16.01.2002

3/2002 Palomuuriohjelmiston asentaminen kotitietojärjestelmään

Avoimeen tietoverkkoon, kuten Internetiin, yhdistetyt kotitietojärjestelmätkin ovat usein alttiina hyökkäyksille, jos niihin ei ole asennettu tietojärjestelmän palveluihin pääsyä rajoittavia kontrolleja, kuten palomuuriohjelmistoa. Tietoliikenne tietojärjestelmän ja Internetin välillä järjestetään sovittujen käytänteiden eli tietoliikenneprotokollien avulla. Tietoliikenneprotokollien käyttöön liittyy eri portteja, joita eri protokollat, kuten TCP ja UDP, käyttävät omien palveluidensa toteuttamisessa. Palomuuriohjelmiston tehtävänä on rajoittaa tietojärjestelmän palveluihin pääsyä esimerkiksi myöntämällä eri palveluille, ohjelmistoille tai tietoliikenneprotokollien käyttämille porteille oikeuden päästä Internetiin tai oikeuden toimia käytössä olevassa tietojärjestelmässä avoimina palveluina.

Kaapelimodeemiyhteyksillä, xDSL-yhteyksillä sekä muilla esimerkiksi kiinteällä IP-osoitteella ja nopealla tiedonsiirtoyhteydellä varustetuilla tietojärjestelmillä, on eritoten riski joutua Internetistä kohdistuvien hyökkäyksien kohteiksi. Hyökkääjät hakevat usein kohteikseen tietojärjestelmiä, joiden suuri tiedonsiirtokyky mahdollistaa vaikkapa hyökkääjän asentamien ohjelmistojen tai palveluiden, kuten IRC (Internet Relay Chat), mielekkään toimivuuden tai takaa nopean "ponnahduslaudan" hyökkäyksen kohteena olevaan kolmanteen tai neljänteen tietojärjestelmään.

Viimeaikana esiintyneet haittaohjelmat, kuten Nimda niminen mato, avaavat usein saastuneeseen tietojärjestelmään takaportteja tietoliikenneprotokollien käyttämiin portteihin. Näiden avattujen yhteyksien tai porttien havaitseminen normaalikäytössä ilman palomuuriohjelmistoa on usein hankalaa. Takaportit saattavat käyttää sellaisia porttinumeroita, joiden käyttöä ei normaalissa tietojärjestelmäkäytössä helposti havaitse. Toisaalta hyökkääjän asentama palvelu saatetaan asentaa juuri sellaiseen tietoliikenneprotokollan käyttämään porttiin, joka on aina muutoinkin käytössä juuri hyökkäyksen havaitsemisen vaikeuttamiseksi. Molemmissa tapauksissa palomuuriohjelmisto, joka kontrolloi kotitietojärjestelmään tulevaa ja siitä lähtevää tietoliikennettä, ja tässä tapauksessa reagoi myös ohjelmistojen oikeuksiin, voisi havaita takaportin olemassaolon kysymällä esimerkiksi käyttäjältä, saako kyseinen palvelu oikeuden päästä käytössä olevasta tietojärjestelmästä Internetiin, jolloin tietojärjestelmän käyttäjä voisi evätä pääsyn ja havaita takaportin sekä palauttaa tietojärjestelmänsä normaalitilaan.

HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:

Haavoittuvuus on käyttöjärjestelmäriippumaton.

RATKAISU / RAJOITUSMAHDOLLISUUDET:

Käytä tietojärjestelmässäsi palomuuriohjelmistoa, joka rajaa pääsyä kotitietojärjestelmän palveluihin ja tietoliikenneprotokollien käyttämiin portteihin. CERT-FI suosittelee käyttämään sellaista palomuuriohjelmistoa, joka kykenee tarkkailemaan tietojärjestelmään tulevaa ja tietojärjestelmästä lähtevää tietoliikennettä. Rajaa kotitietojärjestelmän käytössä olevia palveluita niin, että vain tarvittavat palvelut ovat käytössä.

LISÄTIETOA/TIETOLÄHTEET:
http://www.ficora.fi/suomi/tietoturva/palomuuri.htm
http://www.zonelabs.com
http://www.tinysoftware.com/home/tiny?la=EN&va=aa
http://www.symantec.com
http://www.networkice.com
http://www.f-secure.com/products/ds-firewall/

Sivua päivitetty 15.08.2007

Tulostusversio