Yritysturvallisuuden perusteet



Samankaltaiset tiedostot
Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Kymenlaakson Kyläportaali

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Verkottunut suunnittelu

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

PKI- ja hakemistotarpeet pacsissa

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Hyökkäysten havainnoinnin tulevaisuus?

Tutkimus web-palveluista (1996)

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Tietoturvatekniikka Ursula Holmström

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Fiscal INFO TV -ohjelmisto koostuu kolmesta yksittäisestä ohjelmasta, Fiscal Media Player, Fiscal Media Manager ja Fiscal Media Server.

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Yritysturvallisuuden perusteet

in condition monitoring

F-SECURE SAFE. Toukokuu 2017

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

TIETOKONEYLIASENTAJAN ERIKOISAMMATTITUTKINTO

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Objective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Yritysturvallisuuden perusteet

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Tiedostojen jakaminen turvallisesti

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Tietoturvan haasteet grideille

Vesihuolto päivät #vesihuolto2018

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Pikaviestinnän tietoturva

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Yritysturvallisuuden perusteet

CT30A3500 Tietoturvan Perusteet : Verkon turva

Salaustekniikat. Kirja sivut: ( )

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

SG 105, SG 105w, SG 115, SG 115w. SG 125, SG 125w, SG 135, SG 135w SG 210, SG 230 SG 310, SG 330 SG 430, SG 450 SG 550 SG 650

Tuotetta koskeva ilmoitus

erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Muokkaa otsikon perustyyliä napsauttamalla

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Yritysturvallisuuden perusteet

Tuplaturvan tilaus ja asennusohje

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

PKI-arkkitehtuurin kansallinen selvitys Terveydenhuollon atk-päivät

Linux rakenne. Linux-järjestelmä koostuu useasta erillisestä osasta. Eräs jaottelu: Ydin Komentotulkki X-ikkunointijärjestelmä Sovellusohjelmat

FuturaPlan. Järjestelmävaatimukset

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

T Cryptography and Data Security

-kokemuksia ja näkemyksiä

Javan asennus ja ohjeita ongelmatilanteisiin

Yritysturvallisuuden perusteet

Atk-info OPISKELU IT-palvelut

Tietoturvan haasteet grideille

T Tietokoneverkot kertaus

Salausmenetelmät (ei käsitellä tällä kurssilla)

Terveydenhuollon ATK päivät TURKU

Ti Tietoturvan Perusteet : Politiikka

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Outlook Web Access 1(7) OUTLOOK WEB ACCESS (OWA) SÄHKÖPOSTIN KÄYTTÖ

Copyright 2007 Hewlett-Packard Development Company, L.P. Windows on Microsoft Corporationin Yhdysvalloissa rekisteröimä tavaramerkki.

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Toshiba EasyGuard käytännössä: Portégé M300

Copyright 2008 Hewlett-Packard Development Company, L.P.

IBM BusinessConnect A new era of thinking. A new era of thinking. Metsä Group. Mobiiliarkkitehtuuri. Ari Linja IBM Corporation

KAUKOVALVONTAOHJELMA CARELAY CONTROL WPREMOTE

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

XEROXIN TURVATIEDOTE XRX Http-palvelimen haavoittuvuus ESS:ssä/verkko-ohjaimessa saattaa mahdollistaa järjestelmän luvattoman käytön.

HP:n WLAN-kontrollerin konfigurointi

iloq P10S.10/20 -ohjelmointilaite Käyttöohje

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Option GlobeSurfer III pikakäyttöopas

Security server v6 installation requirements

TW-EAV510AC mallin ohjelmistoversio

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

SÄHKÖPOSTIOHJE. Opiskelijoiden Office 365 for Education -palveluun

TEKNINEN OHJE VAIHTOTASETIETOJEN TIEDOSTORAPORTOINTIIN EXCEL-TYÖKIRJALLA

Diplomityöseminaari

Transkriptio:

Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus Tietotekninen turvallisuus osana yritysturvallisuutta Erityisesti turvaamiseen käytettävät menetelmät Yleiskäyttöiset järjestelmät 1

Turvallisuusvyöhykkeet Useita vyöhykkeitä Estetään ulkopuolisten tulo alueelle Tunnistetaan luvalliset tulijat Havaitaan tunkeutuminen Pysäytetään tunkeutuminen Este havainto - reagointi 2

Tietotekninen turvallisuus Fyysisen turvallisuuden vastine Luvattoman käytön estäminen Luvallisten käyttäjien tunnistaminen Käytön seuraaminen Luvattoman käytön havaitseminen Aktiiviset toimenpiteet Passiivinen este Salakirjoitus Suunnittelu Ohjelmistojen turvallisuus 3

Sähköinen allekirjoitus Viestin eheys Kiistämättömyys Viestistä lasketaan vahva tarkistussumma Tarkistussumma salataan allekirjoittajan salaisella avaimella Vastaanottaja laskee saamastaan viestistä tarkistussumman ja avaa allekirjoituksen lähettäjän julkisella avaimella Jos luvut täsmäävät, on allekirjoitus oikea Ongelmana riippuvuus tekniikasta Sähköinen allekirjoitus 1. Lasketaan tiiviste 8. Verrataan laskettua ja avattua tiivistettä 2. Salataan tiiviste salaisella avaimella 6. Lasketaan tiiviste 7. Avataan tiiviste julkisella avaimella 3. Liitetään salattu tiiviste asiakirjaan 4. Lähetetään asiakirja ja salattu tiiviste 5. Vastaanottaja erottelee asiakirjan ja salatun tiivisteen 4

Avaintenhallinta Julkisen avaimen menetelmä vaatii avainten luotettavaa säilytystä Avaimet eivät ole salaisia, mutta niiden pitää olla oikein Täytyy olla olemassa hakemisto, josta julkinen avain voidaan luotettavasti hakea X.509, LDAP Luotettavuutta voidaan parantaa sertifikaateilla Luotettu osapuoli varmentaa avaimet omalla allekirjoituksellaan Ongelmana mm. avainten mitätöinti Entrust PKI PKI Client Application Layer PKI Client Enabling Layer PKI Service Enabling Layer Certification, Key and Trust Management Layer Browser EntrustRA Admin Entrust plug-in Entrust TruePass Entrust Enrollment Web EntrustSAS EntrustRA Admin/ Master Control Entrust Authority CA Outlook, Notes, Eudora Entrust e-mail plug-in Entrust Enrollment Email Entrust Roaming Other PKI-enabled Applications Entrust Author toolkits LDAP Directory ValiCert OSCP Responder Desktop Offerings Entrust Intelligence Entrust Enrollment WA P Entrust Timestamp Repositories & Hardware Layer Solaris, HP, AIX, NT, W2K 3rd party HSMs Oracle or Informix database 5

Toimikortti Yksinkertainen mukana pidettävä tietokone Sisältää yksinkertaisen käyttöjärjestelmän ja muistia Voidaan käyttää esimerkiksi sähköiseen allekirjoitukseen ja salaisen avaimen säilytykseen VPN Virtual Private Network Kaksi verkkoa yhdistetään toisiinsa epäluotettavan yhteyden kautta Verkkojen välinen yhteys salataan niin, että ulkopuolinen ei pysty seuraamaan eikä muuttamaan liikennettä Verkkojen välinen VPN Salaaminen tapahtuu reitittimissä/palomuureissa Työasema-VPN Salaaminen tapahtuu työasemassa Verkot voidaan yhdistää täysin samaksi verkoksi tai rinnakkaisiksi verkoiksi 6

Pääsynvalvonta Palomuuri Pääsynvalvonta Palomuuri Turvallisuuspolitiikka kahden eri turvallisuusvyöhykkeen välillä Määritellyn politiikan toteutus Ääritapauksissa palomuuri voi olla suora johto tai metri ilmaa Kaikki sallittu / kaikki kielletty 7

Palomuurin tehtävät Palomuuri tunnistaa liikenteen Palomuuri sallii luvallisen liikenteen Palomuuri estää luvattoman liikenteen Pakettisuodatus Yksinkertaisessa palomuurissa säännöt perustuvat pakettien otsikkotietoihin Kohdeosoite, lähdeosoite ja portti Helppo toteuttaa ja määritellä Tehokas suurillakin liikennemäärillä Tutkii vain yksittäisiä paketteja, ei näe itse liikennettä 8

Sovelluspalomuuri Ymmärtää protokollia Kokoaa yksittäiset paketit kokonaisuudeksi ja tutkii liikenteen sisältöä Suodattimet protokollakohtaisia Joka protokollalle ohjelmoitava oma Säännöt protkollakohtaisia Esimerkiksi FTP-siirrossa ei saa olla kuvia Sähköpostiviestissä ei saa olla merkkijonoa SALAINEN Hidas Henkilökohtainen palomuuri Omassa koneessa toimiva sovelluspalomuuri Näkee verkkoliikenteen lisäksi myös ohjelmat Voidaan määritellä, mitkä ohjelmat saavat liikennöidä verkkoon 9

Virustorjunta palomuurissa Palomuurissa toteutettuna esimerkki sovelluskohtaisesta palomuurista SMTP-yhteys ohjataan tarkistuksen kautta Liitetiedostot tutkitaan virusten varalta Sisällön hallinta Liikennettä voidaan tutkia myös sisällön perusteella Puretaan HTTP, SMTP, NNTP ja FTP Sisältöä voidaan tutkia Etsitään tiettyjä sanoja Tutkitaan siirrettäviä kuvia Lisäksi voidaan havaita saman viestin toistuminen Viestit voidaan palauttaa lähettäjälle, estää, laittaa karanteeniin tai vain tilastoida 10

Pääsynvalvonta Authentication Tunnistetaan yhteydenottaja ja yhdistetään hänet tiettyyn käyttäjätunnukseen Usein kone/järjestelmäkohtainen Yhden turvallisuusvyöhykkeen sisällä voi olla myös usean järjestelmän yhteinen Perustuu Johonkin mitä tietää salasana Johonkin mitä on sormenjälki Johonkin mitä omistaa kertakäyttöiset salasanat Kertakirjautumisjärjestelmät Single Sign On (SSO) Kirjaudutaan kerran sisään ja voidaan käyttää kaikkia järjestelmiä Windows-domain Työasemassa oleva agentti Kirjaudutaan sisään agentille, joka välittää käyttäjätiedot kullkein järjestelmälle yhteyttä otettaessa Välityspalvelin Tyypillisesti selainkäytössä Tunnistaudutaan välityspalvelimelle, joka sallii käytön ja välittää vain sallitun liikenteen 11

Valvonta Pest IDS Hyökkäyksen aikajänne Virukset Kuukausia / viikkoja Sähköpostimadot Päiviä / tunteja Verkkomadot Tunteja / minuutteja 12

Tunkeutumisen havaitseminen Intrusion Detection System (IDS) Turvallisuus edellyttää suojauksen lisäksi myös valvontaa IDS-järjestelmillä seurataan poikkeavia tapahtumia ja hälytetään ylläpito Verkko-IDS (NIDS) Seuraa verkkoliikennettä Järjestelmä-IDS (HIDS) Seuraa toimintaa tietyssä järjestelmässä Erilaisia toimintatapoja Sormenjäljet, tilastollinen analyysi Sormenjälkipohjaiset järjestelmät Olemassaolvista hyökkäyksistä luodaan profiili Palomuuri tunnistaa hyökkäyksen sen sormenjäljestä Periaatteessa luotettava Vähän false-positiveja Vaatii jatkuvaa päivittämistä Ei löydä uusia hyökkäyksiä 13

Tilastolliset järjestelmät Luodaan profiili normaalista toiminnasta Poikkeus normaalista saattaa merkitä hyökkäystä Toimii stabiileissa ympäristöissä Ei huomaa hitaita hyökkäyksiä Protokollapohjaiset järjestelmät Tiedetään, mitä pitää liikkua Kaikki poikkeukset ovat hyökkäyksiä Toimii, jos vain vähän eri sovelluksia/protokollia 14

Tunkeutumisenestojärjestelmät Hyökkäykset ovat niin nopeita, että manuaalinen reagointi ei onnistu Ylläpitohenkilöstön jatkuva paikallaolo on kallista Intrusion protection system (IPS) IDS + reagointi Ongelmia Vaikea määritellä oikein Oma jalka on aina lähin Järjestelmiin liittyvät ongelmat Järjestelmät eivät ole virheettömiä Viat antavat mahdollisuuden ohittää suojaukset Järjestemien määrittelyt eivät ole oikeita Oletussalasanat, tarpeettomat palvelut Protokollat eivät ole virheettömiä Kaikkia ei ole suunniteltu ottamaan huomioon vihamielinen käyttäjä 15

Tietotekniikassa huomioitava Laitteisto Viat aiheutuvat heikkouksista suunnittelussa, tuotannossa ja ylläpidossa Viat aiheutuvat kulumisesta tai fysikaalisista ilmiöistä. Ilmiö on usein havaittavissa ennen vikaa Luotettavuutta voidaan parantaa ennaltaehkäisevällä huollolla Luotettavuus muuttuu ajan mukaan Komponenttien vikatiheyttä voidaan ennustaa Osien rajapinnat ovat näkyviä Luotettavuus riippuu fyysisistä olosuhteista Luotettavuutta voidaan parantaa monistamalla Ohjelmisto Viat aiheutuvat ensisijaisesti heikkouksista suunnittelussa. Korjauksilla estetään vikojen näkyminen Kulumista ei tapahdu. Yleensä vikaa ei havaita etukäteen. Ennaltaehkäisevä huolto ei ole mahdollista Aika ei vaikuta. Vika ilmenee, kun suoritetaan viallinen osa koodia Komponenttien vikatiheyttä ei voida ennustaa Osien rajapinnat ovat kuvitteellisia Ulkoiset olosuhteet eivät vaikuta Luotettavuutta parannetaan erilaisuudella Windows ja turvallisuus Windows on tehty helpoksi käyttää Paljon asioita voidaan tehdä automaattisesti Automatisointi antaa mahdollisuuden vihamielisen koodin suoritukseen Tiedosto voi sisältää makroja, jotka suoritetaan automaattisesti Sähköposti voi sisältää tiedostoja, jotka avataan automaattisesti Käyttäjähallinta puutteellinen Usein yksi käyttäjä, jolla on kaikki oikeudet 16

Ihmisten osaaminen Capability to learn Required level for secure work Man-in the middle 17

Zombie Jatkuva kehitys Uudet järjestelmät tulevat liian nopeasti Juuri kun yhtä on opittu käyttämään turvallisesti, tulee seuraava PC Internet Mobiili -? 18

Yhteenveto Tietotekninen turvallisuus vastaa samoista tehtävistä kuin fyysinen turvallisuus Samat tehtävät ja tavoitteet eri välineet Tietoteknisessä turvallisuudessa luodaan erilaisia turvallisuusalueita ja hallitaan pääsyä niille Palomuurit, pääsynvalvonta, salakirjoitus 19