Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Pidä estolistasi ajan tasalla

Tietoturva Nyt!

Estolistat (mustat listat, blacklists) ovat listoja, jotka sisältävät tietoa estettävistä asioista, joiden ei haluta käyttävän resurssejamme tai joita emme halua omien resurssiemme käyttävän. Estolistoja käytettäessä on hyvä varmistua niiden ajantasaisuudesta.

Estolistoilla estettävät asiat voivat olla kontekstista riippuen esimerkiksi IP-osoitteita ja portteja, websivuja, sijaintitietoa, oletusmuotoisia käyttäjätunnuksia, huonoja salasanoja, sähköpostiosoitteita tai -palvelimia, haitallisia sovelluksia, sähköpostiviestien otsikoita, tiettyjä sanoja, erikoismerkkejä, puhelinnumeroita, tiivisteitä tai tiedostotyyppejä. Estolistoja käytetään yleisesti estämään vierailut tunnetuille haitallisille tai laittomille sivustoille, liikenne tietyntyyppisiin palveluihin (esimerkiksi kaistan säästämiseksi) sekä tulevat sähköpostit tunnetuilta roskapostitukseen käytetyiltä sähköpostipalvelimilta.

Estolistat voivat sijaita eri paikoissa, kuten palomuureissa ja proxyissä, sähköpostipalvelimilla tai vaikka työasemilla (esimerkiksi /etc/hosts.deny -tiedosto tai sovellusten konfiguraatiotiedostot). Palomuuritoimittajat voivat ylläpitää tuotteissansa käytettyjä estolistoja.

Ilmaisia ja kaupallisia sekä julkisia ja suljettuja estolistoja on eri asioita varten. Monet organisaatiot myös ylläpitävät omia estolistojaan. Näiden hallintaan kannattaa miettiä toimiva prosessi. Listoja pitää päivittää, ja mikäli jokin asia (kuten IP-osoite) ei ole enää huonomaineinen, se kannattaa poistaa estolistalta.

IP-osoitteita tarjoavat organisaatiot (RIPE, LACNIC, AFRINIC, APNIC ja ARIN) pyrkivät pitämään etenkin huonon maineen saaneet IP-avaruudet karanteenissa ennen niiden jakamista uusille asiakkailleen. Tämän jälkeen osoiteavaruuden tiedot (omistaja, geolokaatio, jne.) muuttuvat.

Ohjeita uuden IP-avaruuden saaneille organisaatioille

Mikäli saat käyttöösi huonomaineisia IP-osoitteita,

  • varmista eri palveluista, ettei verkosta näytä lähtevän haitallista liikennettä ulospäin,
  • tarkasta, että palvelujen (kuten sähköposti) asetukset on säädetty oikein,
  • ilmoita uusista osoitteista tärkeimmille yhteistyökumppaneillenne,
  • lähetä IP-osoitteen maineeseen perustuville estolistoille pyyntö poistaa saamasi osoitteet listoilta (tämä voi olla valitettavan työläs prosessi) ja
  • odota kunnes loput estolistat päivittävät tietonsa.

Valitettavasti kaikki estolistat eivät kuitenkaan päivity automaattisesti eivätkä säännöllisesti.

Mikäli saat käyttöösi uusia IP-osoitteita, joiden geolokaatio pysyy vääränä,

Mikäli uusien IP-osoitteiden sijaintitieto ei kuitenkaan päivity, ongelmia voi tulla tapauksissa, joissa palveluntarjoajat ovat estäneet (tai sallineet) pääsyn palveluihinsa tietyistä maista.

Ohjeita kaikille toimijoille

Mikäli käytät geolokaatiota estolista-tyylisenä tietoturvakontrollina, tarkasta

  • mistä tieto IP-osoitteiden sijainnista haetaan ja
  • kuinka ajan tasalla tämä tieto on.

Takaisin luotettujen kirjoihin pääseminen voi olla pitkä ja työläs prosessi. Hyvällä tuurilla IP-osoitteet ovat poistuneet karanteenin aikana kaupallisilta ja ilmaisilta estolistoilta. Joissakin tapauksissa on mahdollista, että Internetistä ladattavat listat sisältävät kuitenkin vanhaa tietoa, tai listoja ei päivitetä riittävän tiheästi tai pahimmassa tapauksessa enää ollenkaan.

Mikäli käytät IP-osoitteiden mainetta estolista-tyylisenä tietoturvakontrollina, tarkasta

  • mistä tieto maineesta haetaan ja
  • miten ajan tasalla tilatut ja käytetyt listat ovat.

Organisaatioiden itse ylläpitämät listat voivat olla myös haasteellisia. Joissakin tapauksissa organisaatioissa ei ole määritelty prosessia estolistojen hallinnalle tai sitä ei noudateta. Huonoimmassa tapauksessa estolistojen hallinta on yksittäisten henkilöiden harteilla, jolloin niiltä poistuminen tapahtuu vain manuaalisesti näiden henkilöiden toimesta.

Mikäli organisaatiossanne käytetään ja hallinnoidaan mitä tahansa omia sisäisiä estolistoja, selvitä

  • missä kaikkialla näitä estolistoja on,
  • mikä on niiden hallinnointiprosessi,
  • kuka niistä vastaa ja
  • kuinka ajan tasalla niiden tiedot ovat.

Kaikkiin estolistoihin ei kuitenkaan pääse itse käsiksi. On mahdollista, että jotkut tietoturvatuotteet sisältävät niiden toimittajien hallinnoimia estolistoja, joita ei välttämättä jaeta asiakkaille. Yllä olevia asioita voi silti yrittää tiedustella tuotteiden toimittajilta.

Kirjoitusvihreitä korjattu.