Mine sisu juurde

Interneti turvalisus

Allikas: Vikipeedia
IPsec turvalisusprotokollide komplekt

Interneti turvalisusega seonduvad valik erinevaid turvalisuse taktikaid, kaitsmaks tegevusi ja andmevahetusi, mida tehakse üle interneti.[1] Neid taktikaid kasutatakse selleks, et kaitsta kasutajaid selliste ohtude nagu arvutisüsteemidesse, e-posti kontodele või veebilehtedele sissemuukimise eest, pahavara, mis suudab nakatada ja täielikult kahjustada süsteeme.[1] Küberkurjategijad, kes korraldavad identiteedivargust, selleks, et varastada isikuandmeid ja muud tundlikku teavet, nagu pangaandmed ja krediitkaardinumbrid.[1] Interneti turvalisus on kindel aspekt suurematest ettekujutustest nagu küberturvalisus ja arvuti turvalisus, mis keskendub kindlatele ohtudele ja vigadele, mis eksisteerivad võrgus ja internetis.[1]

Tänapäeval, väga suur osa inimeste tegevustest toimub interneti teel.[1] Erinevad kommunikatsiooni, meelelahutuse, finantsi ja tööga seonduvad tegevused korraldatakse interneti kaudu.[1] Selle tõttu väga suur hulk andmeid ja tundlikku informatsiooni jagatakse pidevalt üle interneti.[1] Internet on suuresti turvaline ja privaatne, aga see saab ka olla ebaturvaline kanal, kus vahetada informatsiooni.[1] Kuna internetis on suur tõenäosus langeda küberkurjategijate sissetungi ohvriks, siis interneti turvalisus on nii üksikisikute kui ka ettevõtete prioriteet.[1]

1972. aastal esitas Egiptuse insener Mohamed M. Atalla USA patendi 3 938 091 PIN-koodi kaugsüsteemi jaoks, mis kasutas krüptimistehnikaid telefoniühenduse turvalisuse tagamiseks, sisestades samal ajal isikukoodi andmed, mis edastatakse krüpteeritud andmetena telekommunikatsioonivõrkude kaudu kaugasukohta.[2] See oli Interneti-turvalisuse ja e-kaubanduse eelkäija.[2]

1976. aasta jaanuaris toimunud riikliku vastastikuste hoiupankade assotsiatsiooni (NAMSB) konverentsil tutvustasid Atalla Corporation (asutas Mohamed Atalla) ja Bunker Ramo Corporation (asutasid George Bunker ja Simon Ramo) kõige varasemaid tooteid, mis on loodud veebiturvalisuse käsitlemiseks.[2] Hiljem lisas Atalla oma riistvara turvamooduli Identikey ning toetas veebitehingute töötlemist ja võrgu turvalisust.[2] Internetis toimuvate pangatehingute töötlemiseks mõeldud süsteem laienes Identikey süsteemile ka ühisrajatise operatsioonidele.[2] See ühildus erinevate kommutatsioonivõrkudega ja oli võimeline elektrooniliselt lähtestama ükskõik millisele 64 000 pöördumatust mittelineaarsest algoritmist vastavalt kaardi andmete teabele.[2] 1979. aastal tutvustas Atalla esimest võrguturbeprotsessorit (NSP).[2]

Interneti turvalisuse programmid

[muuda | muuda lähteteksti]

Viirusetõrje

[muuda | muuda lähteteksti]

Viirusetõrjeprogramme kasutatakse selleks, et ennetada, avastada ja eemalda pahavara.[3] Algselt oli viirusetõrje eesmärk avastada ja eemaldada erinevaid arvuti viiruseid, aga mida rohkem pahavara tekkis, seda enam kaitset hakkas viirusetõrje pakkuma teiste pahavarade vastu, nagu lunavara, Trooja hobused, ussviirused, nuhkvara, klahviluger jne.[3] Mõned viirusetõrjeprogrammid kaitsevad ka pahatahtlike URL-ide, rämpsposti, pettuse ja andmepüügi vastu.[3]

Kuigi võrk pakub inimestele palju informatsiooni ja teenuseid, siiski sellega kaasneb mitmesuguseid riske.[1] Küberkuriteod kasvavad keerukuses ja mahus, paljud küberkurjategijad kasutavad mitut liiki ründevõtteid kombineerituna, selleks et saavutada üks eesmärk.[1] Interneti-ohte:

  • Robotivõrk (botnet) on arvutite võrk, mille on üle võtnud robot või robot, kes teeb looja jaoks ulatuslikke pahatahtlikke toiminguid.[2]
  • Arvutiviirused on programmid, mis suudavad oma struktuure või efekte korrata, nakatades arvutis muid faile või struktuure. Viiruse tüüpiline eesmärk on andmete varastamiseks arvuti ülevõtmine.[2]
  • Arvutiussid on programmid, mis suudavad end kogu arvutivõrgus korrata.[2]
  • Lunavara on pahavara tüüp, mis piirab juurdepääsu nakatunud arvutisüsteemile ja nõuab piirangu kaotamiseks lunaraha.[2]
  • Scareware on programm, millel on tavaliselt piiratud või puudub igasugune kasu ja mis sisaldab pahatahtlikke kasulikke koormusi ning mida müüakse ebaeetiliste turundustavade kaudu. Müügil põhinev lähenemine kasutab sotsiaalset inseneri, et tekitada šokki, ärevust või ohu tajumist, mis on tavaliselt suunatud pahaaimamatule kasutajale.[2]
  • Nuhkvara viitab programmidele, mis varjatult jälgivad arvutisüsteemi tegevust ja edastavad selle teabe teistele ilma kasutaja nõusolekuta.[2]
  • Üks konkreetne nuhkvara liik on pahavarade võtmelogi. Sageli nimetatakse klaviatuuri lukustamiseks või klaviatuuri hõivamiseks on klaviatuuril tabatud klahvide salvestamine (logimine).[2]
  • Trooja hobune, üldtuntud kui Trooja hobune, on üldine termin pahavara kohta, mis teeskleb end kahjutuna, nii et kasutaja on veendunud selle arvutisse laadima.[2]

Pahatahtlik tarkvara

[muuda | muuda lähteteksti]

Pahatahtliku tarkvara programme (ingl malicious software) on mitmesuguseid: arvutiviirused, ussviirused, Trooja hobused ja nuhkvara.[1] Pahatahtlik tarkvara on välja töötatud selleks, et tekitada kahju arvutile, serverile, kliendile või arvutivõrgule.[4] Programme, mis salaja töötavad kasutaja huvide vastu, kutsutakse ka pahatahtlikuks tarkvaraks.[4] Pahavara kasutatakse tihti valitsuste või ettevõtete vastu, saamaks kätte turvatud informatsiooni, aga seda kasutatakse ka indiviidide vastu, selleks, et saada tundlikku informatsiooni.[4] Lunavara kasutatakse, selleks, et nakatada kasutaja arvutit mingil viisil ja selleks, et sellest lahti saada peab maksma kurjategijale.[4]

DDoS

Teenuse blokeerimise rünnakud (DoS ja DDoS)

[muuda | muuda lähteteksti]

Teenuse blokeerimise rünnakuid korraldatakse selleks, et halvata võrgu teenus ja teha see kättesaamatuks kasutajatele.[2] Selleks tehakse väga suur hulk teenuse päringuid korraga, mille tõttu süsteem koormatakse üle ja ei suuda enam ühtegi päringut protsessida.[2] Teenuse blokeerimise rünnakutega tihti sihitakse pilvandmetöötlussüsteeme.[2] DoS rünnakuid viiakse tihti läbi kasutades "botnet'e", mis on võrk personaalarvutitega, mida on nakatatud pahatahtliku tarkvaraga ja neid kontrollitakse grupina ilma, et omanik teada saaks.[5]

Andmepüük

Andmepüük

[muuda | muuda lähteteksti]

Andmepüügi rünnakuid kasutavad küberkurjategijad selleks, et püüda privaatset ja tundlikku informatsiooni.[1] Andmepüügi korraldamiseks kehastutakse panga või veebiteenuseks, et meelitada inimesi klõpsama linke, mille avamise järel küsitakse kasutaja konto andmeid ja paroole.[1]

Rakenduste turvaaugud

[muuda | muuda lähteteksti]

Interneti-ressurssidele juurdepääsemiseks kasutatavad rakendused võivad sisaldada turvaauke, näiteks mäluohutusvigu või vigaseid autentimiskontrolle. Sellised vead võivad anda võrguründajatele täieliku kontrolli arvuti üle.[2]

Laialt levinud veebibrauserirakenduste haavatavus on ressursside jagamise haavatavus. Maksimaalse turvalisuse ja privaatsuse tagamiseks veenduge, et rakendate selle vastu piisavaid meetmeid (näiteks WebKiti-põhistele brauseritele ette nähtud turvaelemendid).[2]

Vastumeetmed

[muuda | muuda lähteteksti]

Võrgu turvalisus

[muuda | muuda lähteteksti]

Tulemüürid piiravad sissetulevaid ja väljaminevaid võrgupakette. Selle kaudu on tohib läbida ainult lubatud liiklust. Tulemüürid loovad kontrollpunktid võrkude ja arvutite vahel. Tulemüürid võivad blokeerida liikluse IP-allika ja TCP-pordi numbri põhjal. Need võivad olla ka IPseci platvormiks. Tunneldamist kasutades saavad tulemüürid rakendada VPN-e. Tulemüürid võivad ka võrgu nähtavust piirata, varjates sisevõrku avalikkuse eest.[2]

Interneti protokolli turvalisus (Internet Protocol Security)

[muuda | muuda lähteteksti]

IPseci kasutatakse interneti protokolli turvalisuseks.[6] IP võrgule turvalisust pakkuv teenuste ja protokollide kogum on IPsec.[6] IPseci turvameetmeid saab rakendada kõrgema tasandi TCP/IP rakendustele lisaturvameetmeta, kuna IPsec toimetab samal tasemel IP-ga.[6]

Mitmeastmeline autentimine

[muuda | muuda lähteteksti]

Mitmeastmeline autentimine on ligipääsu kontrolli meetod, mis laseb kasutaja ligi alles siis, kui kasutaja on andnud mitu erinevat tõendit autentimiseks.[2] Sellisteks tõenditeks võivad olla: teadmine millestki, millega omamine, kellegi olemine. Erinevad teenused võivad olla mitmeastmelise autentimisega turvatud.[2]

Turvakood

Mõned veebisaidid pakuvad klientidele võimalust kasutada kuuekohalist koodi, mis muutub juhuslikult iga 30–60 sekundi tagant füüsilises turvamärgis.[2] Kood on sisseehitatud arvutustega ja manipuleerib numbritega reaalaja järgi.[2] See tähendab, et iga kolmekümne sekundi järel saab juurdepääsu ainult teatud arv.[2] Veebisaiti on teavitatud selle seadme seerianumbrist ning teab arvutust ja numbri kinnitamiseks õiget aega. 30–60 sekundi pärast esitab seade veebisaidile sisselogimiseks uue juhusliku kuuekohalise numbri.[2]

Tulemüür on turvaseade, riistvara või tarkvara, mis filtreerib liiklust ja blokeerib autsaidereid.[2] See jälgib ja kontrollib sisenevat ja väljuvat liiklust võrgus varem määratud turvareeglite järgi.[7] Tulemüür sätestab barjääri usaldatud ja mitte usaldatud võrgu vahel, näiteks internet.[7] Arvuti tulemüür kontrollib sissepääsu ühte arvutisse.[2] Võrgu tulemüür kontrollib sissepääsu tervesse võrku.[2]

Tulemüüritüübid

[muuda | muuda lähteteksti]

Pakettfilter

[muuda | muuda lähteteksti]

Pakettfilter töötleb võrguliiklust pakettide kaupa. Selle põhiülesanne on filtreerida liiklus kaugelt IP-hostilt, seega on sisevõrgu Interneti-ühenduse loomiseks vaja ruuterit. Ruuterit tuntakse kui skriinimisruuterit, mis kuvab võrku väljuvaid ja sisenevaid pakette.[2]

Olekuline pakettide kontroll

[muuda | muuda lähteteksti]

Olekulises tulemüüris on voolutaseme lüüs puhverserver, mis töötab avatud süsteemide ühendamise (OSI) mudeli võrgutasemel ja määratleb staatiliselt, milline liiklus on lubatud.[2] Vooluühenduse puhverserverid edastavad etteantud pordinumbrit sisaldavaid võrgupakette (vormindatud andmed), kui algoritm lubab pordi kasutamist.[2] Puhverserveri peamine eelis on selle võime pakkuda võrguaadressi tõlkimist (NAT), mis võib varjata kasutaja IP-aadressi Interneti eest, kaitstes sisemist teavet tõhusalt väljastpoolt.[2]

Rakendustaseme lüüs

[muuda | muuda lähteteksti]
DDoS rünnak

Rakendustaseme tulemüür on kolmanda põlvkonna tulemüür, kus puhverserver töötab OSI-mudeli võrgu tasemel, IP-paketi rakendustasemel.[2] Võrgupakett edastatakse ainult siis, kui ühendus on loodud teadaoleva protokolli abil. Rakendustaseme lüüsid on märkimisväärsed tervete sõnumite, mitte üksikute pakettide analüüsimiseks.[2]

Elektroonilise posti turvalisus

[muuda | muuda lähteteksti]

E-kirjade koostamine, edastamine ja salvestamine toimub mitmeastmelises protsessis, mis algab sõnumi koostamisest. Sõnumi saatmisel teisendatakse see standardvormingusse vastavalt standardile RFC 2822. [17] Võrguühenduse abil saadab postiklient serverisse saatja identiteedi, saajate loendi ja sõnumi sisu. Kui server on selle teabe kätte saanud, edastab ta sõnumi adressaatidele.[2]

Päris hea privaatsus (PGP)

[muuda | muuda lähteteksti]

Päris hea privaatsus tagab konfidentsiaalsuse, krüpteerides edastatavad sõnumid või salvestatavad andmefailid krüptimisalgoritmi abil, näiteks Triple DES või CAST-128.[2] E-kirju saab kaitsta krüptograafia abil mitmel viisil, näiteks:

  • Sõnumi digitaalne allkirjastamine selle terviklikkuse tagamiseks ja saatja identiteedi kinnitamiseks.[2]
  • E-kirja sõnumi sisu krüptimine, et tagada selle konfidentsiaalsus.[2]
  • Meiliserveritevahelise side krüptimine, et kaitsta nii sõnumi sisu kui ka sõnumi päise konfidentsiaalsust.[2]

Kaks esimest meetodit, sõnumi allkirjastamine ja sõnumi sisu krüpteerimine, kasutatakse sageli koos; meiliserverite vahelise edastuse krüptimist kasutatakse tavaliselt ainult siis, kui kaks organisatsiooni soovivad kaitsta nende vahel regulaarselt saadetavaid kirju.[2] Näiteks võiksid organisatsioonid oma virtuaalserverite vahelise side krüptimiseks luua virtuaalse privaatse võrgu (VPN). Erinevalt meetoditest, mis krüptivad ainult sõnumi sisu, saab VPN krüpteerida kogu ühenduse kaudu toimuva suhtluse, sealhulgas e-posti päise teabe, näiteks saatjad, saajad ja subjektid. VPN ei paku siiski sõnumite allkirjastamise mehhanismi ega kaitse e-kirjade kaitset kogu marsruudil saatjast adressaadini.[2]

Sõnumi autentimiskood

[muuda | muuda lähteteksti]

Sõnumi autentimiskood (MAC) on krüptograafia meetod, mis kasutab kirja digitaalseks allkirjastamiseks salajast võtit.[2] See meetod väljastab MAC-väärtuse, mille vastuvõtja saab dekrüpteerida, kasutades saatja kasutatavat sama salajast võtit. Sõnumi autentimiskood kaitseb nii sõnumi andmete terviklikkust kui ka selle autentsust.[2]

  1. 1,00 1,01 1,02 1,03 1,04 1,05 1,06 1,07 1,08 1,09 1,10 1,11 1,12 1,13 McAfee. "What is Internet Security?". Vaadatud 09.05.2021.
  2. 2,00 2,01 2,02 2,03 2,04 2,05 2,06 2,07 2,08 2,09 2,10 2,11 2,12 2,13 2,14 2,15 2,16 2,17 2,18 2,19 2,20 2,21 2,22 2,23 2,24 2,25 2,26 2,27 2,28 2,29 2,30 2,31 2,32 2,33 2,34 2,35 2,36 2,37 2,38 2,39 2,40 2,41 2,42 2,43 2,44 "Internet Security".
  3. 3,0 3,1 3,2 "Antivirus software".
  4. 4,0 4,1 4,2 4,3 "Malware".
  5. "Botnet".
  6. 6,0 6,1 6,2 "Internetiprotokoll".
  7. 7,0 7,1 "Firewall".