Käesolev kirjutis selgitab kõigepealt, mida kujutab endast arvutivõrkude monitooring ja milleks see kasulik on. Seejärel tuleb artiklis juttu võrguturbe monitooringust, ründetuvastus- ja ründetõkestussüsteemidest ning lõpuks sellest, kuidas kodukasutaja nende tehnoloogiatega võib kokku puutuda.

Võrkude monitooring – mis see on ja millist kasu see annab?

Suurtes organisatsioonides on arvutivõrkude monitooring reeglina hästi korraldatud ja ka enamikus väiksemates ettevõtetes hoitakse vähemalt võrguliikluse mahtudel silma peal. Lihtsaimal juhul seisneb arvutivõrgu monitooring organisatsiooni internetiühenduse jälgimises. Enamik soliidsemate tootjate võrguseadmeid, mida organisatsioonid internetiühendustel kasutavad, võimaldavad koguda infot internetti saadetud ning sealt saabunud võrgupakettide ja baitide hulga kohta ning seda ka üksikute võrguühenduste lõikes.

Tihti toetavad sellised võrguseadmed kogutud info visualiseerimist, mis võimaldab seadme administraatoril näiteks hetkega näha, et viimase 5 minuti jooksul on internetist saabuva võrguliikluse maht olnud 300 megabitti sekundis ning suurem osa sellest on seotud ettevõtte töötajate veebilehitsemisega. Et aga võrguseadmetel on võime pidada arvet ka üksikute võrguühenduste kohta, on võrguseadme administraatoril tavaliselt võrdlemisi kerge leida üles näiteks internetti kõige enam andmeid saatnud ettevõtte arvuti ja teha kindlaks nende andmete iseloom.

Ülalkirjeldatud monitooringu-funktsionaalsust toetavad ka mitmed kodukasutajate jaoks mõeldud WiFi-ruuterid ja seega saavad nende omanikud oma koduses võrgus toimuvat detailsemal viisil jälgida.

Millist kasu võrguliikluse monitooring annab?

Esiteks saab kogutud info alusel hinnata, kas võrgu läbilaskevõime on piisav ning kuidas võrgus leiduvaid võimalikke kitsaskohti kõrvaldada. Teiseks võimaldab kogutud info analüüs avastada ja tõkestada küberründeid, leida pahavaraga nakatunud arvuteid ning tõsta võrkude turvalisust.

Kuidas tuvastatakse ja tõkestatakse ründeid?

Võrguturbe tagamiseks võib kasutada erinevaid monitooringutehnoloogiaid ning allpool vaatleme mõningaid enam levinud stsenaariume. Näiteks võib organisatsioon koguda infot kõigi organisatsiooni ning interneti masinate vaheliste võrguühenduste kohta, kontrollides iga ühenduse korral, kas internetis asuv masin kuulub nn musta nimekirja.

Must nimekiri võib näiteks sisaldada mõne botneti juhtarvutite IP-aadresse ning kui organisatsiooni arvuti loob ühenduse mõne musta nimekirja masinaga, on põhjust kahtlustada, et organisatsiooni arvutit kontrollitakse mujalt ning seal töötab soovimatu tarkvara. Et hõlbustada võrguühendusi puudutava info kogumist suuremast hulgast võrguseadmetest, on loodud mitmeid laialt levinud protokolle, nagu NetFlow ja IPFIX, ning samuti terve rida vabavaralisi ja kommertslahendusi, mis nende protokollide abil andmeid koguda ning visualiseerida suudavad.

Protokollidel, nagu NetFlow ja IPFIX, on üks puudus: nad suudavad küll arvet pidada selle üle, millised masinad omavahel suhtlevad ning kui palju võrgupakette ja baite on masinad omavahel vahetanud, kuid võrgupakettide sisu täpsemat analüüsi need protokollid ei võimalda. Seega kui masin A saadab masinale B võrgupaketi, mis sisaldab 1000 baiti ning on pahatahtliku sisuga, ei eristu see pakett kuidagi ülejäänutest ning on vaid väike osa edastatud info mahtusid puudutavast statistikast.

Et sellist soovimatut liiklust tuvastada, kasutavad paljud organisatsioonid ründetuvastussüsteeme (intrusion detection systems), mis jälgivad tavaliselt organisatsiooni internetiühendusel ning sisevõrgus toimuvat liiklust, analüüsides iga nähtud paketi sisu nn signatuuride abil.

Signatuur on võrguturbe ekspertide kirjutatud reegel võrgupakettide analüüsiks ning ründetuvastussüsteemid kasutavad tavaliselt tuhandeid signatuure erinevate ohtude tuvastamiseks. Mitmed levinud tulemüüriplatvormid toetavad ründetuvastussüsteemi funktsionaalsust, et aga võrgupakettide sisu analüüs tuhandete signatuuride abil on arvutuslikult võrdlemisi kallis tegevus, töötavad ründetuvastussüsteemid sageli omaette seadmetel, mis organisatsiooni arvutivõrku ühendatakse.

Ründetuvastussüsteemide puuduseks on asjaolu, et soovimatu liikluse tuvastamisel genereerivad nad ainult alarmi ja ei suuda liiklust ennast kuidagi takistada. Selle probleemi lahendamiseks asuti käesoleva sajandi algul arendama ründetõkestussüsteeme (intrusion prevention systems), mis kujutavad endast võrgupakettide blokeerimise võimekusega täiendatud ründetuvastussüsteeme.

Ründetõkestussüsteem on enamasti realiseeritud kas tulemüüril või eraldi seadmel, mis analüüsib teda läbivat võrguliiklust ning blokeerib signatuuride poolt ära tuntud soovimatu liikluse.

Tuntumatest ründetuvastus- ja ründetõkestussüsteemide tootjatest võib nimetada Ciscot ja Trend Microt, kuid paljud organisatsioonid kasutavad ka vabavaralisi lahendusi, nagu näiteks Suricata.

Ka koduvõrke on vajalik turvata

Ründetõkestussüsteemid olid pikka aega vaid suuremate organisatsioonide kasutatavad tehnoloogiad, millega kodukasutajad kokku ei puutunud. Viimastel aastatel on olukord siiski muutunud ja esiteks on turule ilmunud koduvõrkudes kasutamiseks mõeldud ründetõkestussüsteemi funktsionaalsusega võrguturbe-seadmed, nagu F-Secure Sense ja Trend Micro HNS. Ründetõkestussüsteemi funktsionaalsus on olemas ka mõnedel levinud kodukasutaja ruuteri platvormidel, näiteks paljudel ASUS-e toodetavatel kodukasutaja seadmetel on koostöös Trend Microga loodud AiProtectioni ründetõkestussüsteem, mis kaitseb koduvõrku väljastpoolt lähtuvate rünnete eest, tuvastab võrguliikluse analüüsi alusel pahavaraga nakatunud koduvõrgu seadmeid, blokeerib ligipääsu pahavara levitamisega seotud veebilehekülgedele jne.

Kuidas oma koduvõrku turvata aga juhul, kui selles ei tööta rünnete tõkestamise võimekusega seadet?

Üheks lihtsaks abinõuks, mis aitab näiteks veebilehitsemist turvalisemaks muuta, on OpenDNS-i nimeserverite kasutamine. See teenus on kodutarbijale tasuta ja OpenDNS-i veebilehelt leiab juhised teenuse kasutamiseks. OpenDNS-i nimeserveri poole pöördumisel kontrollivad need, kas lahendatav nimi kuulub pahatahtlike saitide nimekirja, ja positiivse vastuse korral tagastatakse pahatahtliku saidi IP-aadressi asemel OpenDNS-i süsteemi kuuluva serveri IP-aadress. Seetõttu suundub näiteks kodukasutaja veebipäring pahatahtliku saidi asemel OpenDNS-i süsteemi veebilehele, mis kuvab kasutajale pahatahtlikku saiti puudutava hoiatuse.

Risto Vaarandi on Tallinna Tehnikaülikooli küberkriminalistika ja küberjulgeoleku keskuse vanemteadur. Aastatel 1998–2018 töötas ta SEB pangas arendusinsenerina ning aastatel 2006–2014 NATO küberkaitsekeskuses.

Küberturvalisuse rubriigi eesmärk on tõsta lugejate teadlikkust selle valdkonna probleemidest ja edusammudest nii Eestis kui ka mujal. Artikliseeria avab teemat muu hulgas tehnoloogia, juhtimise, majanduse, teaduse, riigihalduse ja rahvusvaheliste suhete vaatenurgast.