Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2007 > Toukokuu > Suojautuminen hyökkäyksiltä kannattaa

Tietoturva nyt!

31.5.2007

Suojautuminen hyökkäyksiltä kannattaa

Internetissä tarjottavien palvelujen suojaamiseksi voi tehdä paljonkin. Aina ei täydelliseen suojaukseen edes kannata pyrkiä, mutta jos esimerkiksi yrityksen liiketoiminta perustuu sen tarjoamiin sähköisiin asiointipalveluihin, väärinkäytöksiltä suojautumiseen kannattaa panostaa.


Kapasiteettia tarpeen mukaan

Yksinkertainen, joskaan ei aina halpa, tapa suojautua palvelunestohyökkäyksiltä on järjestelmien ja verkkoyhteyksien reipas ylimitoittaminen niin, että vain kaikkein suurimmilla hyökkäyksillä on vaikutusta palvelutasoon. Järjestelmän osien tulee kuitenkin olla ominaisuuksiltaan tasapainossa. Jos palvelinten tai palomuurin kapasiteetti on pieni tietoliikenneyhteyksien nopeuteen verrattuna, liittymän nopeuden keinotekoinen rajaaminen teleyrityksen päässä voi säästää monelta harmilta.

Palvelimille ei pitäisi normaalitilanteessakaan päästää muuta kuin palvelun toteuttamisen ja ylläpitämisen kannalta tarpeellista liikennettä. Ylimääräinen tulee suodattaa pois.

Erottele jyvät akanoista

Suojautua voi myös pyrkimällä erottelemaan vihamieliset yhteydet palveluiden normaalikäyttäjistä. Hajautettujen hyökkäysten torjuminen pelkästään IP-osoitteiden perusteella ei useinkaan ole tehokasta, koska hyökkääjä voi käyttää suurta määrää osoitteita.

Protokollan vastaiset yhteydet voidaan kuitenkin usein tunnistaa, jolloin niiden pääsy palvelimia kuormittamaan on mahdollista estää. Tämä edellyttää joko varta vasten verkko- tai sovellusliikenteen suodattamiseen tarkoitettuja laitteita tai ainakin siihen soveltuvia ominaisuuksia esimerkiksi palomuurilta.

Suodatustapoja on voitava luoda ja muuttaa tilanteen mukaan niin, että kulloinkin kyseessä olevan hyökkäyksen erityispiirteisiin voidaan tarpeen mukaan reagoida.

Hajauta hallitusti

Hyökkäysten vaikutuksia voi pienentää myös se, että palvelu ei ole vain yhden koneen ja osoitteen varassa. Palvelinten kesken kuormaa tasaavat ja yhteyksien määrää rajoittavat laitteet voivat pitää palvelun toiminnassa, vaikka sen käyttäminen hyökkäyksen aikana hidastuisikin. Hajauttamiseen voidaan käyttää myös nimipalvelusta samalla nimellä löytyviä eri IP-osoitteissa toimivia palvelimia.

Todella laajalti käytetyt ja suositut palvelut, kuten hakukoneet, on hajautettu maantieteellisesti niin, että samaa palvelua tarjotaan eri puolilla maailmaa olevilta palvelimilta. Käyttäjien yhteydet ohjataan verkon kannalta otollisimmassa paikassa olevalle palvelimelle. Yksinkertainen tapa jakaa kuormaa on kopioida suosittua tietosisältöä eri palvelimille ja ohjata käyttäjät hakemaan tietoa eri paikoista esimerkiksi www-sivulla olevan linkkilistan avulla. Monia suosittuja ohjelmistoja jaetaankin peilaamalla (mirror) jaettavat tiedostot eri palvelimille.

Varaudu hyökkäyksiin ennalta

Palvelunestohyökkäyksen tehokas torjuminen voi vaatia sellaista asiantuntemusta ja laitteistoa, jota ei normaalisti ole käytettävissä. Jos palvelun toimivuus on yritykselle tärkeää, on poikkeustilanteisiin varautuminen otettava huomioon jo palvelun toteutusta suunniteltaessa - vähintään on tiedettävä, että mistä ja minkälaisella aikataululla asiantuntija-apua on saatavilla.

Lisätietoa

Sivua päivitetty 31.05.2007   Tulostusversio Tulostusversio