Julkinen Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi 20.11.2013
Julkinen 2 VML 131 Velvollisuus korjata häiriö Jos viestintäverkko tai laite aiheuttaa vaaraa tai häiriötä viestintäverkolle, laitteelle, viestintäverkon käyttäjälle tai muulle henkilölle, teleyrityksen tai muun viestintäverkon tai laitteen haltijan on välittömästi ryhdyttävä toimenpiteisiin tilanteen korjaamiseksi ja tarvittaessa irrotettava viestintäverkko tai laite yleisestä viestintäverkosta.
Julkinen 3 Poikkeustilanteita, joissa liikennettä voi olla välttämätöntä rajoittaa Perinteinen, yksittäiseen asiakkaaseen kohdistuva DoS -hyökkäys Chargen pohjaiset udp hyökkäykset pääasiallisesti Windows työasemia, joihin on kytketty Windows Small TCP Services päälle. DNS reflector hyökkäykset pääasiallisesti erilaisista sekalaisista asiakkaiden palvelimista verkkolaitteista pitkin maailmaa. TCP/80 SYN hyökkäys web palvelimia kohtaan bottiverkoista.
Julkinen 4 Poikkeustilanteita, joissa liikennettä voi olla välttämätöntä rajoittaa Tietoturva-aukkojen hyödyntäminen haittaliikenteen generointiin Esim. DNS reflector DoS asiakkailla tiedetään olevan kymmeniä tuhansia päätelaitteita, jotka tekevät DNS -nimien selvityspalvelua kenelle tahansa, jolloin laitteita on mahdollista hyödyntää palvelunestohyökkäyksissä, paitsi jos liikenne liittymän ulkopuolelta UDP porttiin 53 on estetty.
Julkinen 5 Poikkeustilanteita, joissa liikennettä voi olla välttämätöntä rajoittaa Tietoturva-aukkojen loputon etsiminen Esim. mobiililaajakaistaverkkoja ei ole mahdollista toteuttaa kiinteää laajakaistaa vastaavalla pakettifiltteröinnillä ja niin että kaikkien käyttäjien yhteydet ovat auki 24/7. Tietoturva-aukkoja etsivät porttiskannaukset kuitenkin pitävät yhteydet jatkuvasti auki, ellei liikennettä liittymän ulkopuolelta ole rajoitettu.
Julkinen 6 Poikkeustilanteita, joissa liikennettä voi olla välttämätöntä rajoittaa Tekniseltä toteutukseltaan vääräntyyppiseen liittymään sijoitettu palvelu, johon kohdistetaan jatkuvasti palvelunestohyökkäyksiä Liittymiin joissa pyöritetään web hotelleja, p2p hubeja tai suosittuja pelipalveluja, kohdistetaan aina huomattavasti enemmän DoS hyökkäyksiä kuin liittymiin joissa niitä ei ole. Jos palveluja pyöritetään epäsymmetriseen käyttöön suunnitelluissa kuluttajaliittymissä, samassa osoiteavaruudessa ja aggregointilaitteessa olevat asiakkaan väistämättä kärsivät huomiota herättävään liittymään kohdistuvista DoS hyökkäyksistä. Kiinteillä IP osoitteilla ja erillisillä reitittimillä varustetut liittymät on mahdollista suojata DoS:lta ja eristää muista asiakkaista huomattavasti helpommin.
Julkinen 7 Potentiaaliset ristiriitatilanteet enemmistön ja yksittäisten asiakkaiden tarpeiden välillä 100 000:sta asiakkaasta löytyy aina yksi, joka haluaisi ylläpitää UDP portissa 53 nimipalvelinta, tai unix shell palvelua mobiililaajakaistaliittymän portissa 22. Tätä yhtä edellä mainittua kohti löytyy kuitenkin 10 000 asiakasta, jotka eivät tiedä mitä nuo edes tarkoittavat tai omista edes palomuurilaitetta tai ohjelmistoa. Kuten aina, kysymys on myös rahasta. Suosittujen palvelujen yksittäisyhteydet voidaan etukäteissuunnittelulla suojata, eristää ja valvoa hyvinkin yksityiskohtaisesti. Yhteisiä alustoja hyödyntävissä, halvoissa perusliittymissä on kuitenkin välttämätöntä toimia enemmistön ehdoilla, mutta nämä ehdot mahdollisimman selkeästi viestien.
Julkinen 8 Haittaliikenteen rajoitusten toteutus Liikenteen esto on pyrittävä toteuttamaan aina suoraan haittaliikenteen lähteellä tai mahdollisimman lähellä sitä (esim. verkon reunareitittimillä). Liikenteen estäminen on mahdollisia IP osoite tai TCP/UDP porttitasolla, itse sisältöön, liikenteen tarkoitusperiin tai toiminnan laillisuuteen ei tästä näkökulmasta voida ottaa kantaa. Jos viestintäverkko tai laite aiheuttaa vaaraa tai häiriötä muille, häiriötä aiheuttava kokonaisuus on irrotettava yleisestä viestintäverkosta.