Haittaliikenteen suodattaminen tunkeutumisen havaitsemis- ja estoteknologialla verkko-operaattorin Internet-yhteyspalvelussa
Download
Report
Transcript Haittaliikenteen suodattaminen tunkeutumisen havaitsemis- ja estoteknologialla verkko-operaattorin Internet-yhteyspalvelussa
Haittaliikenteen suodattaminen
tunkeutumisen havaitsemis- ja
estoteknologialla verkko-operaattorin
Internet-yhteyspalvelussa
Tekijä: Jukka Ranta
Valvoja: Prof. H. Hämmäinen
IPS
-teknologiasta
Tietoturvasta
Tutkimuksesta
Prosesseista
Agenda
26.2.2007
Tuloksista
Tutkimusongelma
Taustalla Viestintävirasto 13 / 2005M
Verkko-operaattorin perspektiivi
haittaliikenteen suodattamiseen IPS teknologialla kiinteänä osana Internetyhteyspalvelua
Tutkimuksen piirissä yrityksille ja
yhteisöille tarjottava Internet-yhteyspalvelu
Case -tutkimus operaattoriympäristössä
Tietoturva-alan trendejä
Ohjelmistohaavoittuvuuksien määrä
edelleen kasvussa
Käyttöjärjestelmät, sovellukset
Päätelaitteet, verkkolaitteet
Tietoturvarikollisuus järjestäytynyttä ja
ammattimaista, raha merkittävä motivaattori
Haittaohjelmistot jalostuneita, hyökkäysten
automaatioaste korkea
Hyökkääjillä enemmän voitettavaa, uhreilla
enemmän hävittävää
IPS -teknologia (I)
Verkkosegmentin reunapuolustuksen väline
Haitallisen liikenteen tunnistaminen
perustuu käsitykseen normaalista
liikenteestä sekä tietoon tunnetuista
hyökkäysmenetelmistä
Tunkeutumisen havaitseminen
kontekstisidonnaista:
Käyttöjärjestelmähaavoittuvuudet
Sovellushaavoittuvuudet
IPS -teknologia (II)
Epäilyttävän liikenteen yksikäsitteinen
tulkinta haitalliseksi haastavaa
Todistusaineisto ja tunnusmerkit:
Data-arvot protokollakehyksissä
Merkkijonot hyötykuormassa
Näiden kombinaatiot aika-akselilla
Virheelliset tulkinnat saattavat aiheuttaa
sovellustason ongelmia
Teknologia itsessään kuitenkin tutkitusti
kypsää - tietoturvavaikutus hyvä
ITIL -prosessimallit (I)
IT -alan de facto prosessistandardi
Palvelun toimitusprosessit
Palvelun tukiprosessit
Palvelupiste
Tapahtumanhallinta
Ongelmanhallinta
Konfiguraationhallinta
Muutoksenhallinta
Jakelunhallinta
ITIL -prosessimallit (II)
Palvelupiste
Tapahtumanhallinta
Internet-yhteys
IPS
Vikojen valvonta, vastaanotto, kirjaus,
viestintä asiakkaalle
Häiriötilanteiden hallinta, palvelun
normaalin toiminnan palauttaminen
Ongelmanhallinta
Merkittävien poikkeustilanteiden hallinta,
proaktiivinen häiriöiden hallinta
Konfiguraationhallinta
Palveluun liittyvän tiedon hallinta
(sopimukset, tekninen dokumentaatio,...)
Muutoksenhallinta
Jakelunhallinta
Palveluun kohdistuvien muutosten
suunnittelu ja hyväksyntä
Muutostöiden projektointi ja toteutus,
teknisen kokonaisuuden hallinta
Case -esittely (I)
Case 1: Yksittäinen toimipiste
IPS -toteutus runkoverkon kytkentäpisteessä
Esim. PK -yritys, ohut tai olematon IT -
organisaatio
Ei kontrolloitua ohjelmistojen ja päivitysten
hallintaa
Asiakkaan
lähiverkko
Palveluntarjoajan
runkoverkko
IPS
Internet
Case -esittely (II)
Case 2: MPLS VPN -yritysverkko
Organisaatiolla oma IT -hallinto sekä kontrolloitu,
kolmannen osapuolen toimittama IT -arkkitehtuuri
IPS -toteutuksen piirissä myös organisaation
sisäinen liikenne
Asiakkaan
toimipiste X
Asiakkaan
toimipiste Y
Palveluntarjoajan
runkoverkko
IPS
IPS
Internet
IPS
Asiakkaan
toimipiste Z
Case -esittely (III)
Case 3: Palveluverkon runko-osuus
Osakokonaisuus asiakkaan tarjoamasta
puolijulkisesta WLAN -palvelusta
Asiakkaan
WLAN hot spot X
Palveluntarjoajan
runkoverkko
IPS
IPS
Asiakkaan
WLAN hot spot Y
Internet
IPS
Asiakkaan
WLAN hot spot Z
Havainnot: Tekninen näkökulma (I)
Väärien tulkintojen minimointi vaatii hyvää
ajankohtaista tietoa asiakkaan
päätelaitteista ja järjestelmistä
Ohjelmistot, ohjelmistoversiot, päivitykset
Dynaamiset IP -osoitteet
Tietoturvapolitiikan sallima liikenne
IPS -säännöstön kompleksisuus suorituskyky-
rasite
Mitä vähemmän lähtötietoja, sitä enemmän
estyvää liikennettä ja häiriöitä Internetyhteyspalvelussa
Havainnot: Tekninen näkökulma (II)
Havaintojen luotettavuuden ongelma:
Tulkinta riippuvaista normaalin tai tunnetusti
haitallisen liikenteen yksikäsitteisestä
määritelmästä
Jokaiseen tulkintaan liittyy epävarmuustekijöitä
Miten määritellä havainnon kohtuullinen
varmuus?
Verkkoinfran suojaaminen IPS -teknologialla
Haavoittuvan järjestelmän suojaaminen toisella
haavoittuvalla järjestelmällä?
Havainnot: Prosessinäkökulma
Internet-yhteyspalvelun toimittajan
tukiprosessit riippuvaisia asiakkaan IT tukiprosesseista
Päätöksenteko ongelmallista:
Asiakkaan vaikutusvalta IPS -säännöstöön?
Palveluntarjoaja
Tapahtuman
hallinta
Ongelman
hallinta
Muutoksen
hallinta
Konfiguraation
hallinta
Jakelun
hallinta
Palveluntarjoaja
Palvelupiste
Konfiguraatiotietokanta
Palvelupiste
Tapahtuman
hallinta
Ongelman
hallinta
Muutoksen
hallinta
Asiakas
Asiakas
Konfiguraation
hallinta
Jakelun
hallinta
Johtopäätökset
Tunkeutumisen havaitsemis- ja estoteknologia on
käsitteellisesti oikea väline Viestintävirasto 13 /
2005M täyttämiseksi ja haittaliikenteen
suodattamiseksi runkoverkoissa
Teknisesti sen tietoturvavaikutus on sille
optimaalisissa olosuhteissa hyvä
Prosessinäkökulmasta IPS -teknologian
hyödyntäminen Internet-yhteyspalvelun kiinteänä
komponenttina on operaattorille kohtuuton
vaatimus
IPS -teknologia soveltuu parhaiten staattisiin
ympäristöihin ja sitä voidaan erillisenä palveluna
tuottaa
Kommentit
ja
kysymykset