Veebimajutuse turvalisus päevakorral

dreamstime_9751696Riigi Infosüsteemide Arenduskeskuse infoturbeintsidentide käsitlemise osakond ehk CERT-EE saatis täna (05.01.2010) laiali hoiatuse, mis peaks panema kõiki veebimeistreid, kodulehekülgede omanikke ja veebimajutajaid kõrvu kikitama. Nimelt hoiatab CERT-EE kõiki IT professionaale üha suuremat hulka Eesti internetikasutajaid ähvardava ohu – veebiserverite vahendusel levitatav pahavara eest.

Omalt poolt oleme klientide ja avalikkuse tähelepanu sellele teemale juhtinud korduvalt, näiteks artiklites “Kodulehekülje turvalisus algab kodust”, “Veebi vahendusel levivate viiruste levik Eestis hoogustumas” ja “Ristiretk veebilehti rüüstavate viiruste vastu”.

Samuti oleme astunud mitmeid samme selleks, et pakkuda oma klientidele võimalust sellise ohu vastu võitlemisel, sealhulgas lisanud veebiserveritele viirusetõrje (“Viirusetõrje nüüd ka veebiserverites”) ja propageerinud turvalisemat FTP kasutust (“Turvalisem FTP”) ning loonud omalt poolt selleks ka võimalused.

Nüüd tutvustame täiendavat võimalust, mis loodetavasti aitab omakorda Eesti internetti turvalisemaks muuta. Selleks lisasime Zone teenustele funktsionaalsuse, mis võimaldab veebiservereid kaitsta ka lekkinud FTP paroolide eest –  just need võimaldavadki enamasti veebilehekülje ärakasutamist kurjategijate poolt.

2009. aasta lõpust alates on igal Zone virtuaalserveriteenuse ja hallatud privaatserveriteenuse kasutajal võimalik oma FTP kasutajakontodele määrata piiranguid, mis märgatavalt vähendavad nende ärakasutamise ohtu.

Piirangud, mida FTP kontole on võimalik seada, on järgmised:

  • Turvatud ühenduse (TLS/SSL) kasutamise nõue. Turvatud ühendus kaitseb kasutajakontot täna kahel moel. Esiteks kasutatakse kasutajanime ja salasõnaga autentimisel krüpteeritud ühendusi, mis vähendab ühenduse pealtkuulamise riski ning seega kasutajaandmete lekkimist. Teiseks ei oska enamus täna levinud pahavarast turvatud ühendusi kasutada – kui turvatud ühenduste kasutamine on nõutud ja pahavara seda ei oska, siis jäävad kurjategijad “ukse taha”.
  • Kasutajale on FTP ühenduse algatamine lubatud vaid teatud geograafilisest piirkonnast või riigist, nn “valge nimekirja” alusel. Sidudes FTP kasutajanime ära sobiva regiooni, riigi või riikidega, vähendatakse riski, et kasutajanime lekke korral on võimalik mõnel pahatahtlikul kasutajal või botnetil serveriga ühendust luua ja sinna pahavara või selle levitamiseks vajalikku koodi “istutada”. Paratamatult on nii, et mõnedes geograafilistes piirkondades on ründajate kontsentratsioon suurem kui teistes. Kui reaalselt peaks FTP kontol kasutajaid olema ainult Eestist, siis tasub kasutaja seadistustes nii määratagi.
  • Kasutajale on FTP ühenduste algatamine lubatud vaid varem kindlaks määratud IP aadressidelt lubatud IP-de nimekirja alusel. Vaieldamatult on selle piirangu näol tegemist kõige turvalisema lahendusega. Määrates lubatud IP-de nimekirjas kindlaks hostid, millelt on võimalik FTP kontoga ühendust võtta, on kasutaja ohuallikate ringi korralikult koomale tõmmanud. Kõikide FTP kasutajate puhul seda loomulikult rakendada ei saa, kuna paljudel kasutajatel pole staatilisi IP aadresse, kuid kasutajatele, kelle turvanõuded on karmimad ja staatilise IP aadressi kasutamise võimalus olemas, on see funktsioon teretulnud.

Meie soovitame kindlasti eelpool loetletud võimalusi kasutada ja leida oma FTP kasutajatele sobiv kombinatsioon piirangutest.

Lähiajal loodame uue funktsionaalsuse tutvustamiseks ka screencasti või tutoriali teha.

Loodame siinkohal olla ka eeskujuks teistele veebilehekülgede majutajatele ja kutsume neid üles looma sarnaseid võimalusi, et muuta Eesti veebikasutajate jaoks Internet tervikuna turvalisemaks.

Üks teema, mis kindlasti tahab paikapanemist ja läbiarutamist, on vaikereeglid. Kas näiteks peaks FTP ühendusi vaikimisi piirama teenuse tellija asukohariigiga? Kindlasti konsulteerime sel teemal CERT-EE’ga. Milline on teie arvamus?

Autor: Ardi Jürgens

Infotehnoloogia entusiast. Zone Media OÜ juhatuse liige.

2 mõtet “Veebimajutuse turvalisus päevakorral” kohta

  1. “Kas näiteks peaks FTP ühendusi vaikimisi piirama teenuse tellija asukohariigiga?”

    Ei olegi ise sellisele lahendusele mõelnud, kuid kindlasti üks hea valik. Välisriigis olles võiks siis ainsaks võimaluseks olla kasutada Zone enda FTP lehekülge, https://www.zone.ee/ftp.

    Tekkis ka väikene mõte, et nagu mitmed välismaised pangad kasutavad, saadetakse panga poolt kliendile fail, mis kliendi arvutisse kuskile kindlasse kausta pannakse, tänu millele saab ainult sellest arvutist internetipanka logida. Aga see teeb vist paljudele FTP kasutamise keerulisemaks?

  2. Mina kipun arvama, et veebipõhise FTP ainsaks valikuks jätmine poleks mõistlik. Veebipõhise FTP kasutamisel on siiski mõned piirangud, mis kõigile ei pruugi sobida.

    Küll aga täiendab veebipõhise FTP kasutusvõimalus ligipääsupiiranguid. Kui FTP vahendusel on vaja teha vaid mõni operatsioon, siis saab selle veebipõhiselt kiirelt tehtud ja ligipääsupiiranguid muuta pole vajagi.

Kommenteerimine on suletud