Tunkeutumisen havaitseminen
|
|
- Kari Korhonen
- 7 vuotta sitten
- Katselukertoja:
Transkriptio
1 hyväksymispäivä arvosana arvostelija Tunkeutumisen havaitseminen Kim Nyman Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos
2 HELSINGIN YLIOPISTO - HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Tiedekunta/Osasto - Fakultet/Sektion Faculty/Section Laitos - Institution - Department Matemaattis-luonnontieteellinen Helsingin yliopisto Tekijä - Författare - Author Kim Nyman Työn nimi - Arbetets titel - Title Tunkeutumisen havaitseminen Oppiaine - Läroämne - Subject Tietojenkäsittelytiede Työn laji - Arbetets art - Level Aika - Datum - Month and year Sivumäärä - Sidoantal - Number of pages 29 Tutkielma Tiivistelmä - Referat - Abstract Tässä tutkielmassa keskitytään tunkeutumisen havaitsemisjärjestelmiin - (IDS, Intrusion Detection System). Internetin laajentuminen ja yhä kasvavat tietoturvauhat sekä tietoturvan kasvavat vaatimukset pakottavat ylläpitäjiä etsimään järjestelmiä ja toimintamalleja, joiden avulla tietoturvan tasoa sekä tietoturvan hallinnointia voidaan parantaa. Tunkeutumisen havaitsemisjärjestelmät auttavat ylläpitäjiä tässä vaikeassa tehtävässä. Tutkielmassa tarkastellaan hyökkäyksien teoriaa sekä käydään läpi esimerkin omaisesti muutaman hyökkäyksen toiminta. Tunkeutumisen havaitsemisjärjestelmien historia, toiminta, komponentit ja tarve selostetaan yleisellä tasolla. Tunkeutumisen havaitsemisjärjestelmät ovat ohjelmisto tai laitteistopohjaisia ja ne automatisoivat verkossa tai järjestelmässä tapahtuvien tapahtumien analysoinnin etsien niistä merkkejä tietoturvaloukkauksista. Tunkeutumisen havaitsemisjärjestelmät perustuvat verkko- ja palvelinsensoreihin. Nykysuuntauksessa tunkeutumisen havaitsemisjärjestelmät ovat menossa kohti tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IDP, Intrusion Detection and Prevention). Tunkeutumisen havaitsemisjärjestelmät ovat myös integroitumassa yksittäisiin komponentteihin kuten henkilökohtaisiin palomuureihin. Tunkeutumisen havaitsemisjärjestelmissä on vielä monia avoimia kysymyksiä kuten; tehokkuus, väärien hälytysten karsiminen sekä eri järjestelmien yhteensopivuus. Tunkeutumisen havaitsemisjärjestelmiä tarvitaan tunkeutumisten sekä niiden yrityksien ja todistusaineistojen keräämiseen. ACM Computing Classification System (CCS): C.2.1 [Network Architecture and Design], C.2.2 [Network Protocols], C.2.3 [Network Monitoring], C.2.5 [Local and Wide-Area Networks], K.6.5 [Security and Protection] Avainsanat Nyckelord - Keywords IDS, IPS, IDP, tunkeutumisen havaitseminen, sensori, hyökkäys, tietoturvaloukkaus Säilytyspaikka - Förvaringställe - Where deposited Muita tietoja - Övriga uppgifter - Additional information
3 Sisältö 1 Johdanto Tunkeutumisen havaitseminen Tunkeutumisen havaitsemisen historiaa Tunkeutumisen havaitsemisjärjestelmän komponentit Sensorit Havaitsemistekniikat Tunkeutumisen havaitsemisjärjestelmien jaottelu Sensoreiden sijoittaminen verkkoon Tietoturvaloukkaukset ja hyökkäykset Hyökkääjät ja heidän motiivit Hyökkäyksen kulku Esimerkkejä hyökkäyksistä Lähetyksenohjausprotokolla ja sen hyökkäyksiä Menetelmät ja topologiat Väärinkäytösten havainnointi Poikkeamien havaitseminen Topologiat Tunkeutumisen havaitseminen ja torjuminen Analyysi Ongelmia ja avoimia kysymyksiä Toteutuksia Tulevaisuus Kirjoittajan omia huomioita Yhteenveto...28 Lähteet Liitteet Liite 1. CERT Hyökkäystilastot... 33
4
5 1 1 Johdanto Internetin laajentuminen ja yhä kasvavat tietoturvauhat sekä tietoturvan kasvavat vaatimukset pakottavat ylläpitäjiä etsimään järjestelmiä ja toimintamalleja, joiden avulla tietoturvan tasoa sekä tietoturvan hallinnointia voidaan parantaa. Tunkeutumisen havaitsemisjärjestelmät (IDS, Intrusion Detection System) auttavat ylläpitäjiä tässä vaikeassa tehtävässä [Den87]. Tunkeutumisen havaitsemisjärjestelmät ovat ohjelmisto tai laitteistopohjaisia ja ne automatisoivat verkossa tai järjestelmässä tapahtuvien tapahtumien analysoinnin etsien niistä merkkejä tietoturvaloukkauksista. Nämä voivat kohdistua verkkoon tai verkon yksittäiseen koneeseen. Tunkeutumisen tai sen yrityksen havaitessaan järjestelmä aiheuttaa vasteen, jossa annetaan lisää tietoa kyseisestä tapahtumasta. Tunkeutumisen havaitsemisjärjestelmät keräävät myös todistusaineistoa tunkeutumisista. Luvussa 2 selvitään lyhyesti tunkeutumishavaitsemisjärjestelmien historiaa, niiden komponentit sekä erilaiset havaitsemistekniikat. Tunkeutumisen havaitsemisjärjestelmät perustuvat verkko- ja palvelinsensoreihin. Verkkosensorit etsivät merkkejä tunkeutumisista sekä niiden yrityksistä tietoliikenteestä. Palvelinsensorit tarkkailevat yksittäisen palvelimen tilaa. Sensoreiden oikea sijoittaminen verkkoon on erittäin tärkeää ja siitä kerrotaan luvussa 2. Tunkeutumisen havaitsemisjärjestelmät on suunniteltu järjestelmiin kohdistuvien tunkeutumisten sekä niiden havaitsemiseen. Tämän takia kolmannessa luvussa keskitytään tietoturvaloukkauksiin ja hyökkäyksiin. Luvussa käydään läpi hyökkääjien motiiveja, tyyppejä sekä teoriaa. Muutamien hyökkäysten kuten Smurt- sekä ping-of-death -hyökkäysten toiminta käydään seikkaperäisesti läpi. Samasta luvusta löytyy myös tilastotietoa hyökkäyksistä sekä järjestelmistä löydetyistä haavoittuvuuksista. Neljäs luku keskittyy syvemmin tunkeutumisen havaitsemisjärjestelmien tekniikkaan sekä toimintaan. Tunkeutumisen havaitsemisjärjestelmissä on vielä monia avoimia kysymyksiä; tehokkuus, väärien hälytysten karsiminen sekä eri järjestelmien yhteensopivuus. Näitä kysymyksiä käsitellään luvussa 5. Yhteenveto on luvussa 6.
6 2 Nykysuuntauksessa tunkeutumisen havaitsemisjärjestelmät ovat menossa kohti tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IPS, Intrusion Detection and Prevention System). Tunkeutumisen havaitsemisjärjestelmät ovat myös integroitumassa yksittäisiin komponentteihin kuten henkilökohtaisiin palomuureihin.
7 3 2 Tunkeutumisen havaitseminen Pohjan nykyisille reaaliaikaisille tunkeutumisen havaitsemisjärjestelmille loi Dorothy Denning [Den87] mallillaan, jonka mukaan järjestelmän väärinkäyttäminen edellyttää järjestelmän epänormaalia käyttöä. Malli ei ole riippuvainen käytetystä järjestelmästä, sovelluksesta tai hyökkäystyypistä. Tästä mallista käytetään nimeä IDES (Intrusion-Detection Expert System) [Den85]. Tunkeutumisen havaitsemisjärjestelmän tehtävänä on havaita tietokonejärjestelmiä vastaan suoritettuja tunkeutumisia sekä niiden yrityksiä. Yhtenä lisätehtävänä on kerätä tunkeutumisesta todistusaineistoa. Tunkeutumisen havaitsemisjärjestelmät koostuvat tyypillisesti yhdestä tai useammasta sensorista sekä tietovarastosta ja ylläpitäjän tarkkailusovelluksesta. Sensorit toimivat järjestelmän korvina kuunnellen ja tarkkaillen tietoliikennettä sekä yksittäisen järjestelmän toimintaa. Tietovarastoon tallennetaan sensoreiden havaitsemat tunkeutumiset, joita kutsutaan tapahtumiksi. Näitä tapahtumia ylläpitäjät seuraavat tarkkailusovelluksen avulla. Tunkeutumisen havaitessaan järjestelmä suorittaa vasteen, joista yleisin on hälytyksen generoiminen. Hälytyksessä kuvataan järjestelmän havaitsema hyökkäys. On olemassa aggressiivisempiakin vasteita kuten sähköpostin tai tekstiviestin lähettäminen ylläpitäjälle tai vastahyökkäyksen suorittaminen. Vastahyökkäyksessä reititin tai palomuuri voidaan määritellä estämään hyökkääjän pääsy kohteeseen. Vastahyökkäykset voivat olla vaarallisia, koska ne voivat kohdistua viattomaan kohteeseen oikean hyökkääjän sijaan. Tämä johtuu siitä, että hyökkääjän on helppo väärentää oman koneensa lähdeosoite. Tunkeutumisten havaitsemisjärjestelmät käyttävät kolmea erilaista tekniikkaa, jotka ovat poikkeamien, väärinkäytösten ja määrittelyyn perustuva poikkeamien havainnointi [Bis03]. Tekniikoita on mahdollista käyttää yhdessä tai erikseen.
8 4 2.1 Tunkeutumisen havaitsemisen historiaa Alkujaan järjestelmien ylläpitäjät etsivät merkkejä tunkeutumisista istumalla konsolin ääressä tarkkaillen järjestelmän käyttäjien toimintaa. Tunkeutuminen voitiin havaita esimerkiksi huomaamalla, että lomalla ollut käyttäjä on kirjautuneena järjestelmään. Seuraavassa vaiheessa ylläpitäjät tutkivat järjestelmien lokitietoja etsien niistä merkkejä pahanilkisestä tai epätavallisesta toiminnasta. Tunkeutumisen etsiminen suoritettiin lokitietojen tulosteista 70- ja 80-luvulla. Lokitulosteita tarkkailtiin yleensä vain tietoturvaloukkausepäilyksen takia, niinpä tunkeutumiset havaittiin vasta niiden tapahduttua. Levytietovarastojen tullessa halvemmiksi siirtyivät lokitiedot tiedostoiksi, joiden tutkimiseksi kehitettiin ohjelmia. Ohjelmat suoritettiin öisin, koska tietojen analysointi oli hidasta ja vaati paljon laskentatehoa. Tämän takia tunkeutumiset havaittiin yleensä vasta niiden tapahduttua. Reaaliajassa tietoja analysoivat tunkeutumisen havaitsemisjärjestelmät kehitettiin 90-luvulla [KeV02]. Reaaliaikaisuus mahdollisti tunkeutumisyritysten ja onnistuneiden tunkeutumisten havaitsemisen niiden tapahtuessa. 2.2 Tunkeutumisen havaitsemisjärjestelmän komponentit Tunkeutumisen havaitsemisjärjestelmät koostuvat yhdestä tai useammasta sensorista sekä tietovarastosta, joka voi olla tietokanta tai tiedosto. Sensoreiden päätehtävänä on kerätä ja analysoida tietoa. Sensoreiden analysoima tieto tallennetaan tietovarastoon, joka voi olla tiedosto tai tietokanta. On olemassa kolmenlaisia sensoreita: verkko-, palvelin- ja sovellussensoreita. Sensorit käsitellään tarkemmin tässä luvussa sekä niiden etuja ja haittoja käsitellään luvussa 4. Ylläpitäjät tarkkailevat hälytyksiä joko erillisen käyttöliittymän avulla tai lukemalla suoraan hälytystiedostoa. Tällä hetkellä käyttöliittymät voivat olla erillisiä sovelluksia tai WWW-sivuja.
9 5 2.3 Sensorit Sensorit ovat järjestelmän aivot ja korvat. Sensorit yritetään aina piilottaa mahdollisimman hyvin, jotta hyökkääjät eivät niitä havaitsisi ja täten mahdollisesti yrittäisi niitä kiertää tai hämätä. Sensoreilla on politiikkansa, jonka mukaan ne määrittelevät tapahtuman hyökkäykseksi tai sallituksi. Kaikilla sensoreilla ei välttämättä ole sama politiikka johtuen sensoreiden sijoituspaikasta sekä mahdollisesti palvelinsensorin kyseessä ollessa palvelimen roolista. Esimerkiksi Windows NT-palvelimesta on turhia etsiä UNIX-palvelimia vastaan suunnattuja hyökkäyksiä tai verkkosensorilla etsiä Apple Talk -liikenteen hyökkäyksiä, mikäli Apple Talk ei ole käytössä kyseissä verkon segmentissä. Verkkosensori Verkkosensorin tehtävänä on kuunnella ja analysoida verkkoliikennettä toimien ikään kuin tietoliikenneanalysaattorina tai verkossa olevana korvana. Verkkosensorin tehtävänä on tarkkailla ja analysoida tietoverkon liikennettä. Verkkosensorin sijoittaminen verkkoihin on hankalaa ja vaatii verkon topologian sekä verkossa olevien fyysisten aktiivilaitteiden tuntemista. Aktiivilaitteilla tarkoitetaan verkossa olevia reitittimiä, kytkimiä, palomuureja ja muita tietoliikenteen laitteistoja. Nykyiset kytkentäiset verkot aiheuttavat vaikeuksia verkkosensoreille, koska pelkästään yleislähetysliikenteestä (broadcast) ei tunkeutumisia kovin paljon havaita. Kytkentäisyyden sekä mahdollisten virtuaaliverkkojen (VLAN) takia joudutaan verkon aktiivilaitteita usein konfiguroimaan uudestaan sensorin liittämisen yhteydessä. Tyypillisesti sensorille tehdään kuunteluportti kytkimeen. Verkkosensorilaitteessa on usein useampia verkkokortteja, jolloin laite saadaan liitettyä kahteen tai useampaan verkkoon samanaikaisesti. Sensorin piilottaminen kuunneltavassa verkossa tehdään yleisimmin niin, että kyseiselle verkkokortille ei anneta IP-osoitetta ollenkaan. Toinen mahdollisuus voi olla käyttää muokattua verkkokaapelia, jossa lähetysjohdot on katkaistu. Toista verkkokorttia käytetään hälytysten lähettämiseen sekä sensorin hallintaan. Nykyiset verkot ovat jo niin nopeita, että verkkosensorit eivät pysty niitä analysoimaan ilman lisälaitteita. Näillä lisälaitteilla pystytään jakamaan esimerkiksi
10 6 kahdensuuntainen 1 Gbit/s-verkon tietoliikenne useammallekin sensorille, jotka pystyvät täten liikenteen analysoimaan kadottamatta tietoa. On mainittava, että mikäli tietoliikenne on salattua, ei siitä voida löytää merkkejä tunkeutumisista. Verkkosensorit vaativat tehokkaan laitteiston ja erittäin hyvät verkkokortit kyetäkseen analysoimaan kaiken tietoliikenteen. Suurinopeuksissa verkoissa verkkosensori vaatii erittäin paljon muistia. Palvelinsensori Palvelinsensori tarkkailee yhden tietyn palvelimen tilaa etsien merkkejä epäilyttävästä toiminnasta. Näitä merkkejä etsitään palvelimen lokitiedostoista, muista tiedostoista sekä mahdollisesti myös tulevasta ja lähtevästä tietoliikenteestä. Tietoliikenteen tarkastelun ollessa käytössä toimii palvelinsensori eräänlaisena perinteisen palvelin- ja verkkosensorin yhdistelmänä. Tiedostoille voidaan määrittää tarkistussummat, jotka lasketaan niiden aikaleimojen sekä koon perusteella. Mikäli nämä tarkistussummat muuttuvat, tiedetään myös tiedoston muuttuneen. Mikäli kyseessä ei ole sallittu muutos, voidaan epäillä tietomurtoa. Palvelinsensori ei aiheuta palvelimelle suurta ylimääräistä kuormaa. Palvelinsensori asennetaan kriittisiin sekä erittäin kriittisiin palvelimiin. Sovellussensori Sovellussensori on ohjelmoitu sovelluksen sisään ja se tarkkailee kyseisen sovelluksen toimintaa. Sovellussensoreita ei ole vielä paljon, johtuen siitä, että niiden tekeminen on kallista ja ne ovat aina räätälöityjä tiettyä sovellusta varten. 2.4 Havaitsemistekniikat Tunkeutumisten havaitsemisjärjestelmät käyttävät kolmea erilaista tekniikkaa, jotka ovat poikkeamien (anomaly detection), väärinkäytösten (misuse detection) ja määrittelyyn perustuva poikkeamien havainnointi (spesification-based anomaly detection)[bis03]. Näitä tekniikoita on mahdollista käyttää yhdessä tai erikseen.
11 7 Poikkeamien havainnointi käyttää käyttäjien ja sovellusten normaalin toimintatavan malleja etsien eroavuuksia normaalista toiminnasta. Lähtökohtana on, että hyökkäys tai tunkeutuminen poikkeaa normaalista toimintatavasta. Tämän tekniikan etuna on uusien tuntemattomien hyökkäysten tunnistaminen. Haittapuolena tämä tekniikka tuottaa tyypillisesti paljon vääriä hälytyksiä, eikä se oikein sovellu verkkoihin, jotka muuttuvat dynaamisesti. Väärinkäytösten havainnointiin perustuvat järjestelmät määrittävät mikä on väärinkäytös. Kerättyä tietoa verrataan hyökkäyksien tunnisteisiin. Tyypillisesti väärinkäytösten havainnointiin perustuvat järjestelmät aiheuttavat tämän takia vähemmän vääriä hälytyksiä. Haittapuolena on, ettei uusia tuntemattomia hyökkäyksiä tunnisteta ja tunnisteet joudutaan usein päivittämään. Ensimmäinen väärinkäytösten havainnointiin perustuva järjestelmä oli IDES [Den85]. Määrittelyyn perustuva poikkeamien havainnointi toimii siten, että määritellään käsin epänormaalit tilat. Epänormaalin tilan havaitessaan järjestelmä antaa hälytyksen. 2.5 Tunkeutumisen havaitsemisjärjestelmien jaottelu Tunkeutumisen havaitsemisjärjestelmät voidaan jaotella taulukon 1 mukaisesti kolmella eri tavalla topologian, menetelmän tai toiminnan perusteella. Topologia Palvelin sensori Verkko sensori Sovellus sensori Host based IDS, HIDS Network based IDS, NIDS Menetelmä Väärinkäytösten Poikkeamien havaitseminen havaitseminen Toiminta Passiivinen Aktiivinen Application based IDS Määrittelyyn perustuva poikkeamien havaitseminen Taulukko 1. IDS-järjestelmien jaottelu.
12 8 Topologisessa jaottelussa toimii jakajana sensorin tarkkailuympäristö. Palvelimen toimintaa tarkkailevia järjestelmiä kutsutaan palvelin pohjaisiksi tunkeutumisen havaitsemisjärjestelmiksi (Host based IDS). Verkkoliikennettä tarkkailevat järjestelmät ovat verkkopohjaisia tunkeutumisen havaitsemisjärjestelmiä (network based IDS). Yksittäisessä sovelluksessa toimivat järjestelmät ovat sovelluspohjaisia tunkeutumisen havaitsemisjärjestelmiä (application based IDS). Tunkeutumisen havaitsemisjärjestelmän käyttämän metodin perusteella järjestelmät voidaan jakaa kolmeen osaan, jotka ovat väärinkäytösten havaitseminen (misuse detection), poikkeamien havaitseminen (anomaly detection) ja määrittelyyn perustuva poikkeamien havainnointi (spesification based anomaly detection). Tunkeutumisen havaitsemisjärjestelmät voidaan jakaa niiden toiminnan perusteella. Toiminta voi olla joko passiivista tai aktiivista. Passiiviset järjestelmät generoivat passiivisen vasteen tapahtuman havaitessaan. Aktiivisen vasteen generoivista järjestelmistä käytetään nimitystä tunkeutumisen havaitsemis- ja torjuntajärjestelmä. Hybridijärjestelmiksi kutsutaan järjestelmiä, jotka ovat sekä palvelin- että verkkopohjaisia sekä myös järjestelmiä, jotka käyttävät kahta tai useampaa havainnointitekniikkaa. 2.6 Sensoreiden sijoittaminen verkkoon Sensoreiden oikea sijoittaminen verkkoon on erittäin tärkeätä. Kuva 1 mallintaa hyvin yleistä sensoreiden ja IDS-järjestelmän komponenttien sijoittelutapaa [Bam01]. Palvelinsensoreiden sijoittaminen on jätetty kuvasta pois. Järkevä verkkosensoreiden sijoittaminen tarkoittaa lähes aina niiden hajauttamista verkon kriittisten solmukohtien lähettyville. Mitä suurempi ja monimutkaisempi verkko sitä enemmän tarvitaan verkkosensoreita. Kuvan 1 verkko on hieman yksinkertaistettu, mutta sopii sinällään hyvänä perustana myös suuremmille verkoille. Kuvan keskeisin elementti on palomuuri, joka jakaa verkon eri segmentteihin ulkoverkkoon, harmaaseen alueeseen, hallintaverkkoon ja sisäverkkoon. Internetiin
13 9 päin näkyvät palvelimet sijaitsevat harmaalla alueella. Sisäverkossa on työasemat sekä niiden tarvitsemat palvelut. Hallintaverkosta löytyy verkonhallintaan tarvittavat komponentit. Internet Verkkosensori Verkkosensori Harmaa alue Palomuuri Hallintaverkko Palvelin Palvelin Tietokanta sisäverkko Verkkosensori Työasema Työasema Työasema Kuva 1. Verkkosensoreiden sijoittaminen verkkoon. Useasti verkkosensori sijoitetaan ulkoverkkoon organisaation palomuurin ja Internet-yhteyden palveluntarjoajan reitittimen väliin. Kyseinen sensori löytyy kuvasta 1 nimellä verkkosensori 1. Sensorin sijoittaminen ulkoverkkoon ei välttämättä tuo mitään suurta lisäetua, koska ulkoverkossa hälytyksiä tapahtuu paljon ja organisaation turvana oleva palomuuri torjuu ne. Suurin osa näistä ulkoverkon hälytyksistä kuuluu Internetin normaaliin kohinaan. Sensorin sijoittaminen harmaalle alueelle on järkevää ja tällöin yhdessä ulkoverkon ja harmaan alueen sensorin sekä palomuurin lokitietojen avulla saadaan selkeä jälki ja todiste mahdollisesta tietomurrosta. Toinen looginen paikka verkkosensorille on sisäverkossa. Edelleen pitää paikkansa, että suurin uhka tietomurroille tulee sisäverkoista käsin. Mikäli tietoturvapolitiikassa määritellään esimerkiksi porttiskannaamiset (port scan) kielletyiksi, tulee olla olemassa jotain välineitä, joilla kyseiset kielletyt tapahtumat ha-
14 10 vaitaan. Tunkeutumisen havaitsemisjärjestelmät sopivat tähän tehdään erittäin hyvin. Sensorit on yhdistetty hallintaverkkoon erillisellä verkkokortilla, jolloin sensorit voidaan täysin piilottaa kuunneltavissa verkoissa. Omalla ja eristetyllä hallintaverkolla taataan myös IDS-järjestelmän turvallisuus.
15 11 3 Tietoturvaloukkaukset ja hyökkäykset Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa organisaation, yrityksen, yhteisön tai yksityisen henkilön tietojärjestelmän tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta oikeudettomasti muutetaan [Thr04]. Maailmalla on useita julkisia organisaatiota, joiden päätehtävänä on tietoturvaloukkauksien ennaltaehkäisy ja niiden havainnointi sekä niistä tiedottaminen. Näistä organisaatioista käytetään nimitystä CERT (Computer Emergency Responce Team). Organisaatiota on useita ympäri maailmaa Suomellakin on omansa - ja ne toimivat yhteistyössä keskenään jakaen tietoa tietoturvaloukkauksista ja niihin liittyvistä seikoista sekä tiedottavat niistä järjestelmien käyttäjille esimerkiksi Internetin välityksellä. Kuvassa 2 on Computer Emergency Responce Team (CERT) -organisaation laatima tilasto sen tietoon tulleista hyökkäyksistä sekä löydetyistä haavoittuvuuksista vuosilta CERT [Ces04]. Tilastosta ilmenee hyvin kuinka tapahtumien määrä on kasvanut vuosien saatossa lähes exponentiaalisesti, myös löydettyjen haavoittuvuuksien määrä on kasvanut vuosi vuodelta. Liitteestä 1 löytyy kuvan 2 tilaston numeroarvot. Hyökkäys- ja haavoittuvuustilastot Määrä Tapahtumia Haavoittuvuudet Vuosi Kuva 2 Hyökkäystilasto ( Hyökkäykset voidaan luokitella karkeasti kolmeen osaan jotka ovat : tietomurto tai tiedonvarastaminen (information disclosure), palvelunestohyökkäys (denial of
16 12 service, DoS) ja luvaton käyttö (compromise). Kyseinen luokitus on hyvin yleinen ja noudattaa Suomen CERT:in määrityksiä [Hyö04a]. Käytetty hyökkäystyyppi riippuu usein hyökkääjän motiivista ja tavoitteista. Tietomurrossa tai tiedonvarastamisessa hyökkääjä anastaa kohteen tietoja. Tyypillisesti nämä ovat väärin konfiguroituja palveluita, jotka paljastavat potentiaaliselle hyökkääjälle enemmän tietoa kuin järjestelmän ylläpitäjällä oli tarkoitus. Muutamia esimerkkejä: - SMTP/WWW palvelimen viiri (banner) tiedot paljastavat kyseisen sovelluksen versiotiedot, joskus paljon enemmänkin. - Nimipalvelin, joka sallii alue-kyselyt (zone load). Alue-kyselyillä voidaan nopeasti ja helposti kysyä nimipalvelimelta kaikki kyseisen alueen (DOMAIN) palvelimet. - SNMP palvelu public tai jolloin muulla helposti arvattavalla yhteisönimellä (community) ilman kysyjän osoiterajoituksia paljastaa useasti paljon tietoa, joista osa saattaa olla arkaluontoista. Palvelunestohyökkäyksellä tarkoitetaan hyökkäystä, jolla hyökkääjä pyrkii hidastamaan, estämään tai hankaloittamaan kohteen toimintaa. Palvelunestohyökkäyksestä on olemassa laajennettu versio nimeltä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS). Tietyt versiot ohjelmistoista ja käyttöjärjestelmistäkin mahdollistavat palvelunestohyökkäyksen verkon yli käyttäen räätälöityjä paketteja. Tyypillisiä esimerkkejä: - Windows NT ilman korjauspäivityksiä mahdollistaa koneen kaatamisen etäältä käyttämällä liian suurta pakettia. Tämä selostetaan tarkemmin luvussa Reititin tai palomuuri, joka päästää Internetin ohjausviestiprotokollan (Internet Control Message Protocol, ICMP) echo request -paketit lähetettyinä yleislähetys-osoitteisiin (broadcast) läpi. Tämä mahdollistaa Smurfhyökkäyksen, joka selostetaan tarkemmin myöhemmin.
17 13 Luvattomassa käytössä hyökkääjä käyttää kohteen resursseja hyödykseen. Luvaton käyttö edellyttää onnistunutta hyökkäystä kohteeseen. Tyypillisiä esimerkkejä haavoittuvista sovelluksista: - Linux kone telnet-palvelulla mahdollistaa raaka voima (brute force) hyökkäykset käyttäjätunnus salasanaparia vastaan. - Apache WWW-palvelin, joka versio on alle Microsoft IIS, jossa on mallisivut asennettuna. 3.1 Hyökkääjät ja heidän motiivit Tietoturvaloukkauksen suorittava hyökkääjä voi olla kuka tahansa uteliaasta kokeilijasta teollisuusvakoilijaan. Hyökkääjät voidaan jaotella seuraavasti: seikkailijat, hakkerit / krakkerit, vakoojat / tiedustelupalvelut, kilpailevat yritykset, entiset työntekijät / konsultit, haktivistit ja sabotoijat [Hym04]. Seikkailijat ovat yleensä nuoria, jotka kokeilevat Internetistä löytyviä työkaluja ymmärtämättä niiden toimintaa saati mahdollisia seuraamuksia. Hakkereilta ja krakkereilta löytyy taitoa ja osaamista ja heitä voi jo pitää vaarana. Haktivistit ovat uusi ryhmä, joka voidaan kategorioida verkkoon siirtyneiksi (eläin tai vastaava) aktivisteiksi. Entiset työntekijät, konsultit, vakoojat kilpailevat yritykset ovat jo erittäin vaarallisia, koska heiltä löytyy tarvittava tieto ja vakoojien ja kilpailevien yritysten tapauksessa tarvittava raha. Kuva 3 havainnollistaa eri hyökkääjien taitoa ja käytössä olevaa raha määrää. Hyökkääjän motiivit vaihtelevat ja ne voivat olla seikkailun halusta ja maineen kasvattamisesta teollisuusvakoiluun ja elektroniseen sodankäyntiin.
18 14 RAHA Tiedustelupalvelu Armeija Krakkeri Seikkailijat Haktivisti Hakkeri TAITO Kuva 3. Hyökkääjien raha ja taito. 3.2 Hyökkäyksen kulku Hyökkäyksessä on tyypillisesti neljä vaihetta, jotka ovat tiedustelu, kohteen ja haavoittuvuuksien etsintä, hyökkäys sekä jälkien peittäminen. Itse hyökkäysprosessi kokonaisuudessaan voi kestää kuukausia tai jopa vuosia riippuen käytettävästä rahamäärästä sekä tahdosta. Vaiheistuksia on erilaisia, mutta yleisesti vaiheistuksen voi kiteyttää edellä kuvatulla tavalla [Ano98, WTS03, Hyp04]. Tiedusteluvaiheessa kohteesta etsitään mahdollisimman paljon tietoa käyttäen hyväksi esimerkiksi uutisryhmiä, nimipalvelutietoja, sosiaalista tiedonkeruuta ja kohteen www-sivuja. Seuraavaksi koetetaan saada selville kohteen verkkotopologia, siinä olevat laitteet ja näissä käynnissä olevat palvelut. Näiden tietojen avulla kohteen valintaa tarkennetaan. Tiedustelussa ilmenneiden tietojen perusteella kohteen verkosta/verkoista etsitään aktiivisia palvelimia. Kohteen ja haavoittuvuuksien etsintä -vaihe aloitetaan yleensä traceroute-komennolla, joka kertoo reitin lähteestä kohteeseen. Tämä voi
19 15 paljastaa matkan varrella olevia paketteja suodattavia laitteita. Aktiivisia palvelimia etsitään lähettämällä erityyppisiä paketteja kohteen verkkoon ja tarkistamalla paluupakettien sisältö. Mikäli välissä ei ole pakettisuodattamia, löytyvät aktiiviset laitteet nopeasti, muutoin tässä voi mennä aikaa. On olemassa muitakin tapoja kuten esimerkiksi sosiaalinen hakkerointi (Social- Engineering), jossa käytetään hyväksi ihmisten hyväntahtoisuutta. Hyökkääjä voi esimerkiksi pyytää sähköpostilla tai puhelimitse kohteen henkilökunnalta käyttäjätunnuksia ja salasanoja tekeytyen kohteen työntekijäksi [Hyö04b]. Muun muassa Kevin Mitnick oli sosiaalisen hakkeroinnin mestari huiputtaen monia kansainvälisiä ja erittäin tunnettuja yrityksiä [Ran04] kuten Nokiaa. Aktiivisissa laitteissa olevien palvelujen löytämiseksi käytetään erilaisia porttiskanneriohjelmistoja. Näillä ohjelmistoilla hyökkääjä tutkii kohteensa avoimia tietoliikenneportteja ja kohteessa käytössä olevia palveluita. Esimerkiksi NMAP on hyvin yleisesti käytetty porttiskanneri sekä käyttöjärjestelmän tunnistava ohjelmisto [Fyo04]. Porttiskannauksen valmistuttua suoritetaan löydettyjen palveluiden versioiden tarkistus. Monet sovellukset kertovat paljon tietoa ulkopuolisille niissä olevissa viireissä (BANNER). Melkein kaikkien viirien tietoa voidaan muokata, mutta näin tehdään valitettavasti hyvin harvoin. Seuraavaksi jo löydetyistä palveluista etsitään tunnettuja ja uusia haavoittuvuuksia. Haavoittuvuuksista kertovia lähteitä on useita, joista osa on kaupallisia. Itse sovelluksessakin voi olla virheitä tai annettua syötettä ei tarkisteta kunnolla. Tämä esimerkiksi www-sovelluksen tapauksessa voi olla cgi, perl, sh tai jokin muu scripti. Omia kyselyitäkin voi olla mahdollista suorittaa SQL-lisäyksellä (sqlinjection). Palveluiden ja sovellusten konfiguroinnissakin voi olla virheitä, jotka voivat mahdollistaa järjestelmän etähallinnan. Hyökkäys toteutetaan usein siten, että ylläpitäjien huomio kohdistetaan muihin järjestelmiin esimerkiksi SYN-tulvalla tai massiivisella porttiskannauksella käyttäen apuna väärennettyä lähdeosoitetta. Samanaikaisesti suoritetaan hyökkäys käyttäen hyväksi aiemmissa vaiheissa saatuja tietoja. Onnistuneen hyökkäyksen jälkeen voidaan järjestelmään asentaa takaporttiohjelmistoja, salasanan nuuskijoita
20 16 ynnä muita haitallisia ohjelmistoja sekä anastaa tietoja tai käyttää kohdetta alustana seuraavaan kohteeseen kohdistuvassa hyökkäyksessä. Viimeisenä vaiheena on jälkien peittäminen. Tässä vaiheessa hyökkääjä tuhoaa tai muokkaa järjestelmän lokitiedostoja sekä peittää omat asentamansa ohjelmistot muuttamalla niiden tiedostonimiä tai sijoittamalla ne vaikeasti havaittaviin paikkoihin. Tyypillisesti lokitiedoista muutetaan tai poistetaan kokonaan hyökkääjän tiedot. 3.3 Esimerkkejä hyökkäyksistä Hyökkäysesimerkkien ymmärtäminen vaatii vähintään perustiedot seuraavista protokollista IP (Internet Protocol, internet protokolla [Pos81a]), TCP (Transmission Control Protocol, lähetyksenohjausprotokolla [Pos81b]), ICMP (Internet Control Message Protocol, internetin ohjausviestiprotokolla [Pos81c]). Tässä tutkielmassa käydään läpi vain ne asiat, jotka ovat tarpeellisia myöhemmin selostettavien hyökkäysten tai menetelmien ymmärtämiseen. Kaikki liikenne Internetissä perustuu IP-protokollaan, jonka rakenteita muut protokollat käyttävät hyväkseen Lähetyksenohjausprotokolla ja sen hyökkäyksiä TCP-protokolla on luotettava yhteyspohjainen protokolla, jota käytetään tunnetuissa sovellutuksissa kuten sähköpostin välityksessä. Protokollaan kuuluu tärkeänä yksityiskohtana yhteydenmuodostumisvaiheen kättely. Yhteydenmuodostaminen tapahtuu kuvan 4 mukaisesti, jossa lähetetyt viestit on kuvattu suhteessa aikaan joka kasvaa alaspäin. Ensimmäinen lähetetty viesti on siten ylimpänä. Työasema aloittaa yhteydenmuodostamisen lähettämällä ensimmäisen paketin SYN-lippu (FLAG) päällä palvelimelle, joka vastaa SYN + ACK -lipuilla, mikäli se tarjoaa kysyttyä palvelua ja pystyy ottamaan yhteyden vastaan. Kolmannen paketin ACKlippu ylhäällä lähettää työasema palvelimelle ilmoittaen edelleen haluavan jatkaa yhteyttä. Yhteys on näin muodostunut. Koska yhteyden muodostamiseen tarvitaan kolmen paketin vaihto, puhutaan usein kolmivaiheisesta kättelystä.
21 17 työasema SYN palvelin SYN + ACK ACK Kuva 4. TCP-protokollan yhteyden muodostaminen. Lähetyksenohjausprotokollan hyökkäyksiä ovat esimerkiksi seuraavat maahyökkäys (Land Attack) irti tiputus (Tear Drop) ja kartoitustekniikkana puoliavoin skannaus (stealth scan / half open scan) [Ano98, NoN01]. sekä yleinen SYN-tulva (SYN Flood). Maahyökkäys on hyvin yksinkertainen palvelunestohyökkäys ja perustuu siihen, että lähde ja kohde ip-osoitteet ovat samat ja täysin tarkassa määritelmässä myös lähde- ja kohdeportit ovat samoja. Irti pudotus hyökkäys käyttää hienouksia verrattuna smurffiin. Se nimittäin hyödyntää sitä tosiasiaa, että verkkoprotokollien pinot eivät ole hyviä matematiikassa varsinkin negatiivisissa luvuissa. Hyökkäyksen juju on siinä, että lähetetään paloiteltuja paketteja kohteeseen siten, että myöhemmät paketit alkavatkin aiemmasta palan kohdasta kuin on odotettavissa, jolloin joudutaan käyttämään negatiivisia lukuja, jotka voivat muuttua suuriksikin positiiviksi luvuiksi. Tällöin järjestelmä saattaa hyvinkin kirjoittaa toisen ohjelman muistiosoitteen päälle aiheuttaen käyttöjärjestelmän pysähtymisen [NoN01] [Ano00]. Palvelunestohyökkäyksistä voidaan mainita SYN-tulva, jossa hyökkääjä lähettää nopeaan tahtiin suuren määrän yhteydenmuodostuspyyntöjä kohteelle estäen siten normaalien käyttäjien pääsyn palveluun. Palvelunesto tapahtuu koska, palvelimen vastaanottopuskurit täyttyvät hyökkääjään pyynnöistä. Hyökkäys tehdään
22 18 kuvan 4 mukaisesti siten, että hyökkääjä lähettää vain ensimmäisen SYN-viestin palvelimelle, joka jää odottamaan hyökkääjän seuraavaa viestiä jota ei koskaan tule varaten täten aina yhden yhteyspaikan. Puoliavoin skannaus (half-open tai stealth scan) tehdään siten, että täydellistä TCP-yhteyttä ei muodosteta vaan lähetetään yhteydenavauspyyntö eli SYN-lipulla varustettu paketti kohteeseen. Tämän jälkeen odotetaan kohteen vastausta. Mikäli kohde vastaa paketilla, jossa SYN- ja ACK-liput ovat päällä tiedetään kokeillun palvelun olevan auki kohteessa. Hyökkääjä vastaa tähän pakettiin RST (reset) -lipullisella paketilla, joka välittömästi sulkee yhteyden. Mikäli kohteessa ei ole avointa palvelua kokeillussa portissa ilmenee se siten, että kohde palauttaa RSTpaketin. Tämän skannaustekniikan etuna on se, että harvat kohteet kirjoittavasta näistä yrityksistä lokeihinsa, jolloin nämä skannaukset jäävät huomaamatta. Internetin ohjausviestiprotokolla ja sitä käyttäviä hyökkäyksiä Internetin ohjausviestiprotokolla kehitettiin harmittomaksi tavaksi ilmoittaa virhetilanteista sekä lähettää ja vastata yksinkertaisiin pyyntöihin. Merkittävinä eroina TCP:hen ja ICMP:en välillä on, että ICMP tukee yleislähetystä ja siinä ei ole porttikäsitettä. ICMP viestit voivat kadota tai jäädä lähettämättä toisin kuin TCP:een tapauksessa. ICMP viestit paketoidaan IP:een sisälle kuten TCP-paketitkin, mutta ICMP niitä pidetään osana IP-kerrosta. Yleisin sovellus, joka käyttää ICMP:tä on ping tai traceroute. Ping ohjelma lähettää ICMP echo-request pyynnön kohteelle, joka vastaa normaalioloissa ICMP echo-reply viestillä [Pos81c]. Kuten myöhemmin selostetaan myös harmittomaksi suunniteltua ICMP:tä voidaan käyttää erittäin menestyksekkäästi väärin. Ohjausviestiprotokollan hyökkäyksiä ovat kuuluisat ping-of-death sekä smurf -hyökkäykset [Cac98]. Kuoleman pyyntö (ping-of-death) toimii siten, että kohteeseen lähetetään paloiteltu (fragmented) ICMP echo-request pyyntö, jonka koko on suurempi kuin IP-pakettiin mahtuva tietosisältö. Tietosisällön koko on tavua, joten jos lähetään tavua kohteeseen saa se aikaan palvelunestohyökkäyksen kaatamalla kohteena olevan koneen, mikäli sitä ei ole päivitetty.
23 19 Kuoleman pyyntö on vanha haavoittuvuus joka toimi Microsoft Windows 95, NT sekä vanhempien 2.0.x LINUX -ytimien kanssa. Smurf-hyökkäys on yksi niistä harvoista hyökkäykisitä, joiden estämiseen on luotu IETF:än (Internet Engineering Task Force) RFC [Sen99]. Tämä sen takia, että smurf-hyökkäys oli todellakin niin vaarallinen, että se piti saada kytkettyä pois. Nykyisin smurf-hyökkäyksellä ei ole paljon tehoa. Smurf perustuu siihen, että ICMP echo-request -paketin lähdeosoite väärennetään kohdeosoitteeksi ja lähetetään kohteen verkon yleislähetysosoitteeseen. Tällöin kaikki kohdekoneen verkon aktiiviset koneet vastaavat ping-pyyntöön ja lähettävät vastauksensa kohteelle tukehduttaen sen tai sen kaistan ping-vastauksiin. Sekä kuoleman pyyntö, että smurfhyökkäykset ovat hyvin yksinkertaisia, mutta osoittavat hyvin kuinka protokollia voidaan käyttää väärin aiheuttaen pahoja seuraamuksia.
24 20 4 Menetelmät ja topologiat Tässä luvussa kuvataan tunkeutumisen havaitsemisjärjestelmien käyttämät analysointimenetelmät niiden sekä eri topologien edut ja haitat. Menetelmä voi perustua ennalta määriteltyihin tunnusmerkkeihin, jolloin kyseessä on väärinkäytösten havainnointi. Toisena tekniikkana on kahteen alitekniikkaan jakautuva poikkeaminen havaitseminen, joka perustuu normaaliin ja epänormaaliin tilaan. 4.1 Väärinkäytösten havainnointi Väärinkäytösten havainnointi perustuu ennalta määriteltyihin tunkeutumisten tunnistusmerkkeihin [BIS03]. Näitä tunnistusmerkkejä täytyy päivittää aina uuden hyökkäyksen tai viruksen löytyessä. Vastaavaa jatkuvaa päivitystoimintaa ei poikkeamien havaitsemistekniikkaa käyttävissä järjestelmissä tarvitse tehdä. Väärinkäytösten havainnoinnin etuina ovat vähäinen väärien hälytysten määrä sekä tunnettujen hyökkäystyökalujen ja metodien varma tunnistaminen [Bam01]. Tekniikka ei havaitse uusia tuntemattomia hyökkäyksiä ennen kuin järjestelmään on syötetty kyseisen hyökkäyksen tunnusmerkit, tämä on selkeä haitta. Tämä onkin tämän tekniikan pahin puute [BIS03, Bam01]. 4.2 Poikkeamien havaitseminen Poikkeamien havaitseminen jakautuu kahteen tekniikkaan, jotka eroavat poikkeamien määritysmenetelmissä. Näiden erot selitetään jäljempänä. Automatisoitu poikkeamien havaitseminen Tämä tekniikka jakautuu kahteen selvään vaiheeseen, jotka ovat harjoitus- ja havainnointivaihe. Harjoitusvaiheessa järjestelmä määrittelee normaalitilanteen tarkkailemalla tietoliikenneverkon tai jonkin järjestelmän toimintaa. Tässä vaiheessa tapahtuvat tunkeutumiset tai niiden yritykset jäävät huomaamatta. Itse asiassa vastaavat tilanteet tulkitaan normaaliksi myös havainnointitilassa, mikä on selkeä haitta.
25 21 Normaalitilanteen määrittelyn jälkeen järjestelmä siirtyy havainnointitilaan. Havainnointitilassa järjestelmä tunnistaa poikkeamat normaalitilasta aiheuttaen näistä hälytyksen. Normaalitilan muuttuessa, vaikka uuden aktiivilaitteen tai verkon topologiamuutoksen vuoksi, joudutaan harjoitusvaihe suorittamaan uudestaan. Tämän tekniikan eduksi voidaan sanoa uusien tuntemattomien hyökkäysten havaitseminen haittapuolena on kuitenkin suuri määrä vääriä hälytyksiä [Bam01, BIS03]. Määrittelyyn perustuva poikkeamien havainnointi Tässä tekniikassa etsitään tiloja, jotka eivät ole normaaleja. Systeemin tai järjestelmän siirtyessä epänormaaliin tilaan annetaan hälytys. Tämä tekniikka on hyvin samanlainen kuin poikkeamien havaitseminenkin, mutta tässä tekniikassa tilat määritellään käsin. Tämän tekniikan etuna on hyvin pieni väärien hälytysten määrä. Haittapuolena on pitkä ja hankala tilojen määrittelyvaihe [BIS03]. 4.3 Topologiat Palvelinpohjaiset järjestelmät Palvelinpohjaiset tunkeutumisen havaitsemisjärjestelmät asennetaan tyypillisesti kriittisiin palvelimiin ja ne perustuvat palvelinsensoreihin. Palvelimen käyttöjärjestelmän toimintaa ja lokitietoja sekä tiedostojen muutoksia tarkkaillaan väärinkäytösten varalta [BaM01]. Palvelinpohjainen järjestelmä voi huomata hyökkäyksiä, joita verkkopohjainen järjestelmä ei huomaa. Nämä järjestelmät voivat toimia salatussa tietoliikenneympäristössä, koska salaus puretaan kyseisessä järjestelmässä. Myöskään kytkentäiset ympäristöt eivät aiheuta ongelmia palvelinpohjaisille järjestelmille samaisesta syystä. Ne voivat myös havaita paremmin järjestelmässä olevia haittaohjelmia [Bam01]. Haittaohjelmien avulla hyökkääjä voi pystyä kiertämään järjestelmän turvallisuusominaisuudet ja avaamaan hyökkäysreitin järjestelmän sisältä päin. Näitä järjestelmiä on hankalampi konfiguroida, koska ne ovat täysin järjestelmäriippuvaisia ja siten jokainen palvelin on oma yksilönsä vaatien oman konfiguraation [Bam01]. Muina haittoina voidaan luetella seuraavat: ne eivät sovellu hyvin verkkoskannauksien havaitsemiseen, ne voidaan saada pois toiminnasta palve-
26 22 lunestohyökkäyksellä ja ne käyttävät kyseisen palvelimen prosessiaikaa vieden tehoja pois palvelimen oikealta käyttötarkoitukselta [Bam01]. Verkkopohjaiset järjestelmät Verkkopohjaiset järjestelmät toimivat tietoliikenteen kuuntelijoina etsien tietoliikenteestä merkkejä hyökkäyksistä. Oikein sijoitettuna verkkopohjainen järjestelmä voi tarkkailla suurtakin verkkoa ja se voidaan tehdä näkymättömäksi verkossa sekä se voidaan suojata erittäin hyvin hyökkäyksiä vastaan. Verkkosensorin lamaannuttaminen palvelunestohyökkäyksellä on huomattavasti hankalampaa kuin palvelinsensorin. Tämä tekniikka ei löydä hyökkäyksiä salatusta tietoliikenteestä ja suorituskykyvaatimukset järjestelmille ovat kovat. Nykyiset verkot ovat niin nopeita, että nämä järjestelmät eivät yksinkertaisesti pysty prosessoimaan saamaansa tietoa. Myös paloitellut tietoliikennepaketit aiheuttavat monille tunkeutumisen havaitsemisjärjestelmille ongelmia [Bam01]. Sovelluspohjaiset järjestelmät Sovelluspohjaiset järjestelmät ovat oikeastaan palvelinpohjaisten järjestelmien aliluokka. Nämä järjestelmät analysoivat sovelluksessa tapahtuvia tapahtumia ja tutkivat sovelluksen lokitietoja. Tämän tekniikan etuina ovat käyttäjien ja sovelluksen välisen toiminnan tarkkailu. Ne voivat toimia ympäristöissä missä tietoliikenne on salattua. Sovelluspohjaiset järjestelmät eivät huomaa yleensä itse palvelimeen kohdistuvia muita hyökkäyksiä eivätkä haittaohjelmia [Bam01]. 4.4 Tunkeutumisen havaitseminen ja torjuminen Tunkeutumisen havaitsemisjärjestelmät ovat muuntumassa tunkeutumisen havaitsemis- ja torjuntajärjestelmiksi (IDP), jotka pystyvät lisäksi aktiivisesti torjumaan hyökkäyksiä. Tosin nykyisetkin tunkeutumisen havaitsemisjärjestelmät omaat tietyltä ostin tämän toiminnon, esimerkkinä mainittakoon TCP-yhteyden katkaisu lähettämällä RST-paketti sekä hyökkääjälle, että kohteelle. Tämä on kuitenkin IDSjärjestelmien tulevaisuuden suuntaus. Toisaalta IDP-järjestelmien kanssa täytyy
27 23 olla erittäin varovainen, ettei niillä aiheuta vahinkoa. Esimerkiksi seuraavassa tilanteessa IDP-järjestelmät voivat aiheuttaa vahinkoa. Hyökkääjä väärentää oman IP-osoitteensa jonkin WWW-palvelimen osoitteeksi ja suorittaa tunkeutumisen yrityksiä. Järjestelmä huomaa tämän ja estää kaiken liikenteen kyseisestä WWW-palvelimen osoitteesta. Tällöin järjestelmä on tehnyt itse palvelunestohyökkäyksen (DoS, Denial of Service).
28 24 5 Analyysi Tässä luvussa käydään läpi tunkeutumisen havaitsemisjärjestelmien ongelmia ja avoimia kysymyksiä. Ongelmia ovat suorituskyky, vaikea käyttöönotto, analysointi sekä valvonta. 5.1 Ongelmia ja avoimia kysymyksiä Vaikkakin tunkeutumisen havaitsemisjärjestelmät ovat kehittyneet paljon viime vuosien aikana, on vielä monia tärkeitä avoimia kysymyksiä. Järjestelmien tulee olla riittävän tehokkaita huomaten enemmän oikeita hälytyksiä ja aiheuttaen paljon vähemmän vääriä hälytyksiä. Toiseksi järjestelmien tulee pysyä verkkojen kehityksen mukana vastaten verkkojen kasvavien nopeuksien, koon ja dynaamisuuden vaatimuksiin. Viimeisenä järjestelmien tulee havaita koko verkkoa vastaan suoritetut hyökkäykset. Tämän päivän järjestelmät nojaavat suurimmaksi osaksi väärinkäytösten havainnointitekniikkaan. Se ei pelkästään riitä vaan tarvitaan hybridijärjestelmiä, jotka käyttävät poikkeamien sekä väärinkäytösten havainnointitekniikoita analysoinnissa. Pelkästään erilaisten hyökkäysten havainnointi ei riitä, vaan järjestelmien tulee pysyä mukana analysoitavan tietomäärän kanssa. Nykypäivän nopeat verkot ja kokoajan kasvavat järjestelmien laskentatehot lisäävät analysoitavan tiedon määrää, joka aiheuttaa suurempia vaatimuksia tunkeutumisen havainnointijärjestelmien laitteistolle. Verkkoanalysointi Havainnointisensoreiden sijoittaminen verkon eri puolille mahdollistaa koko verkkoa vastaan suunnattujen hyökkäysten sekä itse hyökkäyksessä käytetyn tietoliikennepolun havaitsemisen, kuten kuvasta 5 näkyy. Suuri määrä sensoreita aiheuttaa lisää työtä sensoreiden ylläpidossa sekä asettaa uusia vaatimuksia verkolle ja sen topologialle ja aktiivilaitteille.
29 25 Kattava verkkojen valvonta: Valvomo A A A Valvomo C (A=Agent) A Valvomo B Hyökkäys nähdään kaikkialla. Aika paljastaa tekijän. 5.2 Toteutuksia Kuva 5. Kattava verkon valvonta. Nykyisin on olemassa monia kaupallisia toteutuksia, joista kenties tunnetuin on Internet Security Systems in (ISS) RealSecure [ISS04]. Avoimeen lähdekoodin perustuva Snort [Roe04] on hyvin yleisessä käytössä. Näiden kahden toteutuksen ero on siinä, että ISS:llä on erittäin hyvä käyttöliittymä, jolla hallinta ja hälytysten tarkastelu on tehty erittäin helpoksi. Snort:iin on saatavilla muutamia käyttöliittymiä, mutta ne eivät ole lähelläkään ISS:än tasoa. On kuitenkin todettava, että havaitsemiskyvyiltään ja omien hälytysten teossa Snort on parempi kuin ISS. 5.3 Tulevaisuus Vaikka tietoverkkojen turvallisuus kasvaa koko ajan, tulee tunkeutumisen havaitsemisjärjestelmillä olemaan merkittävä rooli tietoturvakomponenttina. Tämänhetkinen suuntaus on suurten sensorimäärien sijoittaminen eri puolille verkkoa antaen siten kattavan kuvan verkon tapahtumista. Tunkeutumisen havaitsemis- ja torjuntajärjestelmät ovat valtaamassa IDS-järjestelmien toimintakenttää. Tulevaisuuden käytettävät IDS-järjestelmät ovatkin kaikki IDP-järjestelmiä. Lähitulevaisuudessa sensoritekniikka tulee integroitumaan jokapäiväisiin tietojenkäsittelyn ympäristöihin, kuten palomuurit ovat jo tulleet osaksi käyttöjärjestelmiä.
30 26 Tulevaisuudessa tarvitaan sensoreiden yhteensopivuuden varmistavia standardeja. Tunkeutumisen havaitsemisviestien vaihtoformaattia - IDMEF (Intrusion Detection Message Exchange Format) on jo ehdotettu standardiksi. IDMEF määrittää hälytyksien formaatin sekä hälytyksien lähetysprotokollan [Cur03].
31 27 6 Kirjoittajan omia huomioita Nykypäivän IDS-järjestelmän ongelmat ovat siinä, että järjestelmät tuottavat huomattavan määrän vääriä hälytyksiä. Väärien hälytysten karsiminen on hankalaa ja vaatii paljon aikaa. Tämän takia järjestelmien käyttöönottokin kestää kauan. Kaupalliset järjestelmät ovat erittäin kalliita jääden siten vain suurten yritysten käytettäviksi. Avoimen lähdekoodin järjestelmät ovat hankalia käyttää ja ylläpitää ja vaativat erittäin paljon osaamista. Ylipäätänsä nykyiset järjestelmät eivät ole vielä niin automaattisia ja luotettavia, että niiden tuottamiin hälytyksiin voisi täydellisesti luottaa. Tämä tarkoittaa sitä, että ihmisten tulee aina käydä hälytykset läpi. Osaltaan järjestelmät ja käytetyt tekniikat sekä erilaiset tunkeutumismenetelmät ovat niin hankalia, että järjestelmän ylläpitäjältä ja valvojalta vaaditaan erittäin paljon osaamista. Tätä osaamista ei välttämättä ole. Jotta IDS-järjestelmistä saisi parhaimman hyödyn tulisi niitä käyttää yhdessä muiden verkonvalvontaohjelmistojen kanssa. Ilman muita verkonvalvontaohjelmistoja niiden tuoma hyöty kustannuksiin verrattuna on melko pieni, valitettavasti. Vaikkakin mediassa on kovasti tuotu esille tunkeutumisen havaitsemis- ja torjuntajärjestelmiä (IPS) uskoisin niiden olevan vain IDS-järjestelmien uusi nimi. Monissa nykyisissä IDS-järjestelmissä on jo IPS-järjestelmän toiminnallisuutta ja aktiivinen toiminta vaatii edelleenkin erittäin paljon varovaisuutta.
32 28 7 Yhteenveto Internetin yhä jatkuva laajeneminen ja kasvu sekä tietoturvauhkien kasvava määrä asettavat kokoajan kasvavia vaatimuksia järjestelmien ja verkkojen tietoturvalle. Pelkästään järjestelmien ja verkkojen suojaaminen ei riitä, koska järjestelmien ajan tasalla pitäminen on hankalaa. Usein järjestelmien päivitysten hallinta on hankalaa, koska monet tärkeät sovellukset eivät välttämättä toimi uusien päivitysten kanssa. Järjestelmien päivittäminen ei ole reaaliaikaista vaan vaatii hyvin usein ylläpidon toimia esimerkiksi päivitysten toimivuuden testaamisen takia. Tunkeutumisen havaitsemisjärjestelmät auttavat ylläpitäjiä havaitsemaan reaaliaikaisesti tunkeutumiset sekä niiden yritykset ja tuottavat erittäin paljon lisäinformaatiota ylläpidon ja tietoturvasta vastaavien henkilöiden käyttöön. Hyökkäyksessä on tyypillisesti neljä vaihetta, jotka ovat tiedustelu, kohteen ja haavoittuvuuksien etsintä, hyökkäys sekä jälkien peittäminen. Hyökkäykset voidaan luokitella kolmeen osaan jotka ovat : tietomurto tai tiedonvarastaminen, palvelunestohyökkäys ja luvaton käyttö. Hyökkääjiä on taidoiltaan eritasoisia ja heillä on usein eri motiivit, kuten maineen kasvattaminen tai teollisuusvakoilu. Tunkeutumisen havaitsemisjärjestelmät perustuvat sensoreihin, joita on kolmenlaisia. Verkkosensorit kuuntelevat ja analysoivat verkon tietoliikennettä etsien siitä merkkejä tunkeutumisista tai niiden yrityksistä. Tunkeutumisen tai sen yrityksen havaitessaan antaa verkkosensori hälytyksen. Palvelinsensorit tarkkailevat yksittäisen palvelimen tilaa. Mikäli ne havaitsevat siinä muutoksen, antavat ne hälytyksen. Sovellussensorit ovat sovelluksiin sisäänrakennettuja ja ne havaitsevat sovellukseen kohdistuvat hyökkäykset. Tunkeutumisen havaitsemisjärjestelmät käyttävät kolmea eri tekniikkaa tunkeutumisien havaitsemiseen. Nämä tekniikat ovat: poikkeamien, väärinkäytösten ja määrittelyyn perustuva poikkeamien havainnointi. Näitä tekniikoita on mahdollista käyttää yhdessä tai erikseen. Poikkeamien havainnointi käyttää käyttäjien ja sovellusten normaalin toimintatavan malleja etsien eroavuuksia normaalista toiminnasta. Tämän tekniikan etuna
33 29 on uusien tuntemattomien hyökkäysten tunnistaminen. Haittapuolena on, että tämä tekniikka tuottaa tyypillisesti paljon vääriä hälytyksiä. Väärinkäytösten havainnoinnissa määritellään tunkeutumisten tunnisteet, joihin kerättyä tietoa verrataan. Mikäli löydetään vastaavuus, annetaan hälytys. Tyypillisesti väärinkäytösten havainnointiin perustuvat järjestelmät aiheuttavat vähemmän vääriä hälytyksiä kuin muilla tekniikoilla toteutetut järjestelmät. Haittapuolena on, ettei uusia tuntemattomia hyökkäyksiä tunnisteta ja tunnisteet joudutaan erittäin usein päivittämään. Määrittelyyn perustuva poikkeamien havainnointi toimii siten, että käsin määritellään epänormaalit tilat. Epänormaalin tilan havaitessaan järjestelmä antaa hälytyksen. Nykypäivän nopeat sekä kytkentäiset verkot hankaloittavat IDS-järjestelmien käyttöönottoa. Nopeisiin verkkoihin on olemassa lisälaitteita, joiden avulla sensorille tulevaa tietomäärä voidaan annostella niin, että sensoria pystyy sen analysoimaan menettämättä tietoa. Suurin ongelma IDS-järjestelmissä on niiden käyttöönoton sekä käytön hankaluus. Käyttöönottovaiheessa joudutaan tekemään paljon aikaa vievää työtä väärien hälytysten karsimiseksi. Lisäksi järjestelmien luotettavuus ei vielä ole sillä tasolla, että niihin voisi sokeasti luottaa vaan aina tarvitaan ihmisaivojen panosta hälytysten tarkistamiseen. Tämä tarkistaminen vaatii paljon laaja-alaista teknillistä osaamista sekä hyvää tuntemusta kyseisestä verkosta ja sen komponenteista.
34 30 Lähteet Ano98 Anonymous, Maximum Security, a hacker's guide to protecting your Internet site and Network, second edition, Sams publishing, Ano00 Anonymous, Maximum Linux Security, a hacker's guide to protecting your linux server and workstation, Sams Publishing, BaM0 Bace, R., Mell, P., Intrusion Detection Systems (IDS), National Institue of Standards and Technology, [ ]. Bis03 Bishob Matt Computer Security Art and Science, Addison Wesley, Second printing, Ces04 CERT/CC Statistics , Carnegie Mellon University, [ ]. Cur03 Curry D, Debar H, Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition, 2003, [ D/draft-ietf-idwg-idmef-xml-10.txt, ]. Den85 Denning D., Neuman P.G, Requirements and model for IDES-A real time intrusion detection system, Computer Science Lab, SRI nternational, I Den87 Denning D, An Intrusion Detection Model, IEEE Transactions on Software Engineering, Hym04 Hyökkääjät ja motiivit, Viestintävirasto. [ ]. Hyp04 Hyökkäys prosessina, Viestintävirasto
arvostelija OSDA ja UDDI palveluhakemistoina.
Hyväksymispäivä Arvosana arvostelija OSDA ja UDDI palveluhakemistoina. HELSINGIN YLIOPISTO HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Tiedekunta/Osasto Fakultet/Sektion Faculty/Section Laitos Institution
LisätiedotPoikkeavuuksien havainnointi (palvelinlokeista)
Poikkeavuuksien havainnointi (palvelinlokeista) TIES326 Tietoturva 2.11.2011 Antti Juvonen Sisältö IDS-järjestelmistä Datan kerääminen ja esiprosessointi Analysointi Esimerkki Lokidatan rakenne Esikäsittely,
LisätiedotSalausmenetelmät (ei käsitellä tällä kurssilla)
6. Internetin turvattomuus ja palomuuri Internetin turvaongelmia Tietojen keruu turva-aukkojen löytämiseksi ja koneen valtaaminen Internetissä kulkevan tiedon tutkiminen IP-osoitteen väärentäminen Palvelunestohyökkäykset
LisätiedotPalomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri
Palomuuri Teoriaa Palomuurin tehtävä on estää ei-toivottua liikennettä paikalliseen verkkoon tai verkosta. Yleensä tämä tarkoittaa, että estetään liikennettä Internetistä paikallisverkkoon tai kotikoneelle.
LisätiedotDiplomityöseminaari
Nimi: Diplomityön aihe: Network Based Intrusion Detection in Corporate Network Valvoja: Prof. Seppo J. Halme Ohjaaja: DI Leo Lähteenmäki Sisällysluettelo Johdanto Hyökkäystekniikat ja työkalut Tunkeutumisen
LisätiedotWeb-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä
Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen Harri Mäkelä Aiheet Yleiset asiat ja tutkimuskysymys Johdanto Web-palvelun tietoturvaan Sisällysluettelo Teoria Testausympäristö Mitä
LisätiedotSelainpelien pelimoottorit
Selainpelien pelimoottorit Teemu Salminen Helsinki 28.10.2017 Seminaaritutkielma Helsingin yliopisto Tietojenkäsittelytiede ! 1 HELSINGIN YLIOPISTO HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Tiedekunta
LisätiedotTUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen
TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen ON OLEMASSA KAHDENLAISIA YRITYKSIÄ: 1. NE JOIHIN ON MURTAUDUTTU 2. NE JOTKA EIVÄT VIELÄ TIEDÄ SITÄ
LisätiedotInternet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)
Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros) Tämän harjoituksen tarkoituksena on tutustua IP-protokollaan. Kertausta - Harjoitus 4: Erään sovelluksen
LisätiedotFuturaPlan. Järjestelmävaatimukset
FuturaPlan Järjestelmävaatimukset 25.1.2017 2.2 Hermiankatu 8 D tel. +358 3 359 9600 VAT FI05997751 33720 Tampere fax. +358 3 359 9660 www.dbmanager.fi i Versiot Versio Päivämäärä Tekijä Kommentit 1.0
LisätiedotTikon Ostolaskujenkäsittely versio 6.1.2 SP1
Toukokuu 2012 1 (14) Tikon Ostolaskujenkäsittely versio 6.1.2 SP1 Asennusohje Toukokuu 2012 2 (14) Sisällysluettelo 1. Vaatimukset palvelimelle... 3 1.1..NET Framework 4.0... 3 1.2. Palvelimen Internet
LisätiedotPalvelunestohyökkäykset
Palvelunestohyökkäykset Ari Keränen Helsinki 27. helmikuuta 2003 Tietoturvallisuus nykyaikaisessa liiketoimintaympäristössä seminaari: Laajennettu tiivistelmä HELSINGIN YLIOPISTO Tietojenkäsittelytieteen
LisätiedotHyökkäysten havainnoinnin tulevaisuus?
Hyökkäysten havainnoinnin tulevaisuus? Intrusion Detection,Kontakti.net, 2.6.2004 Jari Pirhonen Tietoturvallisuuskonsultti, CISSP, CISA Netsol Solutions www.netsol.fi jari.pirhonen@netsol.fi - www.iki.fi/japi/
LisätiedotHAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI
HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI VIHOLLISET EIVÄT TARVITSE USEITA HAAVOITTUVUUKSIA YKSI RIITTÄÄ 90 MIN välein löytyy uusia haavoittuvuuksia 8000 haavoittuvuutta julkaistaan joka
LisätiedotYritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotVerkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi
Julkinen Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi 20.11.2013 Julkinen 2 VML 131 Velvollisuus korjata häiriö Jos viestintäverkko tai laite aiheuttaa vaaraa tai
LisätiedotKäyttöjärjestelmät(CT50A2602)
V 2.0 Käyttöjärjestelmät(CT50A2602) KÄYTTÖJÄRJESTELMIEN TIETOTURVA Ryhmä: Hauvala, Anssi 0398197 Kellokoski, Keijo, 0398317 Manninen, Jaana 0369498 Manninen, Sami 0315464 Nurmela, Marja-Leena 0398375 Tanttu,
LisätiedotINTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S
INTERNET-yhteydet IP-osoite IP-osoitteen tarkoituksena on yksilöidä laite verkossa. Ip-osoite atk-verkoissa on sama kuin puhelinverkossa puhelinnumero Osoite on muotoa xxx.xxx.xxx.xxx(esim. 192.168.0.1)
LisätiedotOSI ja Protokollapino
TCP/IP OSI ja Protokollapino OSI: Open Systems Interconnection OSI Malli TCP/IP hierarkia Protokollat 7 Sovelluskerros 6 Esitystapakerros Sovellus 5 Istuntokerros 4 Kuljetuskerros 3 Verkkokerros Linkkikerros
LisätiedotPäätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski
Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski 23.5.2018 Sisältö Päätelaitteen rooli Uhkakuvat Varautumiskeinot Yhteenveto 2 Päätelaitteiden turvallinen käyttö sairaalaympäristössä
LisätiedotYleinen ohjeistus Linux tehtävään
Yleinen ohjeistus Linux tehtävään Sinulle on toimitettu valmiiksi asennettu HYPER V ympäristö. Tehtäväsi on asentaa tarvittavat virtuaalikoneet, sekä konfiguroida ne ja verkkolaitteet, tehtävän mukaisesti.
LisätiedotLaitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite
TW-EAV510: PORTTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON Laitteessa tulee olla ohjelmisto 5.00.49 tai uudempi, tarvittaessa päivitä laite OPERAATTORIN IP---OSOITE - Jotta
LisätiedotTunkeutumisen havaitseminen
hyväksymispäivä arvosana arvostelija Tunkeutumisen havaitseminen Antti Rantasaari Helsinki 3. maaliskuuta 2003 Seminaari HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos Sisältö i 1 Johdanto 1 2 Tunkeutumisen
LisätiedotVaivattomasti parasta tietoturvaa
Vaivattomasti parasta tietoturvaa BUSINESS SUITE Tietoturvan valinta voi olla myös helppoa Yrityksen tietoturvan valinta voi olla vaikeaa loputtomien vaihtoehtojen suossa tarpomista. F-Secure Business
LisätiedotTaloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X
Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet Käyttöjärjestelmä: Mac OS X Espoon Taloyhtiöverkot, 2010 Ohjeet laajakaistaverkon käyttöön ottamiseksi Tietokone kytketään huoneistossa olevaan ATK-rasiaan
LisätiedotVerkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö
Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää
LisätiedotTeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje
TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri Pikaohje Pikaohje Myyntipaketin sisältö 1. TeleWell TW-EA711 ADSL modeemi & palomuuri 2. AC-DC sähköverkkomuuntaja 3. RJ-11 puhelinjohto ja suomalainen
LisätiedotTyön laji Arbetets art Level Aika Datum Month and year Sivumäärä Sidoantal Number of pages
Tiedekunta/Osasto Fakultet/Sektion Faculty Laitos Institution Department Tekijä Författare Author Työn nimi Arbetets titel Title Oppiaine Läroämne Subject Työn laji Arbetets art Level Aika Datum Month
LisätiedotTIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO
TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO TEHTÄVÄ 2: Symantec Endpoint Protection Manager, SEPM keskitetyn tietoturva hallintaohjelmiston asennus, sekä vaadittavien palveluiden/roolien käyttöönottaminen
LisätiedotTietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI
Tietoturvan nykytila tietoturvaloukkausten näkökulmasta Jussi Eronen Erityisasiantuntija CERT-FI Tietoturvaloukkausten trendejä == Kestoaiheita Kohdistetut hyökkäykset Haavoittuvien palveluiden murrot
LisätiedotPilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit
Esimerkki arkkitehtuurit Sivu 2/8 Sisällysluettelo 1. Johdanto... 3 1.1. Termejä... 3 2. Web hosting ilman kuormantasausta... 4 3. Web hosting kuormatasaus ja bastion... 5 3.1.... 5 3.2. Kuvaus... 5 4.
LisätiedotOlet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.
StorageIT 2006 varmuuskopiointiohjelman asennusohje. Hyvä asiakkaamme! Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun. Ennen asennuksen aloittamista Varmista, että
LisätiedotKoht dialogia? Organisaation toimintaympäristön teemojen hallinta dynaamisessa julkisuudessa tarkastelussa toiminta sosiaalisessa mediassa
Kohtdialogia? Organisaationtoimintaympäristönteemojenhallinta dynaamisessajulkisuudessatarkastelussatoiminta sosiaalisessamediassa SatuMariaPusa Helsinginyliopisto Valtiotieteellinentiedekunta Sosiaalitieteidenlaitos
LisätiedotTietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone
ja ylläpito computer = laskija koostuu osista tulostuslaite näyttö, tulostin syöttölaite hiiri, näppäimistö tallennuslaite levy (keskusyksikössä) Keskusyksikkö suoritin prosessori emolevy muisti levy Suoritin
LisätiedotSeminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi
Seminaariaiheet Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi 1. BS7799 / ISO 17799 Perustava tietoturvastandardi Kaksiosainen Mikä on BS7799 / ISO17799? Mihin se antaa vastaukset? Mihin se ei
LisätiedotICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
LisätiedotTietoyhteiskunnan taudit ja rohdot 2000-luvulla. 29.1.2004 Erkki Mustonen tietoturva-asiantuntija
Tietoyhteiskunnan taudit ja rohdot 2000-luvulla 29.1.2004 Erkki Mustonen tietoturva-asiantuntija Virusten lyhyt evoluutio 1981 ja alussa oli Elk Cloner (Apple II) 1983 akateemista tutkimusta Fred Cohen
Lisätiedot3. IP-kerroksen muita protokollia ja
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
Lisätiedot1. päivä ip Windows 2003 Server ja vista (toteutus)
1. päivä ip Windows 2003 Server ja vista (toteutus) Olette pomosi kanssa tarkastaneet asiakkaan tekemän ja sinun korjaaman suunnitelman ja tehneet oman versionsa siitä. Noudata siis tätä tekemäänne uutta
LisätiedotPertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro1 29.10.2013
Virtualisointi Pertti Pennanen DOKUMENTTI 1 (5) SISÄLLYSLUETTELO Virtualisointi... 2 Virtualisointiohjelmia... 2 Virtualisointitapoja... 2 Verkkovirtualisointi... 2 Pertti Pennanen DOKUMENTTI 2 (5) Virtualisointi
LisätiedotISACA Finland 24.1.2008 OWASP 24.1.2008. The OWASP Foundation. Timo Meriläinen Antti Laulajainen. http://www.owasp.org
ISACA Finland 24.1.2008 Timo Meriläinen Antti Laulajainen 24.1.2008 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation
LisätiedotThe administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka
The administrative process of a cluster Santtu Rantanen Valvoja: Prof. Jorma Jormakka Sisällysluettelo Johdanto Yleistä HA klustereista Tietoturva klustereissa Hallintaprosessi Johtopäätökset Johdanto
LisätiedotTulostimen hallintaohjelmisto MarkVision
Tulostinohjelmisto ja apuohjelmat 1 Tulostimen hallintaohjelmisto MarkVision Windows 95/98/2000-, Windows NT 4.0- ja Macintosh-käyttöjärjestelmien MarkVision toimitetaan tulostimen mukana Drivers, MarkVision
LisätiedotHaka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla. Mika Suvanto, CSC. mika.suvanto@csc.fi 3.9.2009
Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla Mika Suvanto, CSC mika.suvanto@csc.fi 3.9.2009 Mitä se tekee? kaksi perustoimintoa: valvoo Haka-palveluiden toimintaa kirjautumalla niihin
LisätiedotTi LÄHIVERKOT -erikoistyökurssi. X Window System. Jukka Lankinen
Ti5316800 LÄHIVERKOT -erikoistyökurssi X Window System Jukka Lankinen 2007-2008 Sisällys Esitys vastaa seuraaviin kysymyksiin: Mikä on X Window System? Minkälainen X on? Mistä sen saa? Miten X:ää käytetään?
LisätiedotKYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut
KYBERTURVAPALVELUT VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta Kyberhyökkäykset ovat yleistyneet huolestuttavalla vauhdilla. Liiketoiminnan jatkuvuuden turvaaminen edellyttää
LisätiedotAika/Datum Month and year Kesäkuu 2012
Tiedekunta/Osasto Fakultet/Sektion Faculty Laitos/Institution Department Filosofian, historian, kulttuurin ja taiteiden tutkimuksen laitos Humanistinen tiedekunta Tekijä/Författare Author Veera Lahtinen
LisätiedotMikä on internet, miten se toimii? Mauri Heinonen
Mikä on internet, miten se toimii? Mauri Heinonen Mikä on Internet? Verkkojen verkko Muodostettu liittämällä lukuisia aliverkkoja suuremmaksi verkoksi Sivustojen tekemiseen käytetään kuvauskielta HTML
LisätiedotJärjestelmäarkkitehtuuri (TK081702)
Järjestelmäarkkitehtuuri (TK081702) yleistyvät verkkopalveluissa Youtube Google... Avaavat pääsyn verkkopalvelun sisältöön. Rajapintojen tarjoamia tietolähteitä yhdistelemällä luodaan uusia palveluja,
LisätiedotVerkostoautomaatiojärjestelmien tietoturva
Verkostoautomaatiojärjestelmien tietoturva Jouko Tervo Sähkötutkimuspoolin seminaari 9.10.2013 1 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset ja tutkimukset
LisätiedotTaloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP
Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet Käyttöjärjestelmä: Windows XP Espoon Taloyhtiöverkot Oy, 2010 Tervetuloa Espoon Taloyhtiöverkkojen laajakaistan käyttäjäksi! Tässä ohjeessa opastetaan,
LisätiedotTaloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X
Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X Espoon Taloyhtiöverkot, 2010 Tervetuloa Espoon Taloyhtiöverkkojen laajakaistan käyttäjäksi! Tässä ohjeessa opastetaan,
Lisätiedot1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2
AinaCom Skype for Business Asennusohje Sivu 1/10 Sisällysluettelo 1 AinaCom Skype for Business / Lync 2010 / Lync for Mac 2011 asennusohje... 2 2 Windows työasemat... 2 2.1 Windows työasemavaatimukset...
LisätiedotDirectory Information Tree
IP-osoite / Host taulu, jossa neljä 8 bit lukua esim. 192.168.0.10/24, unix, linux, windows windows\system32\drivers\etc DNS (Domain Name System), muuttaa verkkotunnuksen IPosoitteeksi. X.500 perustuu
LisätiedotTARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj
TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj ON OLEMASSA KAHDENLAISIA YRITYKSIÄ: 1. NE JOIHIN ON MURTAUDUTTU 2. NE JOTKA EIVÄT VIELÄ TIEDÄ SITÄ F-Secure tarjoaa kehittyneitä kyberturvallisuuspalveluita
LisätiedotYleinen ohjeistus Linux-tehtävään
Yleinen ohjeistus Linux-tehtävään Sinulle on toimitettu valmiiksi asennettu HYPER-V ympäristö, sekä kolme virtuaalikonetta. Tehtäväsi on importata nämä virtuaalikoneet ja konfiguroida ne, sekä verkkolaitteet,
LisätiedotDPI (DEEP PACKET INSPECTION) By Sami Lehtinen
DPI (DEEP PACKET INSPECTION) By Sami Lehtinen ESITYKSEN SISÄLTÖ DPI:n määritelmä käyttökohteet tietoturva ja riskit kuinka suojautua DPI:ltä tulevaisuuden näkymät DPI Deep Packet Inspection (kutsutaan
LisätiedotPalvelunestohyökkäykset. Abuse-seminaari Sisältö
Palvelunestohyökkäykset Abuse-seminaari 2009 Kauto Huopio Vanhempi tietoturva-asiantuntija CERT-FI Sisältö Havaintoja nykytilanteesta Hyökkäysmenetelmistä Havaintoja uusimmista tapauksista Varautuminen
LisätiedotTietoturvaloukkausten hallinta
Tietoturvaloukkausten hallinta..kun puolustus on kunnossa, mekin voimme nauttia kahvista Jussi Perälampi Senior Security Consultant GCIH,GREM,CISSP 12/9/13 Nixu 2012 1 Tietoturvapoikkeamien hallinta vs.
LisätiedotVesihuolto päivät #vesihuolto2018
TEKNOLOGIAN TUTKIMUSKESKUS VTT OY Vesihuolto 2018 -päivät #vesihuolto2018 Kyber-turva-vesi-hanke Heimo Pentikäinen Teknologian tutkimuskeskus VTT Oy Esityksen sisältö: Perustiedot Hankkeessa laaditut ohjeet
LisätiedotTietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa
Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa 2.10.2017 Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Petri Puhakainen, valtioneuvoston tietoturvapäällikkö Tietoturvallisuuden
LisätiedotTaloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X
Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA Käyttöjärjestelmä: Mac OS X Espoon Taloyhtiöverkot, 2010 Ohjeet laajakaistaverkon käyttöön ottamiseksi Voidaksesi käyttää taloyhtiön laajakaistaverkkoa
LisätiedotEsa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005
H Y Ö K K Ä Y S Esa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005 DISCLAIMER Esitelmä on lyhyt juonto tietoturvallisuuden tärkeyteen t hyökk kkäyksen torjunnan näkökulmasta. n kulmasta. Kaikki
LisätiedotLinux rakenne. Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat
Linux rakenne Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat Linux ydin Ytimen (kernel) päätehtävä on tarjota rajapinta
LisätiedotTaitaja 2015 Windows finaalitehtävä
Taitaja 2015 Windows finaalitehtävä Tehtäväkuvaus Tehtävänäsi on siirtää, asentaa ja määritellä yrityksen Windows -ratkaisuihin perustuva IT-ympäristö. Käytä salasanaa Qwerty123, jos muuta ei ole pyydetty.
LisätiedotHenkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure
Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,
LisätiedotLive demo miten tietomurto toteutetaan?
Live demo miten tietomurto toteutetaan? Jussi Perälampi, Senior Security Consultant Saku Vainikainen, Lead Consultant Nixu Oy 2.4.2014 1.4.2014 Nixu 2014 1 Esitys Kohderyhmän valinta Kohdennettu viesti
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset
LisätiedotVERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN
VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN Tämän harjoituksen tarkoituksena on varmistaa verkon asetukset sekä päivittää Windows käyttäen Windows Update -palvelua. Dokumentin lopussa on palautettava
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotOhjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa
Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa 12.9.2011 Osa 1: Perustietoa verkosta Asuntoloiden sisäverkko on yhdistetty Internettiin NATtaavalla
LisätiedotTietokoneiden ja mobiililaitteiden suojaus
Tietokoneiden ja mobiililaitteiden suojaus mikko.kaariainen@opisto.hel.fi 4.10.2016 Lataa luennon materiaali, kirjoita osoite selaimen osoitelokeroon: opi.opisto.hel.fi/mikko Haittaohjelmat (malware) Virukset,
LisätiedotUlkoistustoimittajan valvontapalvelu. Ville Mannonen / DataCenter Finland
Ulkoistustoimittajan valvontapalvelu Ville Mannonen / DataCenter Finland Datacenter Finland Oy Vuonna 2003 perustettu konesalipalveluita tuottava yritys Tarjoaa asiakkaileen korkean käytettävyyden konesalipalveluita
LisätiedotTW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON
TWEAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON Laitteessa tulee olla ohjelmisto 5.00.49 tai uudempi, tarvittaessa päivitä laite OPERAATTORIN IPOSOITE Jotta valvontakameran
LisätiedotSalasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION
Salasanojen hallinta Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Restaurant Enterprise Solution Asiakirjan tarkoitus Tämä asiakirja kertoo tarvittavat säännöt kuinka hallinnoida RES salasanoja
LisätiedotS-38.118 Teletekniikan perusteet
S-38.118 Teletekniikan perusteet Laskuharjoitus 3 Paketoinnin hyötysuhde 1 Harjoitus 3 koostuu: Demoluento (45 min) Datan siirtäminen Internetissä yleensä Laskuesimerkki datan siirtämisestä Äänen siirtäminen
LisätiedotS 38.1105 Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory
S 38.1105 Tietoliikennetekniikan perusteet Pakettikytkentäiset verkot Kertausta: Verkkojen OSI kerrosmalli Sovelluskerros Esitystapakerros Istuntokerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen
LisätiedotMark Summary Form. Tulospalvelu. Competitor No Competitor Name Member
Summary Form Skill Number 205 Skill Tietokoneet ja verkot Criterion Criterion Description s Day 1 Day 2 Day 3 Day 4 Total Award A B C D E Windows Palvelimen asennus ja konfigurointi Linux palvelimen asennus
LisätiedotPro gradu -tutkielma Meteorologia SUOMESSA ESIINTYVIEN LÄMPÖTILAN ÄÄRIARVOJEN MALLINTAMINEN YKSIDIMENSIOISILLA ILMAKEHÄMALLEILLA. Karoliina Ljungberg
Pro gradu -tutkielma Meteorologia SUOMESSA ESIINTYVIEN LÄMPÖTILAN ÄÄRIARVOJEN MALLINTAMINEN YKSIDIMENSIOISILLA ILMAKEHÄMALLEILLA Karoliina Ljungberg 16.04.2009 Ohjaajat: Ari Venäläinen, Jouni Räisänen
LisätiedotValppaan asennus- ja käyttöohje
Versio Päiväys Muokkaaja Kuvaus 0.9 16.2.2006 Tuukka Laakso Korjattu versio 0.1 Antti Kettunen Alustava versio Sisällysluettelo 1 Johdanto...2 2 Valppaan asennus...3 2.1 Valppaan kääntäminen...3 2.2 Valmiiksi
LisätiedotAction Request System
Action Request System Manu Karjalainen Ohjelmistotuotantovälineet seminaari HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos 25.10.2000 Action Request System (ARS) Manu Karjalainen Ohjelmistotuotantovälineet
LisätiedotMobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?
Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota? Sisällys Tietoturvauhkia Sovellusten tietoturvallisuus» 1. Sovelluskaupat» 2. Sovelluksen tekijä» 3. Käyttöoikeudet»
LisätiedotTutkimus web-palveluista (1996) http://www.trouble.org/survey/
Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista
LisätiedotVerkostoautomaatiojärjestelmien tietoturva
Verkostoautomaatiojärjestelmien tietoturva Jouko Tervo Tekla - Käyttäjäpäivät 2014 1 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset ja tutkimukset Tekla -
LisätiedotD-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0
D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0 Tervetuloa D-Link ADSL reitittimen omistajaksi. Tämän ohjeen avulla saat reitittimesi helposti ja nopeasti toimimaan. Tämä ohje kannattaa lukea läpi
LisätiedotSelvitysraportti. MySQL serverin asennus Windows ympäristöön
Selvitysraportti MySQL serverin asennus Windows ympäristöön IIO30200 / Jouni Huotari Arto Sorsa / F3900 CREATIVE COMMONS LISENSOITU http://creativecommons.org/licenses/by-nc-sa/1.0/fi/ 26.4.2010 1 SISÄLTÖ
LisätiedotDigitalisaatio ja kyberpuolustus
Digitalisaatio ja kyberpuolustus Anssi Kärkkäinen #Reset17 17.1.2017 20.1.2017 1 Digitalisaation hyötyjä Tuottavuuden parantaminen nopeus, tehokkuus Uudet tuotteet ja ratkaisut Myynnin ja markkinoinnin
LisätiedotAjankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki
Ajankohtaista kyberturvallisuudesta Johtaja Jarkko Saarimäki Jarkko Saarimäki 8.5.2017 2 Jarkko Saarimäki 8.5.2017 3 http://ec.europa.eu/digital-agenda/en/towards-5g Useita limittäisiä verkkoja, erilaisia
LisätiedotMuokkaa otsikon perustyyliä napsauttamalla
Verkkoviestinnän tietoturva Muokkaa tekstin perustyylejä toinen taso yrityksissä neljäs taso HTK NETCOMMUNICATION OY Ari Wikström 1 HTK NETCOMMUNICATION OY Muokkaa tekstin perustyylejä toinen taso neljäs
LisätiedotOffice 2013 - ohjelmiston asennusohje
Office 2013 - ohjelmiston asennusohje Tämän ohjeen kuvakaappaukset on otettu asentaessa ohjelmistoa Windows 7 käyttöjärjestelmää käyttävään koneeseen. Näkymät voivat hieman poiketa, jos sinulla on Windows
LisätiedotJOVISION IP-KAMERA Käyttöohje
JOVISION IP-KAMERA Käyttöohje 1 Yleistä... 2 2 Kameran kytkeminen verkkoon... 2 2.1 Tietokoneella... 2 2.2 Älypuhelimella / tabletilla... 5 3 Salasanan vaihtaminen... 8 3.1 Salasanan vaihtaminen Windows
LisätiedotTietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä
Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä Release 1 versio 4 14.9.2006 Espoon Taloyhtiöverkot Oy, 2006 Sisällysluettelo Osa 1: Perustietoa verkosta...3 Osa
LisätiedotNetemul -ohjelma Tietojenkäsittelyn koulutusohjelma 31.10.2011
Tietojenkäsittelyn koulutusohjelma ICT1TN002 1/6 Tietokone ja tietoverkot 1 ICT1TN002 Harjoitus lähiverkon toiminnasta Tässä harjoituksessa tutustutaan lähiverkon toimintaan Netemul ohjelman avulla. Ohjelmassa
LisätiedotKattava tietoturva kerralla
Kattava tietoturva kerralla PROTECTION SERVICE FOR BUSINESS Tietoturvan on oltava kunnossa Haittaohjelmahyökkäyksen tai tietoturvan vaarantumisen seuraukset voivat olla vakavia ja aiheuttaa merkittäviä
LisätiedotAsioEduERP v12 - Tietoturvaparannukset
AsioEduERP v12 - Tietoturvaparannukset Yhteenveto AsioEduERP v12:n tietoturvaa parantavat uudet ominaisuudet: Salasanakäytäntö Kirjautumisviive Käyttäjien aktiivisuuden seuranta Uloskirjautuminen (myös
LisätiedotSSH Secure Shell & SSH File Transfer
SSH Secure Shell & SSH File Transfer TIETOHALLINTO Janne Suvanto 1.9 2002 Sisällysluettelo Sisällysluettelo... 1 Yleistä... 2 SSH Secure Shell ohjelman asetukset... 3 POP3 tunnelin asetukset... 6 Yhteyden
LisätiedotOlet tehnyt hyvän valinnan hankkiessasi kotimaisen Storage IT varmuuskopiointipalvelun.
StorageIT 2007 varmuuskopiointiohjelman asennusohje. Hyvä asiakkaamme! Olet tehnyt hyvän valinnan hankkiessasi kotimaisen Storage IT varmuuskopiointipalvelun. Ennen asennuksen aloittamista Varmista, että
LisätiedotIntrusion Detection Systems
IDS - hyökkäysten havaitseminen ja torjunta verkossa Tietoturvaseminaari Tietoturva ry 23.9.1999 Jari.Pirhonen@atbusiness.com Projektipäällikkö, CISSP AtBusiness Communications Oy http://www.atbusiness.com/
Lisätiedot