andmeturve ja krüptoloogia, xiii andmebaaside turve. võrguturve
Post on 05-Jan-2016
57 Views
Preview:
DESCRIPTION
TRANSCRIPT
Andmeturve ja krüptoloogia, XIIIAndmeturve ja krüptoloogia, XIII
Andmebaaside turve. Andmebaaside turve. VõrguturveVõrguturve
Andmeturve ja krüptoloogia, XIIIAndmeturve ja krüptoloogia, XIII
Andmebaaside turve. Andmebaaside turve. VõrguturveVõrguturve
22. november 2011
Valdo Praust
mois@mois.ee
Loengukursus IT Kolledžis2011. aasta sügissemestril
22. november 2011
Valdo Praust
mois@mois.ee
Loengukursus IT Kolledžis2011. aasta sügissemestril
Andmebaaside turve Andmebaaside turve –– lähtekohadlähtekohad
1. Eeldatakse, et andmed on üldjuhul esitatud relatsioonilise andmebaasina (tabelid, nendevahelised seosed, kirjed, väljad)
2. Tuleb tagada andmete konfidentsiaalsus erinevate andmebaasi väljade tasemel, st tagada, et neid saaks lugeda vaid selleks volitatud isikud
3. Kusagil on kindlaks määratud, millised kasutajad (kasutajagrupid) võivad milliseid andmeid vaadata ja muuta
Andmebaaside turbe Andmebaaside turbe lähtekohadlähtekohad
4. Tuleb tagada andmete terviklus – st suuta kõikide andmete korral tuvastada nende sisestajat ning veenduma, et andmeid ei oleks hiljem muudetud. Vahel tuleb tuvastada ka sisetus- ja muutmisajad ning kõik eelnevad muutjad
5. Andmebaasil on reeglina suur hulk kasutajaid, millest reeglina mitmetel on samade andmete kirjutamisõigus
Lihtsaim turbe realiseerimine: Lihtsaim turbe realiseerimine: rakendustarkvara-põhinerakendustarkvara-põhine
• kasutajate, andmete muutmise jm üle arvestus käib rakendustarkvarapõhiselt
• iga kasutaja autenditakse süsteemis, nt kasutajanime ja parooli põhjal
• andmebaas ise asub serverarvutis, kuhu on ligipääs vaid süsteemihalduritel
Oluline puudus: andmebaas on serverarvutil avatud kujul ja süsteemiadministraator saab kõike märkamatult lugeda ja muuta
Liialt suur riskide koondamine ühte punkti
Rakendustarkvara veaaldisusRakendustarkvara veaaldisusRakendustarkvara veaaldisusRakendustarkvara veaaldisus
Praktiliselt iga rakendustarkvara on vigane: aeg-ajalt leitakse vigu, mis vahel osutuvad turvaaukudeks (võimaldavad teha midagi keelatut või kellelgi keelatul
Leitud turvaaukudele koostatakse paigad (turvauuendused)
Julm reaalsus: alates vea avalikustamisest kuni paiga installeerimiseni on tarkvara (võrgust lähtuvate) rünnete ees kaitsetu
Julm reaalsus: alates vea avalikustamisest kuni paiga installeerimiseni on tarkvara (võrgust lähtuvate) rünnete ees kaitsetu
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Peamine puudus: saame volitamatult jälgi jätmata ära kustutada terveid kirjeid ja välju
Kurb reaalsus: kui varustame andmebaasi iga kirje või välja digiallkirjaga, tagab see küll tervikluse kirje või välja tasemel, kuid ei taga terviklust kogu andmebaasi (registri) tasemel
Kurb reaalsus: kui varustame andmebaasi iga kirje või välja digiallkirjaga, tagab see küll tervikluse kirje või välja tasemel, kuid ei taga terviklust kogu andmebaasi (registri) tasemel
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Näiteks tuleks krüptoräsidega siduda omavahel kõik andmebaasis tehtavad muutused
Sel juhul ei tohi mitte midagi andmebaasist kunagi kustutada, ka mitte valesid andmeid
Lahendus: digitaalregistrist peame lisaks digitaalallkirjadega varustama veel krüptograafial põhinevate mehhanismidega, mis seovad andmebaasi eri osad omavahel
Täiendavad tervikluskaitse Täiendavad tervikluskaitse meetmed (kokkuvõte)meetmed (kokkuvõte)
Täiendavad tervikluskaitse Täiendavad tervikluskaitse meetmed (kokkuvõte)meetmed (kokkuvõte)
• kõik andmebaasi väljad (registri kanded) tuleb varustada digiallkirjaga
• kõik muudatused tuleb säilitada, midagi ei tohi kunagi kustutada
• kõik lisatud andmed tuleb lisamise järjekorras aheldada krüptoräsidega üheks ahelaks, kuhu hiljem ei saa andmeid vahele panna ega sealt ära võtta
• kasutajate identifitseerimist (autentimist) ei tohi mitte teha rakendustarkvara tasemel nagu praegu tavaks (see annab süsteemiadministraatorile piiramatu muutmise õiguse), vaid siin tuleks kasutada krüptograafilisi meetodeid — näiteks digiallkirja — mis põhinevad nt digisignatuuri mehhanismidel
Täiendava tervikluskaitse Täiendava tervikluskaitse eelised ja puudusedeelised ja puudused
Eelised:• süsteemihaldur ei saa ligi andmetele endile, vaid
nende signeeritud kujule, mida ta ei saa muuta• rakendustarkvara rikke või turvaaugu leidumise
korral selles jääb andmete terviklus digitaalallkirjaga siiski kaitstuks
Puudused:
• nõuab andmebaasitarkvaralt täiendavaid tingimusi ja/või avaliku võtme infrastruktuuri toetust
• tihti on vaja muuta ka andmebaasi pidamispõhimõtteid
Täiendavad Täiendavad konfidentsiaalsuskaitse meetmedkonfidentsiaalsuskaitse meetmed
• andmebaas on krüpteeritud kas kirjete või väljade tasemel
• on olemas võtmehaldussüsteem, mis võimaldab volitatud kasutajatel oma parooli teades saada andmete dešifreerimisvõtit ja seeläbi saada ligi andmetele
Halb alternatiivlahendus: andmebaasi krüpteerimine tervikuna väldib volitamata pääsud, kuid seab volitamata pääsule suuri raskusi
Täiendava Täiendava konfidentsiaalsuskaitse eelised konfidentsiaalsuskaitse eelised
ja puudusedja puudusedEelised:• Süsteemihaldur ei saa ligi andmetele endile, vaid nende
krüpteeritud kujule, mis ei ava oma sisu talle• Rakendustarkvara rikke või turvaaugu leidumise korral
jääb andmete konfidentsiaalsus kaitstuks
Tõsine puudus:
Nõuab andmebaasimootorilt täiendavaid tingimusi: relatsioonilise baasi korral on raske töötada krüpteeritud väljadega.
Kaasajal ei ole teoorias kõike lahendatud ja reeglina ei saa ühitada omavahel otsingut (sekundaarvõtit) ja krüpteerimist. Lahendatud on vaid erijuhte
Alternatiiv andmebaasi Alternatiiv andmebaasi konfidentsiaalsuskaitselekonfidentsiaalsuskaitsele
Põhimõte: andmed on kettale salvestatud krüpteeritud kujul, kuid andmebaasiga on liidetud riistvaraline turvamoodul (hardware security module, HSM), mis suudab genereerida võtit ning šifreerida-dešifreerifda
Sel juhul on andmebaasi mootoris lahti ainult need andmed, mida parajasti töödeldakse (isoleerimine). Andmebaasi ja turvamoodul suhtlevad omavahel üle mingi turvalise sideprotokolli.
Turvamooduli käitlemiseks kasutatakse tüüpiliselt kiipkaarte ja nn “mitu-mitmest” käivitusskeemi
Kaasajal kasutatakse kõrget turvet vajavates andmebaasides just selliseid pöördkonstrueerimatuid riistvaralisi krüpteerimisseadmeid
Täiendavad käideldavuskaitse Täiendavad käideldavuskaitse meetmedmeetmed
Hädavajalik eeldus: kui kasutada võõraid organisatsioone, peab andmebaas olema krüpteeritud ja signeeritud
Tekib nn kaugarhiveerimine
Alus: reeglina kuumvarundamine üle Interneti mingis teises füüsilises paigas
Võimaldab kahandada füüsilisest turbest lähtuvaid riske (nt hävimist terrorirünnaku korral)
Basics of “võrk“(Internet)Basics of “võrk“(Internet)Basics of “võrk“(Internet)Basics of “võrk“(Internet)
• Kaasaja arvutite kaugvõrk on reeglina Internet • Võrgus olemine Interneti ühenduse
olemasolu• Kaasaja Internet on TCP/IP protokollil kui
tehnilisel standardil põhinev võrk, kus kogu teave liigub teatud kogumite (IP pakettide) kaupa
Igal IP paketil on kirjas:• kust (IP aadress) ta tuleb• kuhu (IP aadress) ta läheb• millise teenuse osa ta on
Internet kui teenuste kogusummaInternet kui teenuste kogusummaInternet kui teenuste kogusummaInternet kui teenuste kogusumma
Tuntuimad teenuste näited:• meil (e-post) – vastab SMTP protokoll• veeb – vastav HTTP protokoll• FTP (failiedastus) – vastab FTP protokoll• DNS – seab nimele vastavusse IP aadress
Internet koosneb väga paljudest erinevatest teenustest, mis määrab ära teabe liikumise laadi võrgus
Internet koosneb väga paljudest erinevatest teenustest, mis määrab ära teabe liikumise laadi võrgus
Erinevaid teenuseid on väga palju; suurt osa neid vajatakse Interneti sisemiseks korraldamiseks
Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?
Vaikimisi eeldus: võrk on suur ja pole tervikuna kontrollitav; selles on paiku, kuhu saab iga soovija teavet sisestada ja edastatavat teavet pealt kuulata
Vaikimisi eeldus: võrk on suur ja pole tervikuna kontrollitav; selles on paiku, kuhu saab iga soovija teavet sisestada ja edastatavat teavet pealt kuulata
Konkreetsed ohud:
• edastatava konfidentsiaalse teabe pealtkuulamine
• aktiivne volitamata sekkumine edastatavasse
• teenusetõkestus (denial of service)
• arvuti kasutamine hüppelauana kusagile edasitungimiseks
Miks see nii on: operatsioonisüsteemi, teenuste ja rakenduste tasemel on kaasajal pea võimatu kõike turvata: neis leitakse pidevalt turvaauke, mis varsti ka parandatakse, kuid see võtab teatud aja
Avatud netiühenduse puudusedAvatud netiühenduse puudusedAvatud netiühenduse puudusedAvatud netiühenduse puudused
Paradoks: Internetiühendusega arvuti või kohtvõrgu korral pääseb häkker Teie süsteemi sama lihtsalt kui Teie välisvõrku
Rakendustarkvara teatud tasemel ebaturvalisus on kaasajal paratamatus
Rakendustarkvara teatud tasemel ebaturvalisus on kaasajal paratamatus
Võrguühendusega arvuti kaks Võrguühendusega arvuti kaks turvariskiturvariski
Võrguühendusega arvuti kaks Võrguühendusega arvuti kaks turvariskiturvariski
Esimene turvarisk: võrgu teel edastatavate andmete konfidentsiaalsus ja terviklus on andmete pealtkuulamisega ja/või muutmisega haavatav
Teine turvarisk: võrguühendusega arvuti rakendustarkvara turvaaugud võimaldavad arvuti (selle teenuste) praktilist ründamist üle võrgu
Teine risk on laiema ampluaaga, sest teenuseid on (TCP/IP) võrgus reeglina palju
Peame alati eeldama: igas tarkvaras leidub turvaauke, mida mahukam ja keerukam tarkvara, seda rohkem seal neid on
Peame alati eeldama: igas tarkvaras leidub turvaauke, mida mahukam ja keerukam tarkvara, seda rohkem seal neid on
Reeglina reguleerib tulemüür liiklust nii, et lubab endast läbi vaid teatud kindlaid ühendusi (teenuseid)
Tulemüüridest on kasutusel kaks peamist varianti:
• tulemüür toimib marsruuterina, lastes läbi vaid teatud omadustega IP paketid
• tulemüür ei toimi marsruuterina ning sellel jooksevad teatud vahendusprogrammid (proxy), mille poole teenused pöörduvad
Esmapilgul pääsetee: kohtvõrgu Esmapilgul pääsetee: kohtvõrgu ühendamine tulemüüri abilühendamine tulemüüri abil
Esmapilgul pääsetee: kohtvõrgu Esmapilgul pääsetee: kohtvõrgu ühendamine tulemüüri abilühendamine tulemüüri abil
Multifunktsionaalne tulemüür: (firewall) spetsiaalne lüüsarvuti sise- ja välisvõrgu vahel, mis vahendab nendevahelist liiklust
Multifunktsionaalne tulemüür: (firewall) spetsiaalne lüüsarvuti sise- ja välisvõrgu vahel, mis vahendab nendevahelist liiklust
Tulemüüri eelisedTulemüüri eelisedTulemüüri eelisedTulemüüri eelised
• potentsiaalsed ründed on üliarvukate teenuste asemel kontsentreeritud ühte piiratud funktsionaalsusega füüsilisse punkti, mida saab hoolikamalt valvata ja kus on nende realiseerumiseks vähem võimalusi
• välismaailma eest saab peita sisevõrgu arhitektuuri
• Interneti aadresse saab kokku hoida
• saab hoida kokku raha integreeritud lahenduse soetamisega (FTP server, WWW server jms)
Järeldus: selline ränk kitsendus pisendab tohult Interneti põhjustatud virtuaalvõimalusi (virtuaalkontor, kaugtöö jne)
Tulemüüri peamine puudusTulemüüri peamine puudusTulemüüri peamine puudusTulemüüri peamine puudus
Volitatud kasutajatel on välisvõrgust võimatu sisevõrku pääseda
Volitatud kasutajatel on välisvõrgust võimatu sisevõrku pääseda
Seega lisaks kaitsele (volitamata tegevustele) Interneti avarustest välistab tulemüür ka volitatud kasutajate tegevused sealt
Lahendus puuduse Lahendus puuduse kõrvaldamiseks: side krüpteerimine kõrvaldamiseks: side krüpteerimine
ja signeerimineja signeerimine
Lahendus puuduse Lahendus puuduse kõrvaldamiseks: side krüpteerimine kõrvaldamiseks: side krüpteerimine
ja signeerimineja signeerimine
Kurb tõsiasi: tavalised Interneti teenused (protokollid) – telnet, http, ftp, nntp, smtp – ei ole turvalised, iga “traadile” ligipääseja saab teavet pealt kuulata ja soovi korral ka võltsida
Kurb tõsiasi: tavalised Interneti teenused (protokollid) – telnet, http, ftp, nntp, smtp – ei ole turvalised, iga “traadile” ligipääseja saab teavet pealt kuulata ja soovi korral ka võltsida
Ainus lahendus: edastatava teabe krüpteerimine (kaitseb konfidentsiaalsust) ja signeerimine (kaitseb terviklust)
Tulemüür + turvaline Tulemüür + turvaline kaugpöördusklientkaugpöördusklient
Tulemüür + turvaline Tulemüür + turvaline kaugpöördusklientkaugpöördusklient
Turvaline kaugpöördusklient kasutab võrgus edastatava teabe krüpteerimist ja ka signeerimist, tagades sellega nii konfidentsiaalsuse kui ka tervikluse
Turvaline kaugpöördusklient kasutab võrgus edastatava teabe krüpteerimist ja ka signeerimist, tagades sellega nii konfidentsiaalsuse kui ka tervikluse
Seda realiseerib nt SSL/TLS protokoll
Turvalise kaugpöörduskliendi ühendus võib vabalt kulgeda kus tahes Internetis (sh ka läbi tulemüüri(de)) ilma turvalisust kaotamata
Nii taastatakse kaugtöö võimalus (nüüd juba turvaline) tulemüüre sisaldavates süsteemides
Nii taastatakse kaugtöö võimalus (nüüd juba turvaline) tulemüüre sisaldavates süsteemides
Internet võimaldab teabe liikumist vabalt üle neti olenemata geograafilistest kaugustest
Seega võib firma olla ideaalis hajutatud erinevate maailma paikade vahel
Probleem: nad kõik tahaksid kasutada ühist infosüsteemi, kuid avaliku võrgu kanalid on reeglina ebaturvalised
Virtuaalfirma tugliluustik: Virtuaalfirma tugliluustik: virtuaalsed privaatvõrgudvirtuaalsed privaatvõrgudVirtuaalfirma tugliluustik: Virtuaalfirma tugliluustik: virtuaalsed privaatvõrgudvirtuaalsed privaatvõrgud
Lahendus: virtuaalsed privaatvõrgud (virtual private networks, VPN), mis ühendavad mitu eraldatud kohtvõrku loogiliseks tervikuks, kasutades nendevaheliste ühenduste loomiseks avalikku Internetti, kusjuures kõik avalikke kanaleid pidi liikuvad andmed on krüpteeritud ja autenditud
Lahendus: virtuaalsed privaatvõrgud (virtual private networks, VPN), mis ühendavad mitu eraldatud kohtvõrku loogiliseks tervikuks, kasutades nendevaheliste ühenduste loomiseks avalikku Internetti, kusjuures kõik avalikke kanaleid pidi liikuvad andmed on krüpteeritud ja autenditud
Erinevaid privaatvõrke võib
sellise tehnoloogiaga ühendada kokku kuitahes palju erinevaid
Kõik nimetatud võrgud on avaliku Internetiga ühendatud spetsiaalsete krüptomüüride (cryptowall) vahendusel, mis omavahel vahendavad krüpteeritud ja signeeritud andmeid
Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):
Lõppkasutaja (ja ka võrguteenuste) jaoks paistab kogu süsteem välja ühtse tervikliku privaatvõrguna
Lõppkasutaja (ja ka võrguteenuste) jaoks paistab kogu süsteem välja ühtse tervikliku privaatvõrguna
Vajadusel võib turvalisele privaatvõrgule lisada ka tulemüüri ühenduseks avaliku Internetiga:
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandidvariandid
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandidvariandid
Sel juhul kogu liiklus igast virtuaalse privaatvõrgu harust Internetti läbib seda tulemüüri olenemata geograafilisest asukohast
Võib lisada ka mitmeid tulemüüre erinevates kohtades, mis tagab üksteisest kaugel olevate võrkude kiire ühendamise avaliku Internetiga, säilitades samas turvalisuse virtuaalses privaatvõrgus, kuid suurendades käideldavust muu maailmaga
Kõigele sellele võib lisada veel piiramatul arvul kaugpöörduskliente
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandid (järg)variandid (järg)
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandid (järg)variandid (järg)
• Tulemüür lokaalvõrgu turvaliseks ühendamiseks kaugvõrguga (Internetiga)
• Turvaline kaugtööklient (vajadusel pääsuga läbi tulemüüri(de) turvalistesse lokaalvõrkudesse)
• Virtuaalsed privaatvõrgud üle ebaturvalise kaugvõrgu (Interneti)
• Kõikide nimetatud komponentide sümbioos vastavalt vajadusele
Kokkuvõte: võrguturbe peamised Kokkuvõte: võrguturbe peamised vahendidvahendid
Kokkuvõte: võrguturbe peamised Kokkuvõte: võrguturbe peamised vahendidvahendid
• Paroolihaldus: kes genereerib, kuidas hoitakse, kuidas teisendatakse ja kasutatakse jne
• Võtmehaldus: kes genereerib, kuidas hoitakse, milline on side paroolidega jne
• Autentimisvahendid: krüptoomadustega kiipkaardid, magnetkaardid, seos paroolidega, võtmetega jne
Hädavajalikud lisavahendidHädavajalikud lisavahendidHädavajalikud lisavahendidHädavajalikud lisavahendid
Meeldetuletus: TLS (SSL) vajab autentimisfaasis reeglina lisateavet
Meeldetuletus: TLS (SSL) vajab autentimisfaasis reeglina lisateavet
top related