Transcript Andmeturve ja krüptoloogia Andmebaaside turve ja võrguturve 21. detsember 2014 Valdo Praust [email protected] Andmebaaside turve – lähtekohad 1.

Andmeturve ja krüptoloogia
Andmebaaside turve ja
võrguturve
21. detsember 2014
Valdo Praust
[email protected]
Andmebaaside turve –
lähtekohad
1. Eeldatakse, et andmed on üldjuhul
esitatud relatsioonilise andmebaasina
(tabelid, nendevahelised seosed, kirjed,
väljad)
2. Tuleb tagada andmete konfidentsiaalsus
erinevate andmebaasi väljade tasemel, st
tagada, et neid saaks lugeda vaid selleks
volitatud isikud
3. Kusagil on kindlaks määratud, millised
kasutajad (kasutajagrupid) võivad
milliseid andmeid vaadata ja muuta
Andmebaaside turbe
lähtekohad
4. Tuleb tagada andmete terviklus – st
suuta kõikide andmete korral
tuvastada nende sisestajat ning
veenduma, et andmeid ei oleks hiljem
muudetud. Vahel tuleb tuvastada ka
sisetus- ja muutmisajad ning kõik
eelnevad muutjad
5. Andmebaasil on reeglina suur hulk
kasutajaid, millest reeglina mitmetel
on samade andmete kirjutamisõigus
Lihtsaim turbe realiseerimine:
rakendustarkvara-põhine
•
•
•
kasutajate, andmete muutmise jm üle arvestus käib
rakendustarkvarapõhiselt
iga kasutaja autenditakse süsteemis, nt
kasutajanime ja parooli põhjal
andmebaas ise asub serverarvutis, kuhu on ligipääs
vaid süsteemihalduritel
Oluline puudus: andmebaas on
serverarvutil avatud kujul ja
süsteemiadministraator saab kõike
märkamatult lugeda ja muuta
Liialt suur riskide koondamine ühte
punkti
Rakendustarkvara veaaldisus
Praktiliselt iga rakendustarkvara on vigane: aegajalt leitakse vigu, mis vahel osutuvad
turvaaukudeks (võimaldavad teha midagi
keelatut või kellelgi keelatul
Leitud turvaaukudele koostatakse paigad
(turvauuendused)
Julm reaalsus: alates vea
avalikustamisest kuni paiga
installeerimiseni on tarkvara (võrgust
lähtuvate) rünnete ees kaitsetu
Registri terviklusest
(tõestusväärtusest)
Kurb reaalsus: kui varustame andmebaasi iga
kirje või välja digiallkirjaga, tagab see küll
tervikluse kirje või välja tasemel, kuid ei taga
terviklust kogu andmebaasi (registri) tasemel
Peamine puudus: saame
volitamatult jälgi jätmata ära
kustutada terveid kirjeid ja
välju
Registri terviklusest
(tõestusväärtusest)
Lahendus: digitaalregistrist peame lisaks
digitaalallkirjadega varustama veel
krüptograafial põhinevate mehhanismidega,
mis seovad andmebaasi eri osad omavahel
Näiteks tuleks krüptoräsidega siduda omavahel
kõik andmebaasis tehtavad muutused
Sel juhul ei tohi mitte midagi andmebaasist
kunagi kustutada, ka mitte valesid andmeid
Täiendavad tervikluskaitse
meetmed (kokkuvõte)
• kõik andmebaasi väljad (registri kanded) tuleb
varustada digiallkirjaga
• kõik muudatused tuleb säilitada, midagi ei tohi kunagi
kustutada
• kõik lisatud andmed tuleb lisamise järjekorras
aheldada krüptoräsidega üheks ahelaks, kuhu hiljem ei
saa andmeid vahele panna ega sealt ära võtta
• kasutajate identifitseerimist (autentimist) ei tohi mitte
teha rakendustarkvara tasemel nagu praegu tavaks
(see annab süsteemiadministraatorile piiramatu
muutmise õiguse), vaid siin tuleks kasutada
krüptograafilisi meetodeid — näiteks digiallkirja — mis
põhinevad nt digisignatuuri mehhanismidel
Täiendava tervikluskaitse
eelised ja puudused
Eelised:
• süsteemihaldur ei saa ligi andmetele endile, vaid
nende signeeritud kujule, mida ta ei saa muuta
• rakendustarkvara rikke või turvaaugu leidumise
korral selles jääb andmete terviklus
digitaalallkirjaga siiski kaitstuks
Puudused:
• nõuab andmebaasitarkvaralt täiendavaid tingimusi
ja/või avaliku võtme infrastruktuuri toetust
• tihti on vaja muuta ka andmebaasi
pidamispõhimõtteid
Täiendavad
konfidentsiaalsuskaitse meetmed
• andmebaas on krüpteeritud kas
kirjete või väljade tasemel
• on olemas võtmehaldussüsteem,
mis võimaldab volitatud
kasutajatel oma parooli teades
saada andmete dešifreerimisvõtit
ja seeläbi saada ligi andmetele
Halb alternatiivlahendus: andmebaasi
krüpteerimine tervikuna väldib volitamata
pääsud, kuid seab volitamata pääsule suuri
raskusi
Täiendava
konfidentsiaalsuskaitse eelised
ja puudused
Eelised:
•
•
Süsteemihaldur ei saa ligi andmetele endile, vaid nende
krüpteeritud kujule, mis ei ava oma sisu talle
Rakendustarkvara rikke või turvaaugu leidumise korral
jääb andmete konfidentsiaalsus kaitstuks
Tõsine puudus:
Nõuab andmebaasimootorilt täiendavaid tingimusi:
relatsioonilise baasi korral on raske töötada krüpteeritud
väljadega.
Kaasajal ei ole teoorias kõike lahendatud ja reeglina ei
saa ühitada omavahel otsingut (sekundaarvõtit) ja
krüpteerimist. Lahendatud on vaid erijuhte
Alternatiiv andmebaasi
konfidentsiaalsuskaitsele
Põhimõte: andmed on kettale salvestatud krüpteeritud kujul,
kuid andmebaasiga on liidetud riistvaraline turvamoodul
(hardware security module, HSM), mis suudab genereerida
võtit ning šifreerida-dešifreerifda
Sel juhul on andmebaasi mootoris lahti ainult need andmed,
mida parajasti töödeldakse (isoleerimine). Andmebaasi ja
turvamoodul suhtlevad omavahel üle mingi turvalise
sideprotokolli.
Turvamooduli käitlemiseks kasutatakse tüüpiliselt kiipkaarte
ja nn “mitu-mitmest” käivitusskeemi
Kaasajal kasutatakse kõrget turvet vajavates
andmebaasides just selliseid pöördkonstrueerimatuid
riistvaralisi krüpteerimisseadmeid
Täiendavad käideldavuskaitse
meetmed
Alus: reeglina kuumvarundamine üle Interneti
mingis teises füüsilises paigas
Võimaldab kahandada füüsilisest turbest
lähtuvaid riske (nt hävimist terrorirünnaku korral)
Hädavajalik eeldus: kui kasutada
võõraid organisatsioone, peab
andmebaas olema krüpteeritud
ja signeeritud
Tekib nn kaugarhiveerimine
Basics of “võrk“(Internet)
• Kaasaja arvutite kaugvõrk on reeglina Internet
• Võrgus olemine  Interneti ühenduse
olemasolu
• Kaasaja Internet on TCP/IP protokollil kui
tehnilisel standardil põhinev võrk, kus kogu
teave liigub teatud kogumite (IP pakettide)
kaupa
Igal IP paketil on kirjas:
• kust (IP aadress) ta tuleb
• kuhu (IP aadress) ta läheb
• millise teenuse osa ta on
Internet kui teenuste kogusumma
Internet koosneb väga paljudest
erinevatest teenustest, mis
määrab ära teabe liikumise laadi
võrgus
Tuntuimad teenuste näited:
• meil (e-post) – vastab SMTP protokoll
• veeb – vastav HTTP protokoll
• FTP (failiedastus) – vastab FTP protokoll
• DNS – seab nimele vastavusse IP aadress
Erinevaid teenuseid on väga palju; suurt osa neid
vajatakse Interneti sisemiseks korraldamiseks
Avatud netiühenduse puudused
Paradoks: Internetiühendusega
arvuti või kohtvõrgu korral
pääseb häkker Teie süsteemi
sama lihtsalt kui Teie välisvõrku
Miks see nii on: operatsioonisüsteemi, teenuste
ja rakenduste tasemel on kaasajal pea võimatu
kõike turvata: neis leitakse pidevalt turvaauke,
mis varsti ka parandatakse, kuid see võtab
teatud aja
Rakendustarkvara teatud tasemel
ebaturvalisus on kaasajal paratamatus
Esmapilgul pääsetee: kohtvõrgu
ühendamine tulemüüri abil
Multifunktsionaalne tulemüür: (firewall)
spetsiaalne lüüsarvuti sise- ja välisvõrgu
vahel, mis vahendab nendevahelist liiklust
Reeglina reguleerib tulemüür liiklust nii,
et lubab endast läbi vaid teatud kindlaid
ühendusi (teenuseid)
Tulemüüridest on kasutusel kaks peamist varianti:
• tulemüür toimib marsruuterina, lastes läbi vaid
teatud omadustega IP paketid
• tulemüür ei toimi marsruuterina ning sellel
jooksevad teatud vahendusprogrammid (proxy),
mille poole teenused pöörduvad
Tulemüüri eelised
•
potentsiaalsed ründed on
üliarvukate teenuste asemel
kontsentreeritud ühte piiratud
funktsionaalsusega füüsilisse
punkti, mida saab hoolikamalt
valvata ja kus on nende
realiseerumiseks vähem
võimalusi
• välismaailma eest saab peita sisevõrgu
arhitektuuri
• Interneti aadresse saab kokku hoida
• saab hoida kokku raha integreeritud lahenduse
soetamisega (FTP server, WWW server jms)
Tulemüüri peamine puudus
Volitatud kasutajatel on
välisvõrgust võimatu
sisevõrku pääseda 
Järeldus: selline ränk
kitsendus pisendab tohult
Interneti põhjustatud
virtuaalvõimalusi
(virtuaalkontor, kaugtöö jne)
Seega lisaks kaitsele (volitamata tegevustele)
Interneti avarustest välistab tulemüür ka
volitatud kasutajate tegevused sealt
Lahendus puuduse
kõrvaldamiseks: side krüpteerimine
ja signeerimine
Kurb tõsiasi: tavalised Interneti
teenused (protokollid) – telnet, http,
ftp, nntp, smtp – ei ole turvalised,
iga “traadile” ligipääseja saab
teavet pealt kuulata ja soovi korral
ka võltsida
Ainus lahendus: edastatava teabe
krüpteerimine (kaitseb konfidentsiaalsust) ja
signeerimine (kaitseb terviklust)
Tulemüür + turvaline
kaugpöördusklient
Turvaline kaugpöördusklient kasutab võrgus edastatava
teabe krüpteerimist ja ka signeerimist, tagades sellega
nii konfidentsiaalsuse kui ka tervikluse
Seda realiseerib nt SSL/TLS protokoll
Turvalise kaugpöörduskliendi ühendus
võib vabalt kulgeda kus tahes Internetis
(sh ka läbi tulemüüri(de)) ilma
turvalisust kaotamata
Nii taastatakse kaugtöö võimalus
(nüüd juba turvaline) tulemüüre
sisaldavates süsteemides
Virtuaalfirma tugliluustik:
virtuaalsed privaatvõrgud
Internet võimaldab teabe liikumist vabalt üle neti
olenemata geograafilistest kaugustest
Seega võib firma olla ideaalis hajutatud erinevate maailma
paikade vahel
Probleem: nad kõik tahaksid kasutada ühist infosüsteemi,
kuid avaliku võrgu kanalid on reeglina ebaturvalised
Lahendus: virtuaalsed privaatvõrgud (virtual private
networks, VPN), mis ühendavad mitu eraldatud
kohtvõrku loogiliseks tervikuks, kasutades
nendevaheliste ühenduste loomiseks avalikku Internetti,
kusjuures kõik avalikke kanaleid pidi liikuvad andmed on
krüpteeritud ja autenditud
Virtuaalsed privaatvõrgud (järg):
Erinevaid privaatvõrke võib
sellise tehnoloogiaga
ühendada kokku kuitahes
palju erinevaid
Kõik nimetatud võrgud on
avaliku Internetiga
ühendatud spetsiaalsete
krüptomüüride (cryptowall)
vahendusel, mis omavahel
vahendavad krüpteeritud ja
signeeritud andmeid
Lõppkasutaja (ja ka võrguteenuste) jaoks paistab
kogu süsteem välja ühtse tervikliku privaatvõrguna
Virtuaalsed privaatvõrgud: erinevad
variandid
Vajadusel võib
turvalisele privaatvõrgule
lisada ka tulemüüri
ühenduseks avaliku
Internetiga:
Sel juhul kogu liiklus igast virtuaalse privaatvõrgu
harust Internetti läbib seda tulemüüri olenemata
geograafilisest asukohast
Kokkuvõte: võrguturbe peamised
vahendid
•
Tulemüür lokaalvõrgu turvaliseks
ühendamiseks kaugvõrguga (Internetiga)
•
Turvaline kaugtööklient (vajadusel pääsuga
läbi tulemüüri(de) turvalistesse
lokaalvõrkudesse)
•
Virtuaalsed privaatvõrgud üle ebaturvalise
kaugvõrgu (Interneti)
•
Kõikide nimetatud komponentide sümbioos
vastavalt vajadusele