Haittaliikenteen suodattaminen tunkeutumisen havaitsemis- ja estoteknologialla verkko-operaattorin Internet-yhteyspalvelussa
Download ReportTranscript Haittaliikenteen suodattaminen tunkeutumisen havaitsemis- ja estoteknologialla verkko-operaattorin Internet-yhteyspalvelussa
Haittaliikenteen suodattaminen tunkeutumisen havaitsemis- ja estoteknologialla verkko-operaattorin Internet-yhteyspalvelussa Tekijä: Jukka Ranta Valvoja: Prof. H. Hämmäinen IPS -teknologiasta Tietoturvasta Tutkimuksesta Prosesseista Agenda 26.2.2007 Tuloksista Tutkimusongelma Taustalla Viestintävirasto 13 / 2005M Verkko-operaattorin perspektiivi haittaliikenteen suodattamiseen IPS teknologialla kiinteänä osana Internetyhteyspalvelua Tutkimuksen piirissä yrityksille ja yhteisöille tarjottava Internet-yhteyspalvelu Case -tutkimus operaattoriympäristössä Tietoturva-alan trendejä Ohjelmistohaavoittuvuuksien määrä edelleen kasvussa Käyttöjärjestelmät, sovellukset Päätelaitteet, verkkolaitteet Tietoturvarikollisuus järjestäytynyttä ja ammattimaista, raha merkittävä motivaattori Haittaohjelmistot jalostuneita, hyökkäysten automaatioaste korkea Hyökkääjillä enemmän voitettavaa, uhreilla enemmän hävittävää IPS -teknologia (I) Verkkosegmentin reunapuolustuksen väline Haitallisen liikenteen tunnistaminen perustuu käsitykseen normaalista liikenteestä sekä tietoon tunnetuista hyökkäysmenetelmistä Tunkeutumisen havaitseminen kontekstisidonnaista: Käyttöjärjestelmähaavoittuvuudet Sovellushaavoittuvuudet IPS -teknologia (II) Epäilyttävän liikenteen yksikäsitteinen tulkinta haitalliseksi haastavaa Todistusaineisto ja tunnusmerkit: Data-arvot protokollakehyksissä Merkkijonot hyötykuormassa Näiden kombinaatiot aika-akselilla Virheelliset tulkinnat saattavat aiheuttaa sovellustason ongelmia Teknologia itsessään kuitenkin tutkitusti kypsää - tietoturvavaikutus hyvä ITIL -prosessimallit (I) IT -alan de facto prosessistandardi Palvelun toimitusprosessit Palvelun tukiprosessit Palvelupiste Tapahtumanhallinta Ongelmanhallinta Konfiguraationhallinta Muutoksenhallinta Jakelunhallinta ITIL -prosessimallit (II) Palvelupiste Tapahtumanhallinta Internet-yhteys IPS Vikojen valvonta, vastaanotto, kirjaus, viestintä asiakkaalle Häiriötilanteiden hallinta, palvelun normaalin toiminnan palauttaminen Ongelmanhallinta Merkittävien poikkeustilanteiden hallinta, proaktiivinen häiriöiden hallinta Konfiguraationhallinta Palveluun liittyvän tiedon hallinta (sopimukset, tekninen dokumentaatio,...) Muutoksenhallinta Jakelunhallinta Palveluun kohdistuvien muutosten suunnittelu ja hyväksyntä Muutostöiden projektointi ja toteutus, teknisen kokonaisuuden hallinta Case -esittely (I) Case 1: Yksittäinen toimipiste IPS -toteutus runkoverkon kytkentäpisteessä Esim. PK -yritys, ohut tai olematon IT - organisaatio Ei kontrolloitua ohjelmistojen ja päivitysten hallintaa Asiakkaan lähiverkko Palveluntarjoajan runkoverkko IPS Internet Case -esittely (II) Case 2: MPLS VPN -yritysverkko Organisaatiolla oma IT -hallinto sekä kontrolloitu, kolmannen osapuolen toimittama IT -arkkitehtuuri IPS -toteutuksen piirissä myös organisaation sisäinen liikenne Asiakkaan toimipiste X Asiakkaan toimipiste Y Palveluntarjoajan runkoverkko IPS IPS Internet IPS Asiakkaan toimipiste Z Case -esittely (III) Case 3: Palveluverkon runko-osuus Osakokonaisuus asiakkaan tarjoamasta puolijulkisesta WLAN -palvelusta Asiakkaan WLAN hot spot X Palveluntarjoajan runkoverkko IPS IPS Asiakkaan WLAN hot spot Y Internet IPS Asiakkaan WLAN hot spot Z Havainnot: Tekninen näkökulma (I) Väärien tulkintojen minimointi vaatii hyvää ajankohtaista tietoa asiakkaan päätelaitteista ja järjestelmistä Ohjelmistot, ohjelmistoversiot, päivitykset Dynaamiset IP -osoitteet Tietoturvapolitiikan sallima liikenne IPS -säännöstön kompleksisuus suorituskyky- rasite Mitä vähemmän lähtötietoja, sitä enemmän estyvää liikennettä ja häiriöitä Internetyhteyspalvelussa Havainnot: Tekninen näkökulma (II) Havaintojen luotettavuuden ongelma: Tulkinta riippuvaista normaalin tai tunnetusti haitallisen liikenteen yksikäsitteisestä määritelmästä Jokaiseen tulkintaan liittyy epävarmuustekijöitä Miten määritellä havainnon kohtuullinen varmuus? Verkkoinfran suojaaminen IPS -teknologialla Haavoittuvan järjestelmän suojaaminen toisella haavoittuvalla järjestelmällä? Havainnot: Prosessinäkökulma Internet-yhteyspalvelun toimittajan tukiprosessit riippuvaisia asiakkaan IT tukiprosesseista Päätöksenteko ongelmallista: Asiakkaan vaikutusvalta IPS -säännöstöön? Palveluntarjoaja Tapahtuman hallinta Ongelman hallinta Muutoksen hallinta Konfiguraation hallinta Jakelun hallinta Palveluntarjoaja Palvelupiste Konfiguraatiotietokanta Palvelupiste Tapahtuman hallinta Ongelman hallinta Muutoksen hallinta Asiakas Asiakas Konfiguraation hallinta Jakelun hallinta Johtopäätökset Tunkeutumisen havaitsemis- ja estoteknologia on käsitteellisesti oikea väline Viestintävirasto 13 / 2005M täyttämiseksi ja haittaliikenteen suodattamiseksi runkoverkoissa Teknisesti sen tietoturvavaikutus on sille optimaalisissa olosuhteissa hyvä Prosessinäkökulmasta IPS -teknologian hyödyntäminen Internet-yhteyspalvelun kiinteänä komponenttina on operaattorille kohtuuton vaatimus IPS -teknologia soveltuu parhaiten staattisiin ympäristöihin ja sitä voidaan erillisenä palveluna tuottaa Kommentit ja kysymykset