Interneti turvalisus

Interneti turvalisusega seonduvad valik erinevaid turvalisuse taktikaid, kaitsmaks tegevusi ja andmevahetusi, mida tehakse üle interneti.[1] Neid taktikaid kasutatakse selleks, et kaitsta kasutajaid selliste ohtude nagu arvutisüsteemidesse, e-posti kontodele või veebilehtedele sissemuukimise eest, pahavara, mis suudab nakatada ja täielikult kahjustada süsteeme.[1] Küberkurjategijad, kes korraldavad identiteedivargust, selleks, et varastada isikuandmeid ja muud tundlikku teavet, nagu pangaandmed ja krediitkaardinumbrid.[1] Interneti turvalisus on kindel aspekt suurematest ettekujutustest nagu küberturvalisus ja arvuti turvalisus, mis keskendub kindlatele ohtudele ja vigadele, mis eksisteerivad võrgus ja internetis.[1]

IPsec turvalisusprotokollide komplekt

Tänapäeval, väga suur osa inimeste tegevustest toimub interneti teel.[1] Erinevad kommunikatsiooni, meelelahutuse, finantsi ja tööga seonduvad tegevused korraldatakse interneti kaudu.[1] Selle tõttu väga suur hulk andmeid ja tundlikku informatsiooni jagatakse pidevalt üle interneti.[1] Internet on suuresti turvaline ja privaatne, aga see saab ka olla ebaturvaline kanal, kus vahetada informatsiooni.[1] Kuna internetis on suur tõenäosus langeda küberkurjategijate sissetungi ohvriks, siis interneti turvalisusel on kõrge prioriteet nii indiviidide, kui ka etevõtete jaoks.[1]

AjaluguRedigeeri

1972. aastal esitas Egiptuse insener Mohamed M. Atalla USA patendi 3 938 091 PIN-koodi kaugsüsteemi jaoks, mis kasutas krüptimistehnikaid telefoniühenduse turvalisuse tagamiseks, sisestades samal ajal isikukoodi andmed, mis edastatakse krüpteeritud andmetena telekommunikatsioonivõrkude kaudu kaugasukohta.[2] See oli Interneti-turvalisuse ja e-kaubanduse eelkäija.[2]

1976. aasta jaanuaris toimunud riikliku vastastikuste hoiupankade assotsiatsiooni (NAMSB) konverentsil tutvustasid Atalla Corporation (asutas Mohamed Atalla) ja Bunker Ramo Corporation (asutasid George Bunker ja Simon Ramo) kõige varasemaid tooteid, mis on loodud veebiturvalisuse käsitlemiseks.[2] Hiljem lisas Atalla oma riistvara turvamooduli Identikey ning toetas veebitehingute töötlemist ja võrgu turvalisust.[2] Internetis toimuvate pangatehingute töötlemiseks mõeldud süsteem laienes Identikey süsteemile ka ühisrajatise operatsioonidele.[2] See ühildus erinevate kommutatsioonivõrkudega ja oli võimeline elektrooniliselt lähtestama ükskõik millisele 64 000 pöördumatust mittelineaarsest algoritmist vastavalt kaardi andmete teabele.[2] 1979. aastal tutvustas Atalla esimest võrguturbeprotsessorit (NSP).[2]

Interneti turvalisuse programmidRedigeeri

ViirusetõrjeRedigeeri

Viirusetõrjeprogramme kasutatakse selleks, et ennetada, avastada ja eemalda pahavara.[3] Algselt oli antiviiruse eesmärk avastada ja eemaldada erinevaid arvuti viiruseid, aga mida rohkem pahavara tekkis seda enam kaitset hakkas pakkuma antiviirus teiste pahavarade vastu nagu lunavara, Trooja hobused, ussviirused, nuhkvara, klahvilugeja jne.[3] Mõned viirusetõrjeprogrammid kaitsevad ka pahatahtlike URL-ide, rämpsposti, pettuse ja andmepüügi vastu.[3]

OhudRedigeeri

Kuigi võrk pakub inimestele palju informatsiooni ja teenuseid, siiski sellega kaasneb mitmesuguseid riske.[1] Küberkuriteod kasvavad keerukuses ja mahus, paljud küberkurjategijad kasutavad mitut liiki ründevõtteid kombineerituna, selleks et saavutada üks eesmärk.[1] Interneti-ohte:

  • Robotivõrk (botnet) on arvutite võrk, mille on üle võtnud robot või robot, kes teeb looja jaoks ulatuslikke pahatahtlikke toiminguid.[2]
  • Arvutiviirused on programmid, mis suudavad oma struktuure või efekte korrata, nakatades arvutis muid faile või struktuure. Viiruse tüüpiline eesmärk on andmete varastamiseks arvuti ülevõtmine.[2]
  • Arvutiussid on programmid, mis suudavad end kogu arvutivõrgus korrata.[2]
  • Lunavara on pahavara tüüp, mis piirab juurdepääsu nakatunud arvutisüsteemile ja nõuab piirangu kaotamiseks lunaraha.[2]
  • Scareware on programm, millel on tavaliselt piiratud või puudub igasugune kasu ja mis sisaldab pahatahtlikke kasulikke koormusi ning mida müüakse ebaeetiliste turundustavade kaudu. Müügil põhinev lähenemine kasutab sotsiaalset inseneri, et tekitada šokki, ärevust või ohu tajumist, mis on tavaliselt suunatud pahaaimamatule kasutajale.[2]
  • Nuhkvara viitab programmidele, mis varjatult jälgivad arvutisüsteemi tegevust ja edastavad selle teabe teistele ilma kasutaja nõusolekuta.[2]
  • Üks konkreetne nuhkvara liik on pahavarade võtmelogi. Sageli nimetatakse klaviatuuri lukustamiseks või klaviatuuri hõivamiseks on klaviatuuril tabatud klahvide salvestamine (logimine).[2]
  • Trooja hobune, üldtuntud kui Trooja hobune, on üldine termin pahavara kohta, mis teeskleb end kahjutuna, nii et kasutaja on veendunud selle arvutisse laadima.[2]

Pahatahtlik tarkvaraRedigeeri

Pahatahtliku tarkvara programme (ingl malicious software) on mitmesuguseid: arvutiviirused, ussviirused, Trooja hobused ja nuhkvara.[1] Pahatahtlik tarkvara on välja töötatud selleks, et tekitada kahju arvutile, serverile, kliendile või arvutivõrgule.[4] Programme, mis salaja töötavad kasutaja huvide vastu, kutsutakse ka pahatahtlikuks tarkvaraks.[4] Pahavara kasutatakse tihti valitsuste või ettevõtete vastu, saamaks kätte turvatud informatsiooni, aga seda kasutatakse ka indiviidide vastu, selleks, et saada tundlikku informatsiooni.[4] Lunavara kasutatakse, selleks, et nakatada kasutaja arvutit mingil viisil ja selleks, et sellest lahti saada peab maksma kurjategijale.[4]

 
DDoS

Teenuse blokeerimise rünnakud (DoS ja DDoS)Redigeeri

Teenuse blokeerimise rünnakuid korraldatakse selleks, et halvata võrgu teenus ja teha see kättesaamatuks kasutajatele.[2] Selleks tehakse väga suur hulk teenuse päringuid korraga, mille tõttu süsteem koormatakse üle ja ei suuda enam ühtegi päringut protsessida.[2] Teenuse blokeerimise rünnakutega tihti sihitakse pilvandmetöötlussüsteeme.[2] DoS rünnakuid viiakse tihti läbi kasutades "botnet'e", mis on võrk personaalarvutitega, mida on nakatatud pahatahtliku tarkvaraga ja neid kontrollitakse grupina ilma, et omanik teada saaks.[5]

 
Andmepüük

AndmepüükRedigeeri

Andmepüügi rünnakuid kasutatakse küberkurjategijate poolt selleks, et püüda privaatset ja tundlikku informatsiooni.[1] Andmepüügi korraldamiseks kehastutakse panga või veebiteenuseks, et meelitada inimesi klõpsama linke, mille avamise järel küsitakse kasutaja konto andmeid ja paroole.[1]

Rakenduste turvaaugudRedigeeri

Interneti-ressurssidele juurdepääsemiseks kasutatavad rakendused võivad sisaldada turvaauke, näiteks mäluohutusvigu või vigaseid autentimiskontrolle. Sellised vead võivad anda võrguründajatele täieliku kontrolli arvuti üle.[2]

Laialt levinud veebibrauserirakenduste haavatavus on ressursside jagamise haavatavus - maksimaalse turvalisuse ja privaatsuse tagamiseks veenduge, et rakendate selle vastu piisavaid vastumeetmeid (näiteks WebKiti-põhistele brauseritele ette nähtud turvaelemendid).[2]

VastumeetmedRedigeeri

Võrgu turvalisusRedigeeri

Tulemüürid piiravad sissetulevaid ja väljaminevaid võrgupakette. Selle kaudu on tohib läbida ainult lubatud liiklust. Tulemüürid loovad kontrollpunktid võrkude ja arvutite vahel. Tulemüürid võivad blokeerida liikluse IP-allika ja TCP-pordi numbri põhjal. Need võivad olla ka IPseci platvormiks. Tunneldamist kasutades saavad tulemüürid rakendada VPN-e. Tulemüürid võivad ka võrgu nähtavust piirata, varjates sisevõrku avalikkuse eest.[2]

Interneti protokolli turvalisus (Internet Protocol Security)Redigeeri

IPseci kasutatakse interneti protokolli turvalisuseks.[6] IP võrgule turvalisust pakkuv teenuste ja protokollide kogum on IPsec.[6] IPseci turvameetmeid saab rakendada kõrgema tasandi TCP/IP rakendustele lisaturvameetmeta, kuna IPsec toimetab samal tasemel IP-ga.[6]

Mitmetasandiline autentimineRedigeeri

Mitmetasandiline autentimine on ligipääsu kontrolli meetod, mis laseb kasutaja ligi alles siis, kui kasutaja on andnud mitu erinevat tõendit autentimiseks.[2] Sellisteks tõenditeks võivad olla: teadmine millestki, millega omamine, kellegi olemine. Erinevad teenused võivad olla mitmetasandalisise autentimisega turvatud.[2]

TurvakoodRedigeeri

 
Turvakood

Mõned veebisaidid pakuvad klientidele võimalust kasutada kuuekohalist koodi, mis muutub juhuslikult iga 30–60 sekundi tagant füüsilises turvamärgis.[2] Kood on sisseehitatud arvutustega ja manipuleerib numbritega reaalaja järgi.[2] See tähendab, et iga kolmekümne sekundi järel saab juurdepääsu ainult teatud arv.[2] Veebisaiti on teavitatud selle seadme seerianumbrist ning teab arvutust ja numbri kinnitamiseks õiget aega. 30–60 sekundi pärast esitab seade veebisaidile sisselogimiseks uue juhusliku kuuekohalise numbri.[2]

TulemüürRedigeeri

Tulemüür on turvaseade, riistvara või tarkvara, mis filtreerib liiklust ja blokeerib autsaidereid.[2] See monitoorib ja kontrollib sisenevat ja väljuvat liiklust võrgus, eelsätestatud turvareeglite järgi.[7] Tulemüür sätestab barjääri usaldatud ja mitte usaldatud võrgu vahel, näiteks internet.[7] Arvuti tulemüür kontrollib sissepääsu ühte arvutisse.[2] Võrgu tulemüür kontrollib sissepääsu tervesse võrku.[2]

TulemüüritüübidRedigeeri

PakettfilterRedigeeri

Pakettfilter töötleb võrguliiklust pakettide kaupa. Selle põhiülesanne on filtreerida liiklus kaugelt IP-hostilt, seega on sisevõrgu Interneti-ühenduse loomiseks vaja ruuterit. Ruuterit tuntakse kui skriinimisruuterit, mis kuvab võrku väljuvaid ja sisenevaid pakette.[2]

Olekuline pakettide kontrollRedigeeri

Olekulises tulemüüris on voolutaseme lüüs puhverserver, mis töötab avatud süsteemide ühendamise (OSI) mudeli võrgutasemel ja määratleb staatiliselt, milline liiklus on lubatud.[2] Vooluühenduse puhverserverid edastavad etteantud pordinumbrit sisaldavaid võrgupakette (vormindatud andmed), kui algoritm lubab pordi kasutamist.[2] Puhverserveri peamine eelis on selle võime pakkuda võrguaadressi tõlkimist (NAT), mis võib varjata kasutaja IP-aadressi Interneti eest, kaitstes sisemist teavet tõhusalt väljastpoolt.[2]

Rakendustaseme lüüsRedigeeri

 
DDoS rünnak

Rakendustaseme tulemüür on kolmanda põlvkonna tulemüür, kus puhverserver töötab OSI-mudeli võrgu tasemel, IP-paketi rakendustasemel.[2] Võrgupakett edastatakse ainult siis, kui ühendus on loodud teadaoleva protokolli abil. Rakendustaseme lüüsid on märkimisväärsed tervete sõnumite, mitte üksikute pakettide analüüsimiseks.[2]

Elektroonilise posti turvalisusRedigeeri

E-kirjade koostamine, edastamine ja salvestamine toimub mitmeastmelises protsessis, mis algab sõnumi koostamisest. Sõnumi saatmisel teisendatakse see standardvormingusse vastavalt standardile RFC 2822. [17] Võrguühenduse abil saadab postiklient serverisse saatja identiteedi, saajate loendi ja sõnumi sisu. Kui server on selle teabe kätte saanud, edastab ta sõnumi adressaatidele.[2]

Päris hea privaatsus (PGP)Redigeeri

Päris hea privaatsus tagab konfidentsiaalsuse, krüpteerides edastatavad sõnumid või salvestatavad andmefailid krüptimisalgoritmi abil, näiteks Triple DES või CAST-128.[2] E-kirju saab kaitsta krüptograafia abil mitmel viisil, näiteks:

  • Sõnumi digitaalne allkirjastamine selle terviklikkuse tagamiseks ja saatja identiteedi kinnitamiseks.[2]
  • E-kirja sõnumi sisu krüptimine, et tagada selle konfidentsiaalsus.[2]
  • Meiliserveritevahelise side krüptimine, et kaitsta nii sõnumi sisu kui ka sõnumi päise konfidentsiaalsust.[2]

Kaks esimest meetodit, sõnumi allkirjastamine ja sõnumi sisu krüpteerimine, kasutatakse sageli koos; meiliserverite vahelise edastuse krüptimist kasutatakse tavaliselt ainult siis, kui kaks organisatsiooni soovivad kaitsta nende vahel regulaarselt saadetavaid kirju.[2] Näiteks võiksid organisatsioonid oma virtuaalserverite vahelise side krüptimiseks luua virtuaalse privaatse võrgu (VPN). Erinevalt meetoditest, mis krüptivad ainult sõnumi sisu, saab VPN krüpteerida kogu ühenduse kaudu toimuva suhtluse, sealhulgas e-posti päise teabe, näiteks saatjad, saajad ja subjektid. VPN ei paku siiski sõnumite allkirjastamise mehhanismi ega kaitse e-kirjade kaitset kogu marsruudil saatjast adressaadini.[2]

Sõnumi autentimiskoodRedigeeri

Sõnumi autentimiskood (MAC) on krüptograafia meetod, mis kasutab kirja digitaalseks allkirjastamiseks salajast võtit.[2] See meetod väljastab MAC-väärtuse, mille vastuvõtja saab dekrüpteerida, kasutades saatja kasutatavat sama salajast võtit. Sõnumi autentimiskood kaitseb nii sõnumi andmete terviklikkust kui ka selle autentsust.[2]

ViitedRedigeeri