin nopeita, että nämä järjestelmät eivät yksinkertaisesti pysty prosessoimaan saamaansa tietoa. Myös paloitellut tietoliikennepaketit aiheuttavat monille tunkeutumisen havaitsemisjärjestelmille ongelmia [Bam01]. Sovelluspohjaiset järjestelmät Sovelluspohjaiset järjestelmät ovat oikeastaan palvelinpohjaisten järjestelmien aliluokka. Nämä järjestelmät analysoivat sovelluksessa tapahtuvia tapahtumia ja tutkivat sovelluksen lokitietoja. Tämän tekniikan etuina ovat käyttäjien ja sovelluksen välisen toiminnan tarkkailu. Ne voivat toimia ympäristöissä missä tietoliikenne on salattua. Sovelluspohjaiset järjestelmät eivät huomaa yleensä itse palvelimeen kohdistuvia muita hyökkäyksiä eivätkä haittaohjelmia [Bam01]. 4.4 Tunkeutumisen havaitseminen ja torjuminen Tunkeutumisen havaitsemisjärjestelmät ovat muuntumassa tunkeutumisen havaitsemis- ja torjuntajärjestelmiksi (IDP), jotka pystyvät lisäksi aktiivisesti torjumaan hyökkäyksiä. Tosin nykyisetkin tunkeutumisen havaitsemisjärjestelmät omaat tietyltä ostin tämän toiminnon, esimerkkinä mainittakoon TCP-yhteyden katkaisu lähettämällä RST-paketti sekä hyökkääjälle, että kohteelle. Tämä on kuitenkin IDSjärjestelmien tulevaisuuden suuntaus. Toisaalta IDP-järjestelmien kanssa täytyy

27 23 olla erittäin varovainen, ettei niillä aiheuta vahinkoa. Esimerkiksi seuraavassa tilanteessa IDP-järjestelmät voivat aiheuttaa vahinkoa. Hyökkääjä väärentää oman IP-osoitteensa jonkin WWW-palvelimen osoitteeksi ja suorittaa tunkeutumisen yrityksiä. Järjestelmä huomaa tämän ja estää kaiken liikenteen kyseisestä WWW-palvelimen osoitteesta. Tällöin järjestelmä on tehnyt itse palvelunestohyökkäyksen (DoS, Denial of Service).

28 24 5 Analyysi Tässä luvussa käydään läpi tunkeutumisen havaitsemisjärjestelmien ongelmia ja avoimia kysymyksiä. Ongelmia ovat suorituskyky, vaikea käyttöönotto, analysointi sekä valvonta. 5.1 Ongelmia ja avoimia kysymyksiä Vaikkakin tunkeutumisen havaitsemisjärjestelmät ovat kehittyneet paljon viime vuosien aikana, on vielä monia tärkeitä avoimia kysymyksiä. Järjestelmien tulee olla riittävän tehokkaita huomaten enemmän oikeita hälytyksiä ja aiheuttaen paljon vähemmän vääriä hälytyksiä. Toiseksi järjestelmien tulee pysyä verkkojen kehityksen mukana vastaten verkkojen kasvavien nopeuksien, koon ja dynaamisuuden vaatimuksiin. Viimeisenä järjestelmien tulee havaita koko verkkoa vastaan suoritetut hyökkäykset. Tämän päivän järjestelmät nojaavat suurimmaksi osaksi väärinkäytösten havainnointitekniikkaan. Se ei pelkästään riitä vaan tarvitaan hybridijärjestelmiä, jotka käyttävät poikkeamien sekä väärinkäytösten havainnointitekniikoita analysoinnissa. Pelkästään erilaisten hyökkäysten havainnointi ei riitä, vaan järjestelmien tulee pysyä mukana analysoitavan tietomäärän kanssa. Nykypäivän nopeat verkot ja kokoajan kasvavat järjestelmien laskentatehot lisäävät analysoitavan tiedon määrää, joka aiheuttaa suurempia vaatimuksia tunkeutumisen havainnointijärjestelmien laitteistolle. Verkkoanalysointi Havainnointisensoreiden sijoittaminen verkon eri puolille mahdollistaa koko verkkoa vastaan suunnattujen hyökkäysten sekä itse hyökkäyksessä käytetyn tietoliikennepolun havaitsemisen, kuten kuvasta 5 näkyy. Suuri määrä sensoreita aiheuttaa lisää työtä sensoreiden ylläpidossa sekä asettaa uusia vaatimuksia verkolle ja sen topologialle ja aktiivilaitteille.

29 25 Kattava verkkojen valvonta: Valvomo A A A Valvomo C (A=Agent) A Valvomo B Hyökkäys nähdään kaikkialla. Aika paljastaa tekijän. 5.2 Toteutuksia Kuva 5. Kattava verkon valvonta. Nykyisin on olemassa monia kaupallisia toteutuksia, joista kenties tunnetuin on Internet Security Systems in (ISS) RealSecure [ISS04]. Avoimeen lähdekoodin perustuva Snort [Roe04] on hyvin yleisessä käytössä. Näiden kahden toteutuksen ero on siinä, että ISS:llä on erittäin hyvä käyttöliittymä, jolla hallinta ja hälytysten tarkastelu on tehty erittäin helpoksi. Snort:iin on saatavilla muutamia käyttöliittymiä, mutta ne eivät ole lähelläkään ISS:än tasoa. On kuitenkin todettava, että havaitsemiskyvyiltään ja omien hälytysten teossa Snort on parempi kuin ISS. 5.3 Tulevaisuus Vaikka tietoverkkojen turvallisuus kasvaa koko ajan, tulee tunkeutumisen havaitsemisjärjestelmillä olemaan merkittävä rooli tietoturvakomponenttina. Tämänhetkinen suuntaus on suurten sensorimäärien sijoittaminen eri puolille verkkoa antaen siten kattavan kuvan verkon tapahtumista. Tunkeutumisen havaitsemis- ja torjuntajärjestelmät ovat valtaamassa IDS-järjestelmien toimintakenttää. Tulevaisuuden käytettävät IDS-järjestelmät ovatkin kaikki IDP-järjestelmiä. Lähitulevaisuudessa sensoritekniikka tulee integroitumaan jokapäiväisiin tietojenkäsittelyn ympäristöihin, kuten palomuurit ovat jo tulleet osaksi käyttöjärjestelmiä.

30 26 Tulevaisuudessa tarvitaan sensoreiden yhteensopivuuden varmistavia standardeja. Tunkeutumisen havaitsemisviestien vaihtoformaattia - IDMEF (Intrusion Detection Message Exchange Format) on jo ehdotettu standardiksi. IDMEF määrittää hälytyksien formaatin sekä hälytyksien lähetysprotokollan [Cur03].

31 27 6 Kirjoittajan omia huomioita Nykypäivän IDS-järjestelmän ongelmat ovat siinä, että järjestelmät tuottavat huomattavan määrän vääriä hälytyksiä. Väärien hälytysten karsiminen on hankalaa ja vaatii paljon aikaa. Tämän takia järjestelmien käyttöönottokin kestää kauan. Kaupalliset järjestelmät ovat erittäin kalliita jääden siten vain suurten yritysten käytettäviksi. Avoimen lähdekoodin järjestelmät ovat hankalia käyttää ja ylläpitää ja vaativat erittäin paljon osaamista. Ylipäätänsä nykyiset järjestelmät eivät ole vielä niin automaattisia ja luotettavia, että niiden tuottamiin hälytyksiin voisi täydellisesti luottaa. Tämä tarkoittaa sitä, että ihmisten tulee aina käydä hälytykset läpi. Osaltaan järjestelmät ja käytetyt tekniikat sekä erilaiset tunkeutumismenetelmät ovat niin hankalia, että järjestelmän ylläpitäjältä ja valvojalta vaaditaan erittäin paljon osaamista. Tätä osaamista ei välttämättä ole. Jotta IDS-järjestelmistä saisi parhaimman hyödyn tulisi niitä käyttää yhdessä muiden verkonvalvontaohjelmistojen kanssa. Ilman muita verkonvalvontaohjelmistoja niiden tuoma hyöty kustannuksiin verrattuna on melko pieni, valitettavasti. Vaikkakin mediassa on kovasti tuotu esille tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IPS) uskoisin niiden olevan vain IDS-järjestelmien uusi nimi. Monissa nykyisissä IDS-järjestelmissä on jo IPS-järjestelmän toiminnallisuutta ja aktiivinen toiminta vaatii edelleenkin erittäin paljon varovaisuutta.

32 28 7 Yhteenveto Internetin yhä jatkuva laajeneminen ja kasvu sekä tietoturvauhkien kasvava määrä asettavat kokoajan kasvavia vaatimuksia järjestelmien ja verkkojen tietoturvalle. Pelkästään järjestelmien ja verkkojen suojaaminen ei riitä, koska järjestelmien ajan tasalla pitäminen on hankalaa. Usein järjestelmien päivitysten hallinta on hankalaa, koska monet tärkeät sovellukset eivät välttämättä toimi uusien päivitysten kanssa. Järjestelmien päivittäminen ei ole reaaliaikaista vaan vaatii hyvin usein ylläpidon toimia esimerkiksi päivitysten toimivuuden testaamisen takia. Tunkeutumisen havaitsemisjärjestelmät auttavat ylläpitäjiä havaitsemaan reaaliaikaisesti tunkeutumiset sekä niiden yritykset ja tuottavat erittäin paljon lisäinformaatiota ylläpidon ja tietoturvasta vastaavien henkilöiden käyttöön. Hyökkäyksessä on tyypillisesti neljä vaihetta, jotka ovat tiedustelu, kohteen ja haavoittuvuuksien etsintä, hyökkäys sekä jälkien peittäminen. Hyökkäykset voidaan luokitella kolmeen osaan jotka ovat : tietomurto tai tiedonvarastaminen, palvelunestohyökkäys ja luvaton käyttö. Hyökkääjiä on taidoiltaan eritasoisia ja heillä on usein eri motiivit, kuten maineen kasvattaminen tai teollisuusvakoilu. Tunkeutumisen havaitsemisjärjestelmät perustuvat sensoreihin, joita on kolmenlaisia. Verkkosensorit kuuntelevat ja analysoivat verkon tietoliikennettä etsien siitä merkkejä tunkeutumisista tai niiden yrityksistä. Tunkeutumisen tai sen yrityksen havaitessaan antaa verkkosensori hälytyksen. Palvelinsensorit tarkkailevat yksittäisen palvelimen tilaa. Mikäli ne havaitsevat siinä muutoksen, antavat ne hälytyksen. Sovellussensorit ovat sovelluksiin sisäänrakennettuja ja ne havaitsevat sovellukseen kohdistuvat hyökkäykset. Tunkeutumisen havaitsemisjärjestelmät käyttävät kolmea eri tekniikkaa tunkeutumisien havaitsemiseen. Nämä tekniikat ovat: poikkeamien, väärinkäytösten ja määrittelyyn perustuva poikkeamien havainnointi. Näitä tekniikoita on mahdollista käyttää yhdessä tai erikseen. Poikkeamien havainnointi käyttää käyttäjien ja sovellusten normaalin toimintatavan malleja etsien eroavuuksia normaalista toiminnasta. Tämän tekniikan etuna

33 29 on uusien tuntemattomien hyökkäysten tunnistaminen. Haittapuolena on, että tämä tekniikka tuottaa tyypillisesti paljon vääriä hälytyksiä. Väärinkäytösten havainnoinnissa määritellään tunkeutumisten tunnisteet, joihin kerättyä tietoa verrataan. Mikäli löydetään vastaavuus, annetaan hälytys. Tyypillisesti väärinkäytösten havainnointiin perustuvat järjestelmät aiheuttavat vähemmän vääriä hälytyksiä kuin muilla tekniikoilla toteutetut järjestelmät. Haittapuolena on, ettei uusia tuntemattomia hyökkäyksiä tunnisteta ja tunnisteet joudutaan erittäin usein päivittämään. Määrittelyyn perustuva poikkeamien havainnointi toimii siten, että käsin määritellään epänormaalit tilat. Epänormaalin tilan havaitessaan järjestelmä antaa hälytyksen. Nykypäivän nopeat sekä kytkentäiset verkot hankaloittavat IDS-järjestelmien käyttöönottoa. Nopeisiin verkkoihin on olemassa lisälaitteita, joiden avulla sensorille tulevaa tietomäärä voidaan annostella niin, että sensoria pystyy sen analysoimaan menettämättä tietoa. Suurin ongelma IDS-järjestelmissä on niiden käyttöönoton sekä käytön hankaluus. Käyttöönottovaiheessa joudutaan tekemään paljon aikaa vievää työtä väärien hälytysten karsimiseksi. Lisäksi järjestelmien luotettavuus ei vielä ole sillä tasolla, että niihin voisi sokeasti luottaa vaan aina tarvitaan ihmisaivojen panosta hälytysten tarkistamiseen. Tämä tarkistaminen vaatii paljon laaja-alaista teknillistä osaamista sekä hyvää tuntemusta kyseisestä verkosta ja sen komponenteista.

34 30 Lähteet Ano98 Anonymous, Maximum Security, a hacker's guide to protecting your Internet site and Network, second edition, Sams publishing, Ano00 Anonymous, Maximum Linux Security, a hacker's guide to protecting your linux server and workstation, Sams Publishing, BaM0 Bace, R., Mell, P., Intrusion Detection Systems (IDS), National Institue of Standards and Technology, [ ]. Bis03 Bishob Matt Computer Security Art and Science, Addison Wesley, Second printing, Ces04 CERT/CC Statistics , Carnegie Mellon University, [ ]. Cur03 Curry D, Debar H, Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition, 2003, [ D/draft-ietf-idwg-idmef-xml-10.txt, ]. Den85 Denning D., Neuman P.G, Requirements and model for IDES-A real time intrusion detection system, Computer Science Lab, SRI nternational, I Den87 Denning D, An Intrusion Detection Model, IEEE Transactions on Software Engineering, Hym04 Hyökkääjät ja motiivit, Viestintävirasto. [ ]. Hyp04 Hyökkäys prosessina, Viestintävirasto