Asiakasjärjestelmien turvaaminen hyökkäyksenestojärjestelmällä
Järvenpää, Tero (2016)
Järvenpää, Tero
2016
Signaalinkäsittelyn ja tietoliikennetekniikan koulutusohjelma
Tieto- ja sähkötekniikan tiedekunta - Faculty of Computing and Electrical Engineering
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2016-06-08
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201605254142
https://urn.fi/URN:NBN:fi:tty-201605254142
Tiivistelmä
Verkkohyökkäysten määrän alati kasvaessa pelkkä palomuuri ei enää nykyään riitä palveluiden kattavaan suojaukseen. Tällaisiin tilanteisiin ratkaisuksi sopivat erilaiset hyökkäyksenestojärjestelmät. Omassa ylläpidossa olevien palveluiden suojaaminen on helposti ratkaistavissa hankkimalla hyökkäyksenestolaitteisto tai -palvelu sopivalta toimittajalta. Mikäli käyttöpalveluita ostetaan kuitenkin yritykseltä, joka myös hoitaa verkkopalveluiden ylläpidon, luontevin hyökkäyksenestopalvelun tarjoaja on sama yritys. Tällainen hyökkäyksenestopalvelu voidaan toteuttaa monella eri tavalla, joista yhtä käsitellään tämän työn puitteissa
Hyökkäyksenestopalvelun tarjoamisessa suurin kuluerä on todennäköisimmin palvelusta aiheutuvat ylläpitokustannukset, joten keskeisenä suunnittelun lähtökohtana tuli olla niiden minimointi. Suorituskyvyllisesti palvelun toteuttava laitteisto tuli mitoittaa arvioidun asiakasliikenteen määrän mukaan. Asiakasjärjestelmiä suojattaessa myös järjestelmän valvontamahdollisuudet ja erilaiset rajapinnat muihin järjestelmiin nousevat suurempaan arvoon.
Hyökkäyksenestopalvelu toteutettiin Ciscon IPS-järjestelmän päälle. Järjestelmä hankittiin palomuurien yhteydessä toimivina sovellusmoduuleina, joten ylimääräisiä laitehankintoja ei tarvinnut tehdä. Moduulien käyttöönottoon ja konfigurointiin laadittiin suunnitelmat, jotta se ei häirinnyt palomuurien toimintaa. Järjestelmän toiminta pyrittiin samaan mahdollisimman automaattiseksi, ja ilmoitustoiminnallisuudet konfiguroimaan siten, että ilmoitus tulee oikeasti vain tilanteista, jotka edellyttävät muuta reagointia. Lokin kerääminen toteutettiin ulkoisen järjestelmän avulla, jotta tarvittaessa voidaan tarkemmin selvittää ja raportoida IPS:n tekemiä toimenpiteitä.
Tuotteen jatkuvuuden näkökulmasta on tärkeää, että se ei nojaa liikaa mihinkään sen toteutukseen käytettyyn teknologiaan, jotta tuotteen elinkaari voi jatkua teknologian elinkaaren päätyttyä ilman että asiakkaille suunnattu tarjooma merkittävästi muuttuu.
Hyökkäyksenestopalvelun tarjoamisessa suurin kuluerä on todennäköisimmin palvelusta aiheutuvat ylläpitokustannukset, joten keskeisenä suunnittelun lähtökohtana tuli olla niiden minimointi. Suorituskyvyllisesti palvelun toteuttava laitteisto tuli mitoittaa arvioidun asiakasliikenteen määrän mukaan. Asiakasjärjestelmiä suojattaessa myös järjestelmän valvontamahdollisuudet ja erilaiset rajapinnat muihin järjestelmiin nousevat suurempaan arvoon.
Hyökkäyksenestopalvelu toteutettiin Ciscon IPS-järjestelmän päälle. Järjestelmä hankittiin palomuurien yhteydessä toimivina sovellusmoduuleina, joten ylimääräisiä laitehankintoja ei tarvinnut tehdä. Moduulien käyttöönottoon ja konfigurointiin laadittiin suunnitelmat, jotta se ei häirinnyt palomuurien toimintaa. Järjestelmän toiminta pyrittiin samaan mahdollisimman automaattiseksi, ja ilmoitustoiminnallisuudet konfiguroimaan siten, että ilmoitus tulee oikeasti vain tilanteista, jotka edellyttävät muuta reagointia. Lokin kerääminen toteutettiin ulkoisen järjestelmän avulla, jotta tarvittaessa voidaan tarkemmin selvittää ja raportoida IPS:n tekemiä toimenpiteitä.
Tuotteen jatkuvuuden näkökulmasta on tärkeää, että se ei nojaa liikaa mihinkään sen toteutukseen käytettyyn teknologiaan, jotta tuotteen elinkaari voi jatkua teknologian elinkaaren päätyttyä ilman että asiakkaille suunnattu tarjooma merkittävästi muuttuu.