Pidä estolistasi ajan tasalla

Tietoturva Nyt!

Julkaistu 18.06.2019

Päivitetty 14.08.2019 10:50

Estolistat (mustat listat, blacklists) ovat listoja, jotka sisältävät tietoa estettävistä asioista, joiden ei haluta käyttävän resurssejamme tai joita emme halua omien resurssiemme käyttävän. Estolistoja käytettäessä on hyvä varmistua niiden ajantasaisuudesta.

Estolistoilla estettävät asiat voivat olla kontekstista riippuen esimerkiksi IP-osoitteita ja portteja, websivuja, sijaintitietoa, oletusmuotoisia käyttäjätunnuksia, huonoja salasanoja, sähköpostiosoitteita tai -palvelimia, haitallisia sovelluksia, sähköpostiviestien otsikoita, tiettyjä sanoja, erikoismerkkejä, puhelinnumeroita, tiivisteitä tai tiedostotyyppejä. Estolistoja käytetään yleisesti estämään vierailut tunnetuille haitallisille tai laittomille sivustoille, liikenne tietyntyyppisiin palveluihin (esimerkiksi kaistan säästämiseksi) sekä tulevat sähköpostit tunnetuilta roskapostitukseen käytetyiltä sähköpostipalvelimilta.

Estolistat voivat sijaita eri paikoissa, kuten palomuureissa ja proxyissä, sähköpostipalvelimilla tai vaikka työasemilla (esimerkiksi /etc/hosts.deny -tiedosto tai sovellusten konfiguraatiotiedostot). Palomuuritoimittajat voivat ylläpitää tuotteissansa käytettyjä estolistoja.

Ilmaisia ja kaupallisia sekä julkisia ja suljettuja estolistoja on eri asioita varten. Monet organisaatiot myös ylläpitävät omia estolistojaan. Näiden hallintaan kannattaa miettiä toimiva prosessi. Listoja pitää päivittää, ja mikäli jokin asia (kuten IP-osoite) ei ole enää huonomaineinen, se kannattaa poistaa estolistalta.

IP-osoitteita tarjoavat organisaatiot (RIPE, LACNIC, AFRINIC, APNIC ja ARIN) pyrkivät pitämään etenkin huonon maineen saaneet IP-avaruudet karanteenissa ennen niiden jakamista uusille asiakkailleen. Tämän jälkeen osoiteavaruuden tiedot (omistaja, geolokaatio, jne.) muuttuvat.

Ohjeita uuden IP-avaruuden saaneille organisaatioille

Mikäli saat käyttöösi huonomaineisia IP-osoitteita,

varmista eri palveluista, ettei verkosta näytä lähtevän haitallista liikennettä ulospäin,
tarkasta, että palvelujen (kuten sähköposti) asetukset on säädetty oikein,
ilmoita uusista osoitteista tärkeimmille yhteistyökumppaneillenne,
lähetä IP-osoitteen maineeseen perustuville estolistoille pyyntö poistaa saamasi osoitteet listoilta (tämä voi olla valitettavan työläs prosessi) ja
odota kunnes loput estolistat päivittävät tietonsa.

Valitettavasti kaikki estolistat eivät kuitenkaan päivity automaattisesti eivätkä säännöllisesti.

Mikäli saat käyttöösi uusia IP-osoitteita, joiden geolokaatio pysyy vääränä,

ilmoita oikea sijainti suoraan eri toimijoille (APNIC listaa seuraavat: MaxMind, Google support, IP2 Location ja IPligence). [https://www.apnic.net/get-ip/faqs/geolocation/ (Ulkoinen linkki)], ja
odota, kunnes tiedot päivittyvät.

Mikäli uusien IP-osoitteiden sijaintitieto ei kuitenkaan päivity, ongelmia voi tulla tapauksissa, joissa palveluntarjoajat ovat estäneet (tai sallineet) pääsyn palveluihinsa tietyistä maista.

Ohjeita kaikille toimijoille

Mikäli käytät geolokaatiota estolista-tyylisenä tietoturvakontrollina, tarkasta

mistä tieto IP-osoitteiden sijainnista haetaan ja
kuinka ajan tasalla tämä tieto on.

Takaisin luotettujen kirjoihin pääseminen voi olla pitkä ja työläs prosessi. Hyvällä tuurilla IP-osoitteet ovat poistuneet karanteenin aikana kaupallisilta ja ilmaisilta estolistoilta. Joissakin tapauksissa on mahdollista, että Internetistä ladattavat listat sisältävät kuitenkin vanhaa tietoa, tai listoja ei päivitetä riittävän tiheästi tai pahimmassa tapauksessa enää ollenkaan.

Mikäli käytät IP-osoitteiden mainetta estolista-tyylisenä tietoturvakontrollina, tarkasta

mistä tieto maineesta haetaan ja
miten ajan tasalla tilatut ja käytetyt listat ovat.

Organisaatioiden itse ylläpitämät listat voivat olla myös haasteellisia. Joissakin tapauksissa organisaatioissa ei ole määritelty prosessia estolistojen hallinnalle tai sitä ei noudateta. Huonoimmassa tapauksessa estolistojen hallinta on yksittäisten henkilöiden harteilla, jolloin niiltä poistuminen tapahtuu vain manuaalisesti näiden henkilöiden toimesta.

Mikäli organisaatiossanne käytetään ja hallinnoidaan mitä tahansa omia sisäisiä estolistoja, selvitä

missä kaikkialla näitä estolistoja on,
mikä on niiden hallinnointiprosessi,
kuka niistä vastaa ja
kuinka ajan tasalla niiden tiedot ovat.

Kaikkiin estolistoihin ei kuitenkaan pääse itse käsiksi. On mahdollista, että jotkut tietoturvatuotteet sisältävät niiden toimittajien hallinnoimia estolistoja, joita ei välttämättä jaeta asiakkaille. Yllä olevia asioita voi silti yrittää tiedustella tuotteiden toimittajilta.

APNIC:n ohjeet geolokaation päivittämisen suhteen (Ulkoinen linkki)

YLE: Etkö saanut vastausta sähköpostiisi? Käyttämäsi sähköpostipalvelu voi olla mustalla listalla (Ulkoinen linkki)

IETF RFC 5782: DNS Blacklists and Whitelists (Ulkoinen linkki)

IETF RFC 6471: Overview of Best Email DNS-Based List (DNSBL) Operational Practices (Ulkoinen linkki)

RIPE.net: What can I do if my range is blacklisted? (Ulkoinen linkki)

YLE: Vikasietotila: Näin siistit öyhöttäjät pois internetistäsi (Ulkoinen linkki)

14.08.2019 10:50

Kirjoitusvihreitä korjattu.