Haitallisen liikenteen havaitseminen ja suodattaminen operaattoriverkoissa

Suomen Viestintävirasto Ficora on antanut määräyksen 13/2005M, jonka mukaan internet-palveluntarjoajalla tulee olla ennalta määritellyt prosessit ja toimintamallit sen omista asiakasliittymistä internetiin lähtevän haitallisen liikenteen havaitsemiseksi ja suodattamiseksi. Määräys ei sinällään aseta ehtoja, kuinka asetetut vaatimukset kukin internet-palveluntarjoaja täyttää. Tässä diplomityössä annetaan määritelmät haitalliselle liikenteelle ja tutkitaan menetelmiä, joilla sitä voidaan havainnoida ja suodattaa paikallisen internet-palveluntarjoajan operaattoriverkoissa. Suhteutettunapaikallisen internet-palveluntarjoajan asiakasliittymien määrään, uhkien vakavuuteen ja tällaisen systeemin kustannuksiin, tullaan tämän työn pohjalta ehdottamaan avoimen lähdekoodin tunkeutumisenhavaitsemistyökalua nopeaa reagointia vaativiin tietoturvaloukkauksiin ja automatisoitua uudelleenreitititystä suodatukseen. Lisäksi normaalin työajan puitteissa tapahtuvaan liikenteen seurantaan suositetaan laajennettua valvontapöytää, jossa tarkemmat tutkimukset voidaan laittaa alulle visualisoitujen reaaliaikaisten tietoliikenneverkon tietovoiden kautta.

Finnish Communications Regulatory Authority Ficora has issued regulation 13/2005M, which determines that Internet service providers must have predefined processes and operation models to detect and filtermalicious networks traffic produced by its own customer subscriptions. Regulation does not set any conditions how Internet service providers should fulfil these requirements. In this thesis the malicious network trafficis defined and some methods are presented how the local Internet service provider is able to detect and filter it. In proportion to count of local Internet service provider customers, severeness of the threats and this kind of systems cost value, this thesis recommend an open source intrusion detection tool for those abuse cases that needs fast reaction and automated redirect routing for filtering. Also use of extended security dashboard during the working day is recommended which can provide a real-time visualized network flows to act as a start point for further investigations.