Seuraavista asioista on HAITTAA hakkeroidessa:
Palomuurit.
Yleensä yritykset, joilla on kokemusta kutsumattomista vieraista verkossaan ovat haluttomia kertomaan
kokemuksistaan julkisesti. Uhka on kuitenkin todellinen. Artikkelit New York Times lehdessä, keväältä -95,
koskien tunkeutumisiskuja Pentagoniin osoittavat myös uhkaa. Tehokkain ja kysytyin tapa suojata sisäistä verkkoa
ulkoisilta uhkatekijöiltä on Palomuuri. Palomuurit ovat esteitä suojatun yksityisen verkon sekä suojaamattoman yleisen verkon,
kuten Internet välille. Alunperin ne kehitettiin suojaamaan yrityksen sisäisiä toimintoja. Nykyään niitä,
yhä enenemässä määrin, käytetään suojaksi ulkoisia uhkia estämään.
Palomuurit ovat käsitteenä helppoja, mutta rakenteeltaan mutkikkaita. Ne tutkivat verkossa kaiken sisäisen-
ja ulkoisen liikenteen, ja päästävät läpi ainoastaan sallitun liikenteen. Hyvän palomuurin periaatteisiin pitäisikin kuulua;
"Se mikä ei ole erikseen sallittua, tulee olla kiellettyä". Palomuuri suojaa esim. yrityksen sisäisen verkon, niiltä jotka sijaitsevat ulkoisessa verkossa (yrityksen hallinnan ulottumattomissa). Palomuuri läpäisee vain sallitut paketit kahden verkon välillä. Palomuureja voidaan toki käyttää myös
sisäisessä verkossa suojaamaan yrityksen eri toimintoja. Palomuurien tulisi antaa käyttäjilleen ainakin seuraavanlaisia ominaisuuksia;
Läpinäkyvyys sisäisestä verkosta ulospäin, turvallisuus ja käytönhelppous.
Läpinäkyvyydellä tarkoitetaan, omasta verkosta ulospäin helposti liikennöitävyyden lisäksi sitä,
että käyttäjät voivat käyttää kaupallisesti saatavia ohjelmia ilman erillisiä muutoksia.
Palomuuri voi huomattavasti parantaa turvallisuustasoa ja pienentää riskejä suodattamalla luonnostaan turvattomia palveluita,
kun samanaikaisesti sallitaan tarvittavia mahdollisesti elintärkeitä palveluita. Palomuuri toteuttaa verkon turvallisuutta,
pakottaessaan paketit ensin tarkempaan tutkintaan, minkä jälkeen ne joko jaetaan edelleen tai heitetään roskiin.
Palomuurien toteutustekniikat käyttävät kolmea erilaista tekniikkaa: Pakettisuodattimet (Packet Filters),
piiritason yhdyskäytävä (Circuit-Level Gateway ) sekä sovellustason yhdyskäytävä (Application-Level Gateways),
joskus erillään, joskus yhdistettyinä. Pakettisuodatus toimii TCP/IP-tasolla eikä sillä näinollen ole
erityistä tietoa sovellutuksista, joita suodatetaan. Piiritason yhdyskäytävä sieppaa istunnon matkalla ja
estää tai päästää ne läpi palomuurin. Sovellustason yhdyskäytävä toimii korkeammalla
tasolla ymmärtäen sovellusta, joka generoi paketteja.
Pakettisuodatus, jota myös reitittimillä voidaan tehdä, ei tarjoa täydellistä turvallisuusratkaisua.
Sovellus- sekä piiritason yhdyskäytävät tarjoavat tehokkaan turvallisuustason, mutta voivat johtaa muihin rajoituksiin.
Tehokkaan palomuurin tulisikin sisältää sekä pakettisuodatus, että piiri- ja sovellustason yhdyskäytävät.
Pakettisuodattimet.
Toimivat TCP/IP-tasolla. Ne sallivat esi-hyväksytyt paketit eli ne, jotka tulevat tietyistä lähteistä tai ne,
jotka ovat osoitettu tiettyihin kohteisiin verkossanne. Pakettisuodattimet ovat läpinäkyviä käyttäjälle
ja niitä voidaan käyttää osana reititin konfigurointia esim. Internet yhteyttä muodostettaessa.
Kuitenkin turvallisuus-ratkaisuna, pakettisuodatus yksinään sisältää useita puutteita.
Ensinnäkin, ne vaativat että lähdetieto (source) on esi-hyväksytty. Saattaa käydä niin, että
kun halutaan sallia joitakin palveluita ei-suojatusta lähteestä, samanaikaisesti on suljettava muita palveluita.
Tämä ratkaisu tarvitsee tarkat kuvaukseet siitä minkälaatuisia palveluita päästetään läpi.
Toimeen tuleminen tämän laatuisten tarkasti määäriteltyjen komentojen / listojen kanssa, jotka tarjoavat rajoitetun
pääsyn, voi olla erittäin hankalaa ja vaatii asinatuntijan konfigurointiin.
Toiseksi, ongelmia saattavat tuoda myös palvelut kuten FTP ja DNS. Nämä sovellutukset käyttävät protokollia,
jotka ovat hankalia hallita pakettitasolla.
Piiritason yhdyskäytävä.
Yhdyskäytävät ovat suunniteltu varmoiksi. Kaikki sisään- ja ulospäin suuntautuva liikenne on
yhdyskäytävän hallinassa. Koska ei ole fyysistä yhteyttä sisäisen verkon ja ulkoisen verkon koneiden
välillä, ulospäin menevät yhteydet voidaan silti sallia, jos kohdeosoite on sovittu ja tiedossa.
Piiritason yhdyskäytävät käyttävät proxeja (proxy on eräänlainen välikäsi,
jota palomuuri sisäisesti käyttää) varmistaakseen sisäisen verkon. Yhteydenotossa, yhteydenottaja muodostaa
TCP/IP-yhteyden yhdyskäytävän kanssa. Yhdyskäytävän portti käyttäytyy kuten agentti,
verkon sisäisille käyttäjille. Tämä agentti vertailee ja tarkastaa lähetyksen sisällön ja
tämän jälkeen hyväksyy lähetyksen, käyttäjän puolesta. Tämän jälkeen
yhdyskäytävä välittää bittivirran sille tarkoitettuun osoitteeseen sisäverkossa.
Lisäksi, agentin oma osoite on ainoa tieto, joka on lähetetty ulospäin siirtyvässä tiedosssa.
Proxyt auttavat rajoittamaan tätä tiedon määrää, joka näkyy Internet verkkoon TCP/IP-laitteista.
On kuitenkin mahdollista että käyttäjä tahattomasti heikentää suojaansa käyttämällä
luvattomia palveluita ei standardissa portissa. Päinvastoin kuin pakettitason suodattimet, piiritason yhdyskäytävät
eivät tutki jokaista pakettia bittivirrasta. Ne hyväksyvät useat paketit heti kun vahvistus osoitetiedosta oikea.
Sovellustason yhdyskäytävä.
Sovellustason yhdyskäytävät sisältävät samankaltaisia ominaisuuksia kuin piiritason yhdyskäytävät.
Lisättynä yhdellä huomattavalla parannuksella / ominaisuudella.
Ne tutkivat jokaisen paketin sisällön käyttäytyen kuten ne läpäisisivät yhdyskäytävän.
Tunkeutujilla ei ole mahdollisuutta heikentää palvelintanne "kätkemällä" vahingollista tietoa
tödennäköisesti suojatun tiedon mukaan. Tämä on erityisen tärkeätä silloin kun
sallitaan Internet posti sisäiseen verkkoon.
SMTP (Simple Mail Transfer Protocol) ei ole suojattu protokolla ja näin ollen se onkin yksi yleisimmistä
tunkeutumiseen käytetyistä protokollista. Yhdyskäytävä tutkii sekä sisään-ja ulos menevät paketit.
Tämä poistaa mahdollisuuden sisäisiltä käyttäjiltä päästä palveluihin,
jotka saatavat heikentää turvallisuustasoa. Sovellutason yhdyskäytävät ovat yksi turvallisimmista
suodatus- protokollista. Koska ne suorittavat yksityiskohtaista analyysia, ne ovat myöskin kustannustasoltaan,
verrattuna työnmäärään ja laitteistoon, hyvin edullisia.
Ei kommentteja:
Lähetä kommentti