[Muokattu: 5.7.2017]

Yleistä suodatuksesta ja tunkeutumisten havainnoinnista (2) [ < Tunkeutumisen h... < Tietoverkkoturv... ]

Tunkeutuminen ('intrusion') tarkoittaa sitä, että joku käyttää tietojenkäsittelyn resursseja ilman lupaa. Tämähän olisi helppo saada selville, jos voisi käydä kysymässä PC:n tai päätteen äärellä istuvalta asiaan liittyviä dokumentteja -- kuten autoilijalta ajokorttia ja auton rekisteriotetta. Tietokoneella ajon luvallisuutta ei yleensä pysty selvittämään näin suorasti. Ennemminkin tilannetta voisi verrata siihen, että auton käytön luvallisuus pitäisi selvittää polttoaineseoksen, moottorin kierrosluvun, ajonopeuden, ohjausliikkeiden ja tien pinnan perusteella. Kaiketi autokin voisi tällaisten (tai muiden) tietojen avulla "tietää" tulleensa varastetuksi (tai ryöstetyksi), jolloin se voisi lähettää hälytyksen. Ennenkuin varsinaiseen ajoon pääsee, täytyy autossa ohittaa kaikenlaista pääsynvalvontaa ja ajonestolaitetta, ehkäpä päästä ensin sisään autotalliin. Vastaavasti tietojenkäsittelyssä voidaan pysäyttää tunkeilijoita jo kauemmas. Oleellisesti kyse on vain pääsynvalvonnasta, mutta kun se tapahtuu verkkoliikenteessä, niin tallinovien sulkemista kutsutaan suodatukseksi ja sitä toteutetaan palomuureilla .

Tunkeutumisen havaitsemisen järjestelmät (IDS:t) käyttävät kolmenlaista tietoa analyysinsa perustana:

Palomuurit tarjoavat keskitetyn paikan, jossa kirjanpitoa voi kerätä -- mutta jo sisäänpäässyttä hyökkääjää ei näillä tiedoilla saa yleensä kiinni. Hänhän käyttäytyy muurin kohdalla kuin kuka muu tahansa ja tunkeilevat piirteet paljastuvat vasta sisäverkossa olevien koneiden lokitiedostoista. Osittain tätä voi havainnollistaa lisäämällä alussa olevaan autovertaukseen se huomio, että liikennesääntöjen noudattamista voitaisiin seurata tarkan paikannuksen ja muiden anturien avulla niin luvalliselta kuin luvattomaltakin ajajalta.

Sitä mukaa kun tietoa uudenlaisista tunkeutumisista kertyy, ohjelmistonvalmistajien odotetaan paikkaavan tuotteissaan olevia reikiä eli haavoittuvuuksia. Koska tämä prosessi on hidas, käytännössä ylläpitäjät ehkäisevät näiden reikien käytön tiukentamalla suodatusta ohjelmistojen ulkopuolella, erityisesti palomuureissa. Samalla he saavat uusia testaustyökaluja: päivityksiä voidaan nimittäin tehdä myös ohjelmistoihin ('työkalupakkeihin'), joilla hyökkäyksiä voi automaattisesti tehdä ja siis myös kokeilla. Oman järjestelmän haavoittuvuuksia kannattaakin tutkia myös tällaisilla työkaluilla -- ettei se jäisi vain hyökkääjän "etuoikeudeksi".