Tietoturva SISÄLLYSLUETTELO
|
|
- Kirsti Melasniemi
- 7 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturva SISÄLLYSLUETTELO 1. TIETOTURVA JOHDANTO VOIP:IIN LIITTYVÄT TIETOTURVAONGELMAT Autentikointi Liikenteen salaaminen Tiedon eheys Riskit IP-verkon liikenteelle YLEISIMMIN KÄYTETYT TIETOTURVATEKNIIKAT IPsec-arkkitehtuuri PGP TLS Sertifikaatit H.323:N TIETOTURVAOMINAISUUDET Käyttäjän tunnistus H kanavan salaus H.245-ohjauskanavan salaus Luotetut elementit Monipisteyhteyksien salaus Puheyhteyden salaus Yhteydenmuodostus IPsec:in avulla SIP:IN TIETOTURVAOMINAISUUDET Päästä-päähän -salaus Solmusta-solmuun -salaus Via-kentän salaus Autentikointi Muita SIP:in tietoturvaominaisuuksia Esimerkki salatun puhelun muodostamisesta YHDYSKÄYTÄVÄN TIETOTURVA LÄHDELUETTELO
2 Tero Purra 1. TIETOTURVA 1.1 Johdanto Tässä työssä keskitytään tarkastelemaan VoIP:in erilaisia tietoturvaongelmia ja esitetään ratkaisuja, miten tietoturva tulisi hoitaa. Työ keskittyy tarkastelemaan H.323 ja SIP -protokollien tarjoamia tietoturvaominaisuuksia, sekä ohessa selvitetään lyhyesti tarvittavien tietoturvaprotokollien, IPSEC, PGP, TLC ja sertifikaattien toiminta. 1.2 VoIP:iin liittyvät tietoturvaongelmat VoIP-liikenne pitää sisällään paljon luottamuksellista tietoa liittyen mm. kommunikoiviin osapuoliin, laskutukseen ja IP-verkon osoitteisiin. Erilaisten tieturvaratkaisujen avulla pyritään luottamuksellinen tieto pitämään salassa ulkopuolisilta. Ohessa on kuvattu yleisimmät VoIP:iin liittyvät tietoturvaongelmat Autentikointi Autentikoinnilla varmistetaan, että kommunikoivat osapuolet ovat keitä he väittävät olevansa. Osapuolina voivat toimia niin VoIP-palveluiden käyttäjät kuin myös IP-verkon laitteet, kuten reitittimet ja palomuurit. Autentikoinnin avulla estetään mm. VoIP-puhelun soittaminen vieraan henkilön laskuun tai sallitaan yhteydet vain tietyistä osoitteista Liikenteen salaaminen VoIP-liikenne pitää sisällään sekä käyttäjien välistä kommunikointia että myös yhteyden ylläpitoon ja laskutukseen liittyvää merkinantodataa. Näiden tietojen salaaminen on ensiarvoisen tärkeää sekä käyttäjän että operaattorin näkökulmasta Tiedon eheys Tiedon eheydellä tarkoitetaan sitä, että siirrettyä tietoa ei ole muutettu kolmannen osapuolen toimesta matkan aikana. VoIP:in tapauksessa tämä koskee lähinnä merkinanto- ja autentikointitietoja Riskit IP-verkon liikenteelle Jotta VoIP-puhelut olisivat mahdollisia, joudutaan IP-liikenteelle avaamaan pääsy suljettuihin verkkoihin, esim. yrityksen intranetiin, julkisesta Internetistä. Tämä tuo uusia mahdollisuuksia tunkeutua suljettuun verkkoon yhdyskäytävien tai palomuurien kautta, muodostaa luvattomia puheluita, 2
3 Tietoturva salakuunnella tai häiritä käynnissä olevia puheluita. Siksi onkin ensiarvoisen tärkeää, että IP-verkon liikenne on kunnolla suojattua. 1.3 Yleisimmin käytetyt tietoturvatekniikat Seuraavassa on esitelty lyhyesti yleisimmät tietoturvatekniikat, joita käytetään VoIP:in yhteydessä IPsec-arkkitehtuuri IPsec-arkkitehtuuri [1] tarjoaa tietoturvapalveluita IP-kerrokselle antamalla järjestelmän valikoida sen tarvitsemat palvelut ja tämän jälkeen toteuttamalla ne. IPsec sisältää joukon erilaisia protokollia, joiden avulla se toteuttaa halutut palvelut. IPsec tarjoaa mm. seuraavia palveluita: pääsynvalvonta, tiedon eheyden varmistaminen, datan alkuperän varmentaminen, uudelleenlähetettyjen IP-pakettien hylkääminen ja salausavainten käsittely ja ylläpito. Koska IPsec tarjoaa palvelut IP-kerrokselle, voivat myös ylemmän kerroksen protokollat, kuten TCP, UDP ja ICMP, käyttää samoja palveluita hyväkseen. IPsec voidaan liittää päätelaitteeseen tai verkon komponenttiin, kuten palomuuriin tai reitittimeen, jolloin tästä tulee ns. suojattu yhdyskäytävä (security gateway). Suojatut yhteydet voidaan muodostaa kahden päätelaitteen, päätelaitteen ja suojatun yhdyskäytävän ja kahden suojatun yhdyskäytävän välillä PGP PGP (Pretty Good Privacy) [2] on Phil Zimmermanin alun perin kehittämä ohjelmistopaketti, joka tarjoaa rutiinit digitaalisen allekirjoituksen toteuttamiseen, tiedostojen ja sähköpostin salaukseen ja datan pakkaamiseen. Versio 5.0 sisältää seuraavat algoritmit, joiden avulla rutiinit toteutetaan: RSA ja Diffie-Hellman avainten vaihtoon MD5, RIPEMD-160 ja SHA-1 digitaalisen allekirjoitukseen IDEA, 3DES ja CAST tiedostojen ja viestien salaamiseen PGP on tarjolla useisiin eri käyttöjärjestelmiin ja siitä on saatavilla täysin ilmaisia versioita TLS TLS-protokollan [3] tehtävänä on luoda keskenään kommunikoivien sovellusten välille salattu ja luotettava yhteys, ennen kuin sovellukset ehtivät vaihtaa keskenään tavuakaan dataa. TLS koostuu kahdesta kerroksesta; TLS Record -protokollasta ja TLS Handshake -protokollasta. Record-protokollan tehtävänä on tarjota salattu ja luotettava yhteys osapuolien välille. Handshake-protokollan tehtävänä on 3
4 Tero Purra autentikoida osapuolet, suorittaa salausavainten turvallinen vaihto ja varmistaa salausavainten eheys. TLS-protokollaa käytetään luotettavan siirtoprotokollan, kuten TCP, päällä Sertifikaatit Sertifikaatin avulla pystytään luotettavasti autentikoimaan ja varmentamaan tiedon eheys. Sertifikaatti perustuu siihen, että sen varmentaa kolmas luotettava taho. Näin sertifikaatin esittämät tiedot pystytään varmentamaan tämän luotettavan tahon toimesta ja näin varmistutaan, että sertifikaatti on aito ja siinä esitetyt tiedot pitävät paikkansa. Sertifikaatin lähettäjä liittää siihen oman julkisen avaimensa, jonka kolmas taho vahvistaa ja allekirjoittaa. Sertifikaatin vastaanottaja pystyy näin varmistamaan, että lähettäjän julkinen avain on aito, eikä sitä ole muutettu matkalla. 1.4 H.323:n tietoturvaominaisuudet Vuonna 1996 esitelty H.323-standardi [4] ei tarjonnut lainkaan menetelmiä tietoturvaominaisuuksien toteuttamiseksi. Vuonna 1998 esiteltiin uusi protokolla, H.235, joka määrittelee H.323:n tietoturvaominaisuudet. H.235 [5] tarjoaa menetelmät käyttäjän tunnistukseen, tiedon salaukseen ja tiedon yhtenäisyyden varmentamiseen. Se esittelee ratkaisut, miten eri tietoturvaominaisuudet tulisi toteuttaa, mutta ei kerro tarkasti, mitä erilaisia salaus- tai tietoturvaprotokollia pitäisi käyttää. H.235 ei myöskään vaadi toteuttavaksi yhtäkään tietoturvaominaisuutta, vaan on pikemminkin suositus siitä, mitä pitäisi tehdä, jotta saavutettaisiin riittävä tietoturvan taso. Palveluntarjoajan / käyttäjän harteille jää, mitä protokollia (esim. IPSEC, TLS) apuna käyttäen tietoturva taataan. Kuva 1. AV ohjelmat Ohjausrajapinta G.xxx H.26x RTP RTCP H (RAS) H Merkinanto H.245 UDP Kuva 1: Yleiskuva H.235:n vaikutusalueesta Verkkokerros TCP 4
5 Tietoturva Käyttäjän tunnistus Käyttäjän tunnistus voidaan suorittaa joko yhteydenmuodostuksen yhteydessä, avattaessa suojattua H.245-kanavaa tai vaihtamalla sertifikaatteja H.245-kanavan kautta. Käyttäjän tunnistamiseksi H.235 tarjoaa kolmea eri tapaa. Ensimmäinen tapa perustuu symmetriseen salaukseen, joka ei edellytä aiempaa kontaktia kommunikoivien osapuolien välillä. Toisin sanoen mitään julkisia avaimia tai muita tietoja ei tarvitse etukäteen vaihtaa. Toinen tapa, tilaajakohtainen tunnistus, perustuu ennalta vaihdettuihin salaustietoihin, kuten salausavaimiin tai salasanoihin. Kolmas tapa on käyttää jotain tarkoitukseen sopivaa protokollaa kuten IPsec:iä. Symmetrinen salaus toteutetaan Diffie-Hellman protokollan [6] avulla. Protokolla sallii kahden käyttäjän luovan uuden salausavaimen turvattoman siirtotien yli, ilman että asiasta on ennalta sovittu. Luotua salausavainta voidaan sitten käyttää tunnistetietojen salaamiseen Tilaajakohtainen tunnistus voidaan toteuttaa joko sertifikaatin tai salasanojen avulla. Tunnistus suoritetaan oletuksena kaksisuuntaisena, mutta se voidaan myös toteuttaa vain yksisuuntaisena. H.235 esittelee protokollat, joiden avulla salasanojen ja sertifikaattien vaihto suoritetaan, mutta se ei määrittele tapaa, jolla esim. sertifikaatit tai salasanat varmennetaan. Salasanojen vaihto perustuu ISO:n standardeihin ISO ja ISO , ja sertifikaattien vaihto perustuu standardiin ISO H kanavan salaus H.235 suosittelee soittomerkinantokanavan salaukseen käytettäväksi TLS protokollaa tai IPsec:iä ennalta määrätyssä portissa Näin tiedetään jo etukäteen, mitä protokollaa H.225.0:n salaukseen tulisi käyttää ja kanava saadaan salattua ennen kuin merkinanto aloitetaan. Näin käyttäjät voidaan varmennetusti tunnistaa ja tämän jälkeen voidaan myöntää lupa yhteyden muodostamiseen. Mikäli kanava ei ole suojattu, kutsuttava päätelaite voi kieltäytyä muodostamasta yhteyttä. Mikäli kutsuva päätelaite saa vastesanoman ilman riittävää salausta, tulisi sen katkaista yhteys H.245-ohjauskanavan salaus H.235 ei määrittele mitään tiettyä salauskäytäntöä H.245- merkinantokanavan suojaukseen, vaan päätelaitteet voivat keskenään sopia yhteyttä luotaessa, mitä salausta käytetään. Mikäli yhteyttä luotaessa on sovittu salauksesta, suorittavat osapuolet H.245 kättelyn ja autentikoinnin, jonka jälkeen looginen kanava avataan. Kun H.245-kanava on salattu, terminaalit käyttävät H.245-protokollaa samalla tavalla kuin salaamattomassakin tilassa. Jos erillisestä salauksesta ei ole sovittu, toimii H.245 salaamattomassa tilassa. Tällöin osapuolet voivat kuitenkin avata suojatun loogisen kanavan, jonka kautta suoritetaan autentikointi. Salattu looginen kanava voidaan toteuttaa esim. TLS-protokollan tai IPsec:in avulla. 5
6 Tero Purra Loogisia H.245-mediakanavia voi olla useita samaan aikaan käytössä, koska päätelaitteet, monipisteohjausyksiköt, portinvartijat ja yhdyskäytävät kykenevät käyttämään useita samanaikaisia puheluita. Kukin näistä loogisista mediakanavista voidaan salata erikseen riippumatta muiden kanavien salauksesta. Loogista mediakanavaa avattaessa lähettävä osapuoli päättää, mitä salausta kanavassa käytetään. Mikäli H.245 toimii isäntä ja renki periaatteella, päättää renki kanavan salauksesta, mutta isäntä muodostaa tarvittavat salausavaimet. Salauksen tyyppi määrätään kentässä OpenLogicalChannelDataType ja salauksessa käytettävät avaimet vaihdetaan kentässä OpenLogicalChannel tai kentässä OpenLogicalChannelAck riippuen isäntä / renki suhteesta. Mikäli vastaanottaja ei hyväksy loogisen mediakanavan avausta tai ei tue haluttua salausta, se hylkää kanavan avauksen sanomalla OpenLogicalChannelReject tai sanomalla DataTypeNotSupported Luotetut elementit Muodostettaessa puheyhteyttä verkon läpi täytyy kaikkien yhteydellä olevien laitteiden osallistua tietoturvan toteuttamiseen, jotta muodostuvaa yhteyttä voitaisiin pitää turvallisena. Tästä syystä H.235 määrittelee, että laitetta, jonka kanssa muodostetaan suojattu H.245-yhteys voidaan pitää luotettavana elementtinä (Trusted Element). Luotettava elementti voi olla esim. MCU tai yhdyskäytävä. Luotua yhteyttä voidaan pitää turvallisena vain, jos kaikki osallistuvat luotetut elementit on autentikoitu ja jos yhteydet luotettujen elementtien välillä ovat suojattuja ulkopuolisia tunkeutujia vastaan Monipisteyhteyksien salaus Muodostettaessa monipisteyhteyksiä tapahtuu salaus periaatteessa samalla tavalla kuin päästä-päähän yhteyksilläkin. Päätelaite muodostaa salatun yhteyden monipisteohjaajan (MCU) kanssa, joka on luotettava. MCU päättää käytettävästä salauksesta ja toimii aina yhteyden isäntänä. Päätelaite voi pyytää autentikointitietoja muista osallistujista MCU:n kautta, mutta ei voi suorittaa suoraa salattua autentikointia käyttäen H.245-kanavaa Puheyhteyden salaus VoIP:in käyttäjän kannalta on tärkeää, että hän voi luottaa puhelinsalaisuuden säilymiseen. Siirrettävän mediavirran salaus hoidetaan H.245-kanavaa apuna käyttäen, jonka kautta välitetään käytettävät salausalgoritmit ja käytetyt salausavaimet. Avaimia voidaan vaihtaa koska tahansa lähetyksen aikana Yhteydenmuodostus IPsec:in avulla Seuraavassa on kuvattu, miten muodostetaan yksinkertainen päästä-päähän - yhteys hyödyntämällä Ipsec:iä mahdollisimman hyvin. Kuva 2. 6
7 Tietoturva 1. Kutsuva päätelaite A ja portinvartija sopivat IPsec:in käytöstä RASprotokollan suojaamiseksi. Ennen kuin RAS-kanava avataan, muodostetaan salattu yhteys päätelaitteen ja portinvartian välillä käyttäen IPsec:iä. 2. RAS-kanava avataan IPsec:in päälle, jossa se voi toimia samaan tapaan kuin salaamattomanakin. RAS-sanomien avulla portinvartija kertoo kutsuttavan päätelaitteen B osoitteen ja portin numeron. 3. Tämän jälkeen A yrittää avata IPsec-yhteyden B:hen. Välille avataan salattu yhteys. 4. Q.931-merkinantokanava avataan salatun yhteyden päälle ja yhteyden muodostus voi alkaa. A ja B sopivat, että välille avataan H.245- ohjauskanava, joka suojataan myös IPsec:in avulla. 5. A avaa B:hen päin uuden salatun IPsec-yhteyden. 6. H.245-ohjauskanava avataan salatulle yhteydelle. H.245:n avulla suoritetaan käyttäjien autentikointi ja sovitaan audiokanavan parametreistä. Kanavaa pitkin vaihdetaan RTP-protokollan salaukseen tarvittavat salausavaimet. On suositeltavaa että IPsec:iä ei käytetä RTPprotokollan salaukseen. Portinvartija Päätelaite A Päätelaite B Kuva 2: IPsec:in käyttö yhteydenmuodostuksessa Suojattu IPsec-yhteys RAS-merkinantokanava Q.931-merkinantokanava H.245-ohjauskanava On suositeltavaa, että H.245-kanavan suojaukseen käytetään IPsec:iä, kuin että H.245 salattaisiin jollakin muulla algoritmillä. Tämä siksi, että salattu H.245 kanava ei luultavasti läpäise matkalla olevia proxy-palvelimia tai NAT-palomuureja, ilman että nämä joutuisivat purkamaan salauksen, muokkaamaan H.245 sanomaa ja uudelleen salaamaan sen. IPsec:iä 7
8 Tero Purra käytettäessä voidaan H.245 kanava jättää salaamatta, jolloin sen muokkaaminen on helpompaa ja nopeampaa. 1.5 SIP:in tietoturvaominaisuudet Toisin kuin H.323, määrittelee SIP [7] tarkemmin, miten tietoturvakysymykset tulisi ottaa huomioon yhteydenmuodostuksessa. SIP tukee kolmea vaihtoehtoista salaustekniikkaa, joiden avulla varmistetaan yhteyden turvallisuus. 1. Päästä-päähän (end-to-end) -salaus, jossa salataan sanoman sisältö ja muutama otsikkokenttä. 2. Solmusta-solmuun (hop-by-hop) -salaus, joka estää ulkopuolisen saamasta selville, kuka soittaa ja kenelle. 3. Solmusta-solmuun -salaus, joka estää Via-kentän tutkimisen, jolloin kuljettu reitti pysyy salassa Päästä-päähän -salaus Päästä-päähän salaus perustuu julkisen avaimen salaustekniikkaan. Sanomat salataan vastapuolen julkisella avaimella, jolloin vain vastaanottaja pystyy lukemaan lähetetyn sanoman. Kaikkien SIP-ratkaisujen tulisi tukea PGPpohjaista salausta. Kaikkia SIP-kyselyjä ja vasteita ei voida salata päästä-päähän metodilla, koska otsikkokentistä sellaisten kun To ja Via pitää olla näkyvissä välityspalvelimille, jotta nämä osaisivat reitittää sanomat oikein. Taulukossa 1 on kuvattu ne kentät, joita ei voida salata päästä-päähän menetelmällä. Muut kentät voidaan salata ja jotkut kentistä suositellaan aina salattaviksi. Ohessa on esimerkki päästä-päähän salatusta SIP kyselystä. Kysely on salattu käyttämällä PGP-versiota 5.0. Salattu osuus on reunustettu tähdillä ja $ merkitsevät rivinvaihtoa. INVITE sip:watson@boston.bell-telephone.com SIP/2.0$ Via: SIP/2.0/UDP $ To: T. A. Watson <sip:watson@bell-telephone.com>$ From: A. Bell <sip:a.g.bell@bell-telephone.com>$ Encryption: PGP version=5.0$ Content-Length: 224$ Call-ID: @worcester.bell-telephone.com$ CSeq: 488$ $ ******************************************************* * Subject: Mr. Watson, come here.$ * * Content-Type: application/sdp$ * * $ * * v=0$ * * o=bell IN IP $ * * c=in IP $ * * m=audio 3456 RTP/AVP $ * ******************************************************* 8
9 Tietoturva Taulukko 1: SIP:in otsikkokentät where enc. e-e ACK BYE CAN INV OPT REG Accept R e o o o Accept 415 e o o o Accept-Encoding R e o o o Accept-Encoding 415 e o o o Accept-Language R e - o o o o o Accept-Language 415 e - o o o o o Allow 200 e m - Allow 405 e o o o o o o Authorization R e o o o o o o Call-ID gc n e m m m m m m Contact R e o - - o o o Contact 1xx e o o - Contact 2xx e o o o Contact 3xx e - o - o o o Contact 485 e - o - o o o Content-Encoding e e o - - o o o Content-Length e e o - - o o o Content-Type e e * - - * * * CSeq gc n e m m m m m m Date g e o o o o o o Encryption g n e o o o o o o Expires g e o - o From gc n e m m m m m m Hide R n h o o o o o o Max-Forwards R n e o o o o o o Organization g c h o o o Proxy-Authenticate 407 n h o o o o o o Proxy-Authorization R n h o o o o o o Proxy-Require R n h o o o o o o Priority R c e o - - Require R e o o o o o o Retry-After R c e o Retry-After 404,480,486 c e o o o o o o 503 c e o o o o o o 600,603 c e o o o o o o Response-Key R c e - o o o o o Record-Route R h o o o o o o Record-Route 2xx h o o o o o o Route R h o o o o o o Server r c e o o o o o o Subject R c e o - - Timestamp g e o o o o o o To gc(1) n e m m m m m m Unsupported 420 e o o o o o o User-Agent g c e o o o o o o Via gc(2) n e m m m m m m Warning r e o o o o o o WWW-Authenticate 401 c e o o o o o o where kertoo kyselyn tai vasteen tyypin. enc. kertoo, voiko kyseisen kentän salata päästä-päähän yhteydellä, "n" = ei voi salata, "c"=pitäisi salata. 9
10 Tero Purra Solmusta-solmuun -salaus Solmusta-solmuun salaus salaa koko SIP-kyselyn tai vasteen seuraavalla solmuvälillä, eli kahden välityspalvelimen välillä, jolloin salakuuntelijat eivät pysty saamaan selville, kuka soitti ja kenelle. Solmusta-solmuun menetelmällä voidaan myös salata ne paketit, jotka on jo salattu päästäpäähän menetelmällä. Välityspalvelimet kuitenkin edelleen näkevät soittajien tiedot. SIP-standardi ei määrittele, mitä salausmenetelmää tulisi käyttää, mutta se ehdottaa käytettäväksi joko IPsec:iä tai TLS:ää. Solmusta-solmuun salauksen toteuttaminen jää viime kädessä palveluntarjoajan harteille Via-kentän salaus SIP:in Via-kenttää käytetään vasteiden takaisinreititykseen, jolloin vaste kulkee täsmälleen samaa reittiä kuin kyselykin. Näin pyritään estämään vasteen joutumista silmukkaan. Via-kentän sisältämä tieto tarjoaa kuitenkin hyödyllistä tietoa mahdollisille tunkeutujille. Siksi on mahdollista piilottaa Via-kenttä Hide-pyynnön avulla. Salauspyynnön asettaa yleensä käyttäjän päätelaite. Hide-pyyntöjä on kaksi erilaista. Hide : hop -pyynnöllä järjestyksessä seuraava välityspalvelin salaa Via-kentän, mutta poistaa pyynnön lähettäessään sanoman eteenpäin. Hide : route -pyynnöllä kaikki reitin välityspalvelimet salaavat Via-kentän. Vain se välityspalvelin, joka on salannut Via kentän, voi purkaa salauksen. Tämä tapahtuu sanoman palatessa samaa reittiä takaisin. Näin sanomien kulkureitit jäävät vain yksittäisten välityspalvelimien tietoon Autentikointi Autentikointi voidaan suorittaa SIP:ssä usealla eri tavalla. SIP tarjoaa käytettäväksi PGP:tä ja HTTP WWW-autentikointia. Näiden lisäksi voidaan käyttää mitä tahansa muutakin autentikointiin sopivaa protokollaa. SIP-sanoman autentikointiin käytetään sanoman Authorization-kenttää, johon liitetään otsikkokenttien ja hyötykuorman, joita ei muuteta matkalla, digitaalinen allekirjoitus. Samassa kentässä kulkee myös eri osapuolien ja välityspalvelimien autentikointitiedot. Tämän lisäksi voidaan käyttää IPsec:iä solmujen väliseen autentikointiin. SIP:ssä on myös kuvattu, miten välityspalvelimen autentikointi pitäisi suorittaa Muita SIP:in tietoturvaominaisuuksia SIP sisältää myös lukuisia muita pienempiä suosituksia, joiden avulla tietoturvaa voidaan lisätä. Pääteleitteiden pitää olla erityisen varovaisia uudelleenohjaussanomien (3xx) kanssa. Mahdollinen häirikkö voi yrittää lähettää valesiirtosanoman, jonka avulla hän yrittää ohjata puhelut väärään paikkaan. Uudelleenohjaussanomiin, joita ei ole autentikoitu, vaikka autenkointi olisi 10
11 Tietoturva käytössä, tulee suhtautua erityisen epäluuloisesti. Siksi uudelleenohjaussanomat pitäisi aina varustaa autentikointitiedoilla, jotta välityspalvelin voi varmistua sanoman aitoudesta. Myös joidenkin muidenkin sanomatyyppien kanssa voi esiintyä vastaavan tyylisiä ongelmia. Joissakin tapauksissa käyttäjä ei halua paljastaa esim. sijaintiaan. Ratkaisuksi esitetään käyttäjäkohtaisia asetuksia, joista ilmenee, mitä tietoja käyttäjästä saa kertoa. SIP listaa myös tietoturvaan liittyviä ongelmia. Nämä ongelmat liittyvät lähinnä välityspalvelimen virheelliseen toimintaan Esimerkki salatun puhelun muodostamisesta Oheisessa kuvassa (kuva 3) on esitetty salattu yhteydenmuodostus päätelaitteiden A ja B välille. 1. Päätelaite A lähettää kutsupyynnön B:lle, joka menee välityspalvelimelle. Yhteys on solmusta-solmuun -salattu. 2. Palvelin selvittää B:n osoitteen paikannuspalvelimelta. Yhteys on solmusta-solmuun -salattu. 3. Välityspalvelin ohjaa kutsun B:lle, jolloin B alkaa soida. Yhteys on solmusta-solmuun -salattu. 4. B purkaa A:n lähettämän, salatun kutsupyynnön. Näin A:n ja B:n välille on muodostunut päästä-päähän -salattu yhteys. Paikannuspalvelin Päätelaite B Välityspalvelin Päätelaite A Solmusta-solmuun -salaus Päästä-päähän -salaus Kuva 3: Salattu SIP-yhteydenmuodostus 11
12 Tero Purra 1.6 Yhdyskäytävän tietoturva Yhdyskäytävä mahdollistaa VoIP-puhelut eri verkkojen välillä. Yhdyskäytävien kautta häiriköt voivat yrittää muodostaa luvattomia puheluita, häiritä ja salakuunnella käynnissä olevia puheluita. Yhdyskäytävän tietoturvaa on määritelty IETF:n ja ITU-T:n yhteisessä H.248-protokollassa, [8] [9] jonka virallisen version pitäisi ilmestyä keväällä Koska H.248 on vasta tekeillä, ei siihen liittyvistä tietoturvaratkaisuista ole vielä täysin lopullista tietoa. H.248 määrittää käytettäväksi IPsec:iä, kun liikenne tapahtuu IP-verkon päällä. Autentikointi ja tiedon eheyden varmentamiseen käytetään IPsec:in AH-otsikkoa. Mediayhdyskäytäväohjaimen ja mediayhdyskäytävän (MGC-MG) välinen liikenne voidaan salata erikseen, jolloin mediayhdyskäytäväohjain jakaa mediayhdyskäytäville yhteyskohtaisia salausavaimia. Näin voidaan estää puheluiden salakuuntelu. 1.7 Lähdeluettelo [1] RFC 2401, "Security Architecture for the Internet Protocol", S. Kent, R. Atkinson, November 1998 [2] The International PGP Home Page < > [3] RFC 2246, The TLS Protocol Versio 1.0, T. Dierks, C. Allen, January 1999 [4] ITU-T Recommendation H.323 (1998): Packet Based Multimedia Communication Systems [5] ITU-T Recommendation H.235 (1998): "Security and Encryption for H Series (H.323 and other H.245 based) multimedia terminals. [6] [DH76]W. Diffie and M.E. Hellman. New directions in cryptography. IEEE Transactions on Information Theory, IT-22: , [7] RFC 2543, " SIP: Session Initiation Protocol", M. Handley, H. Schulzrinne, E. Schooler, J. Rosenberg, March [8] IETF Internet Draft: Megaco Protocol 07, < > [9] ITU-T Recommendation H.248 White draft (2000): Series H: Audiovisual and multimedia systems, Gateway Control Protocol 12
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP
LisätiedotTietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)
Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat
LisätiedotSIP Session Initation Protocol. Sisällysluettelo
SIP Session Initation Protocol Sisällysluettelo 1. SIP Session Initiation protocol... 2 1.1 Arkkitehtuuri... 2 1.1.1 Käyttäjäsovelluspalvelin... 2 1.1.2 Välityspalvelin... 3 1.1.3 Uudelleenohjauspalvelin...
LisätiedotKuljetus/Sovelluskerroksen tietoturvaratkaisut
Kuljetus/Sovelluskerroksen tietoturvaratkaisut 1 Tämän luennon aiheet Transport Layer Security (TLS) Secure Shell (SSH) 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille Toimi
LisätiedotTämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti
Tämän luennon aiheet Kuljetus/Sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) Secure Shell (SSH) 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille Toimi
LisätiedotUutuudet. Tosiaikapalvelut Liikkuvuus. Sanna Liimatainen T Tietokoneverkot
Uutuudet Tosiaikapalvelut Liikkuvuus 1 Tällä kerralla esitellään Voice over IP Palvelunlaatu Mobile IP Ad Hoc -verkot 2 Äänen ja videon siirto Ääni muutetaan digitaaliseen muotoon Säännöllisin väliajoin
LisätiedotYritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus
LisätiedotPikaviestinnän tietoturva
Ongelmat, vaihtoehdot ja ratkaisut 4.5.2009 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta http://olli.jarva.fi/kandidaatintyo_ pikaviestinnan_tietoturva.pdf Mitä? Mitä?
LisätiedotELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.
ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne. Pasi Sarolahti (osa kalvoista: Sanna Suoranta) 14.3.2017 Projekti Lähetä tilanneraportti MyCoursesiin perjantaihin 17.3. mennessä Sisältää Nykytilan
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotInternet Protocol version 6. IPv6
Internet Protocol version 6 IPv6 IPv6 Osoiteavaruus 32-bittisestä 128-bittiseksi Otsikkokentässä vähemmän kenttiä Lisäominaisuuksien määritteleminen mahdollista Pakettien salaus ja autentikointi mahdollista
LisätiedotTällä kerralla esitellään. Uutuudet. Reaaliaikainen tiedonsiirto. Äänen ja videon siirto. Session Initiation Protocol (SIP) IP-puhelin
Tällä kerralla esitellään Uutuudet Tosiaikapalvelut Liikkuvuus Voice over IP Palvelunlaatu Mobile IP Ad Hoc -verkot Äänen ja videon siirto Ääni muutetaan digitaaliseen muotoon Säännöllisin väliajoin otetut
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) 1 Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros TLS Internet Sovelluskerros
LisätiedotT-79.4501 Cryptography and Data Security
T-79.4501 Cryptography and Data Security Lecture 11 Bluetooth Security Bluetooth turvallisuus Uhkakuvat Bluetooth turvallisuuden tavoitteet Linkkitason turvamekanismit Pairing menettely Autentikointi ja
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP
LisätiedotKymenlaakson Kyläportaali
Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta
LisätiedotSALAUSMENETELMÄT. Osa 2. Etätehtävät
SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys
LisätiedotIPsec-SA:n perustaminen. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. Luottamuksenhallinta. Arkkitehtuuri Internetin turvallisuudelle
IPsec-SA:n perustaminen IKE Kuljetus/Sovelluskerroksen tietoturvaratkaisut HDR* SA N i [KE i ] [TS i TS r ] IKE SA olemassa HDR* SA N r [KE r ] [TS i TS r ] Transport Layer Security (TLS) ja Secure Shell
LisätiedotKuljetus/Sovelluskerroksen tietoturvaratkaisut
Kuljetus/Sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) 1 IKE IPsec-SA:n perustaminen HDR* SA N i [KE i ] [TS i TS r ] IKE SA olemassa HDR* SA N r [KE r ] [TS
LisätiedotLasse Mäki. Sisällysluettelo
Sisällysluettelo 1. Yhdyskäytävä... 2 1.1 Johdanto... 2 1.2 H.248... 2 1.3 Yhteysmalli... 2 1.4 Kuvaajat... 3 1.5 Käskyt... 4 1.6 Transaktiot... 5 1.7 Kuljetus... 6 1.8 Turvallisuusnäkökulmat... 6 1.9
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) 1 Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros TLS Internet Sovelluskerros
LisätiedotCase VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori
Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori Agenda Sähköpostin turvallisuus Yleiset käyttötapaukset VYVI Turvaposti
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) 1 Sovelluskerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros TLS Internet Sovelluskerros
LisätiedotLangattomat lähiverkot. Matti Puska
Langattomat lähiverkot 1 FWL 2 FWL Salaus Radioaaltojen etenemistä ei voida rajoittaa vain halutulle alueelle. Liikenteen salauksen tavoitteena on turvata radiotiellä siirrettävien sanomien ja datan yksityisyys
LisätiedotPalomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri
Palomuuri Teoriaa Palomuurin tehtävä on estää ei-toivottua liikennettä paikalliseen verkkoon tai verkosta. Yleensä tämä tarkoittaa, että estetään liikennettä Internetistä paikallisverkkoon tai kotikoneelle.
LisätiedotTietoturva 811168P 5 op
811168P 5 op 6. Oulun yliopisto Tietojenkäsittelytieteiden laitos Mitä se on? on viestin alkuperän luotettavaa todentamista; ja eheyden tarkastamista. Viestin eheydellä tarkoitetaan sitä, että se ei ole
LisätiedotSalaustekniikat. Kirja sivut: ( )
Salaustekniikat Kirja sivut: 580-582 (647-668) Johdanto Salaus on perinteisesti ollut salakirjoitusta, viestin luottamuksellisuuden suojaamista koodaamalla viesti tavalla, jonka vain vastaanottaja(t) pystyy
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset
LisätiedotSalausmenetelmät (ei käsitellä tällä kurssilla)
6. Internetin turvattomuus ja palomuuri Internetin turvaongelmia Tietojen keruu turva-aukkojen löytämiseksi ja koneen valtaaminen Internetissä kulkevan tiedon tutkiminen IP-osoitteen väärentäminen Palvelunestohyökkäykset
LisätiedotTietoturvan peruskurssi
n peruskurssi 811173P 4 op / 3 ov 8. Oulun yliopisto Tietojenkäsittelytieteiden laitos Tavoitteet tutustua Kerberos autentikointijärjestelmään hahmottaa tietoturvan ominaispiirteet verkon eri kerroksissa
LisätiedotMaestro Sähköpostilähetys
Maestro Sähköpostilähetys Maestrossa on toiminut sähköpostin lähetysmahdollisuus käyttäen SMTP-protokollaa. Tällöin sähköposti lähtee suoraan Maestrosta eikä käytä käyttäjän sähköpostitiliä. Elisan asiakkaiden
LisätiedotLyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto
Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun
LisätiedotH.323 protokolla. Sisällysluettelo
H.323 protokolla Sisällysluettelo 1. H.323 protokolla... 2 1.1 H.323 verkon rakenne... 2 1.2 H.323 tiedonsiirto... 3 1.3 Päätelaite... 3 1.3.1 Videokanava... 4 1.3.2 Audiokanava... 5 1.3.3 Datakanava...
Lisätiedotmyynti-insinööri Miikka Lintusaari Instrumentointi Oy
TERVEYDENHUOLLON 25. ATK-PÄIVÄT Kuopio, Hotelli Scandic 31.5-1.6.1999 myynti-insinööri Miikka Lintusaari Instrumentointi Oy Uudet tietoturvaratkaisut SUOMEN KUNTALIITTO Sairaalapalvelut Uudet tietoturvaratkaisut
LisätiedotTurvallisuus verkkokerroksella
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotTurvallisuus verkkokerroksella
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotAH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotS-38.118 Teletekniikan perusteet
S-38.118 Teletekniikan perusteet Laskuharjoitus 3 Paketoinnin hyötysuhde 1 Harjoitus 3 koostuu: Demoluento (45 min) Datan siirtäminen Internetissä yleensä Laskuesimerkki datan siirtämisestä Äänen siirtäminen
LisätiedotTikon Ostolaskujenkäsittely versio 6.1.2 SP1
Toukokuu 2012 1 (14) Tikon Ostolaskujenkäsittely versio 6.1.2 SP1 Asennusohje Toukokuu 2012 2 (14) Sisällysluettelo 1. Vaatimukset palvelimelle... 3 1.1..NET Framework 4.0... 3 1.2. Palvelimen Internet
LisätiedotLyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto
Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi
LisätiedotOngelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?
Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? 2012-2013 Lasse Lensu 2 Ongelma 2: Miten tietoa voidaan (uudelleen)koodata tehokkaasti? 2012-2013 Lasse Lensu
Lisätiedot3. Kuljetuskerros 3.1. Kuljetuspalvelu
End- to- end 3. Kuljetuskerros 3.1. Kuljetuspalvelu prosessilta prosessille looginen yhteys portti verkkokerros koneelta koneelle IP-osoite peittää verkkokerroksen puutteet jos verkkopalvelu ei ole riittävän
LisätiedotWL54AP2. Langattoman verkon laajennusohje WDS
WL54AP2 Langattoman verkon laajennusohje WDS Näitä ohjeita seuraamalla saadaan langaton lähiverkko laajennettua yksinkertaisesti kahden tai useamman tukiaseman verkoksi. Tukiasemien välinen liikenne(wds)
LisätiedotOSI ja Protokollapino
TCP/IP OSI ja Protokollapino OSI: Open Systems Interconnection OSI Malli TCP/IP hierarkia Protokollat 7 Sovelluskerros 6 Esitystapakerros Sovellus 5 Istuntokerros 4 Kuljetuskerros 3 Verkkokerros Linkkikerros
LisätiedotDPI (DEEP PACKET INSPECTION) By Sami Lehtinen
DPI (DEEP PACKET INSPECTION) By Sami Lehtinen ESITYKSEN SISÄLTÖ DPI:n määritelmä käyttökohteet tietoturva ja riskit kuinka suojautua DPI:ltä tulevaisuuden näkymät DPI Deep Packet Inspection (kutsutaan
LisätiedotKryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot
Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,
LisätiedotEnigmail-opas. Asennus. Avainten hallinta. Avainparin luominen
Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen
LisätiedotICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
Lisätiedot3. IP-kerroksen muita protokollia ja
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
LisätiedotTietoturvan perusteita
Tietoturvan perusteita 14.4.2003 Sauli Takkinen Informaatioteknologian tiedekunta 1 Tietoturvaan mahdollisesti kohdistuvat hyökkäystyypit Eavesdropping Data Modification Identity Spoofing Password-Based
LisätiedotTietoturvatekniikka Ursula Holmström
Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus
LisätiedotMulticast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta
Multicast Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta 1 Johdanto Tietoverkoissa voidaan lähettää kolmella eri tavalla Unicast
LisätiedotMulticast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta
Multicast Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta 1 Johdanto Tietoverkoissa voidaan lähettää kolmella eri tavalla Unicast
LisätiedotSalaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010
Salaustekniikat Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Luennon sisältö 1. Tietoturvan tavoitteet 2. Kryptografia 3. Salattu webbiyhteys 2 Tietoturvan tavoitteet Tietoturvatavoitteita:
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotT-110.4100 Tietokoneverkot kertaus
kertaus 1 Infrastruktuuripalvelut: DNS, SNMP Tietoturvaratkaisu TLS Sovelluskerros Käyttäjän sovellukset: sähköposti (SMTP, IMAP) WWW (HTTP) FTP, SSH, Socket-rajapinta ohjelmoinnille IP, osoitteet, reititys
LisätiedotOption GlobeSurfer III pikakäyttöopas
Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen
LisätiedotLisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju
Tietokoneverkot 2009 (4 op) jaakko.kangasharju@futurice.com Futurice Oy Syksy 2009 (Futurice Oy) Syksy 2009 1 / 39 Sisältö 1 2 (Futurice Oy) Syksy 2009 2 / 39 Sisältö 1 2 (Futurice Oy) Syksy 2009 3 / 39
LisätiedotLisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju
Tietokoneverkot 2008 (4 op) jkangash@cc.hut.fi Teknillinen korkeakoulu Syksy 2008 (TKK) Syksy 2008 1 / 39 Sisältö 1 2 (TKK) Syksy 2008 2 / 39 Sisältö 1 2 (TKK) Syksy 2008 3 / 39 iksi monilähetys? : saman
LisätiedotPuhelun muodostuminen IP-ISDN rajapinnassa
Teknillinen Korkeakoulu S-38.128 Teletekniikan erikoistyö Puhelun muodostuminen IP-ISDN rajapinnassa Tekijä: Ohjaaja: jonas.malmstrom@hut.fi Vesa Kosonen 23.03.1999 Teknillinen Korkeakoulu Sivu 2 Tiivistelmä
LisätiedotSalakirjoitusmenetelmiä
Salakirjoitusmenetelmiä LUKUTEORIA JA LOGIIKKA, MAA 11 Salakirjoitusten historia on tuhansia vuosia pitkä. On ollut tarve lähettää viestejä, joiden sisältö ei asianomaisen mielestä saanut tulla ulkopuolisten
LisätiedotLangattomien verkkojen tietosuojapalvelut
Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus
LisätiedotTikon Ostolaskujenkäsittely versio 6.2.0
Lokakuu 2012 1 (20) Tikon Ostolaskujenkäsittely versio 6.2.0 Asennusohje Lokakuu 2012 2 (20) Lokakuu 2012 3 (20) Sisällysluettelo 1. Vaatimukset palvelimelle... 4 1.1..NET Framework 4.0... 4 1.2. Palvelimen
LisätiedotSSH Secure Shell & SSH File Transfer
SSH Secure Shell & SSH File Transfer TIETOHALLINTO Janne Suvanto 1.9 2002 Sisällysluettelo Sisällysluettelo... 1 Yleistä... 2 SSH Secure Shell ohjelman asetukset... 3 POP3 tunnelin asetukset... 6 Yhteyden
LisätiedotPäätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski
Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski 23.5.2018 Sisältö Päätelaitteen rooli Uhkakuvat Varautumiskeinot Yhteenveto 2 Päätelaitteiden turvallinen käyttö sairaalaympäristössä
LisätiedotLuottamuksellinen sähköposti Lapin yliopistossa. Ilmoitusviesti
Luottamuksellinen sähköposti Lapin yliopistossa Lapin yliopisto käyttää Deltagon Sec@GW -ohjelmistoa sähköpostin luottamuksellisuuden suojaamiseen. D-Envelope sovelluksen avulla viestien vastaanottaminen
LisätiedotSalatun sähköpostipalvelun käyttöohje
Salatun sähköpostipalvelun käyttöohje Lappeenrannan teknillinen yliopisto tarjoaa henkilökunnalle käyttöön salatun sähköpostipalvelun. Salattu sähköposti on tarkoitettu käytettäväksi tilanteissa, joissa
LisätiedotS 38.1105 Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory
S 38.1105 Tietoliikennetekniikan perusteet Pakettikytkentäiset verkot Kertausta: Verkkojen OSI kerrosmalli Sovelluskerros Esitystapakerros Istuntokerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen
LisätiedotInternet ja tietoverkot 2015 Harjoitus 7: Kertaus
Internet ja tietoverkot 2015 Harjoitus 7: Kertaus Tämän harjoituksen tarkoituksena on hieman kerrata TCP/IP-kerrosmallin sovelluskerroksen, kuljetuskerroksen, internet-kerroksen ja siirtoyhteyskerroksen
LisätiedotJohdanto. Multicast. Unicast. Broadcast. Protokollat. Multicast
Multicast Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta MBone Johdanto Tietoverkoissa voidaan lähettää kolmella eri tavalla + Unicast
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2013 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotLiikkuvien isäntäkoneiden reititys
Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä
LisätiedotIP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?
Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä
LisätiedotTW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS
TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS Esimerkki 1: L2TP- yhteys kahden TW- EAV510/TW- EAV510AC laitteen välille Esimerkki 2: L2TP- yhteys TW- EAV510/TW- EAV510 AC ja Windows 8/8.1 koneen välillä Esimerkki
LisätiedotTietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone
ja ylläpito computer = laskija koostuu osista tulostuslaite näyttö, tulostin syöttölaite hiiri, näppäimistö tallennuslaite levy (keskusyksikössä) Keskusyksikkö suoritin prosessori emolevy muisti levy Suoritin
LisätiedotRetiisi Reaaliaikaiset Internet- palvelut ja SIP
Retiisi Reaaliaikaiset Internet- palvelut ja SIP Palomuurit ja NAT SIP- palvelun rakentamisessa Kirjoittajat: Mika Mustikkamäki TYT/Wirlab Kuvaus: Palomuurien ja NAT:in toiminta SIP-palvelua rakennettaessa,
LisätiedotTekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet
Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet 15.11.2012 Sisällysluettelo 1 Johdanto... 3 1.2 Interaktiivinen FTP-yhteystapa... 3 1.3 Linkki aineistosiirtopalveluun liittyvät dokumentit...
LisätiedotPARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus
1 (7) PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 18.04.2005 2 (7) Sisällysluettelo 1 REITTi -varmmennuspalvelun palvelukuvaus... 3 1.1 REITTi -varmennuspalvelu... 3 2 Tekninen toteutus... 4
LisätiedotIHTE-1900 Seittiviestintä
IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.
LisätiedotIHTE-1900 Seittiviestintä
IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.
LisätiedotLiikkuvuudenhallinta Mobile IP versio 6 - protokollalla
Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla Mikko Merger Valvoja: Professori Jorma Jormakka Ohjaaja: TkL Markus Peuhkuri TKK/Tietoverkkolaboratorio 1 Sisällysluettelo Tavoitteet IEEE 802.11
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus
LisätiedotTurvallinen etäkäyttö Aaltoyliopistossa
Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016
LisätiedotMulticast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta MBone
Multicast Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta MBone Petri Vuorimaa 1 Johdanto Tietoverkoissa voidaan lähettää kolmella
LisätiedotJärjestelmäarkkitehtuuri (TK081702)
Järjestelmäarkkitehtuuri (TK081702) yleistyvät verkkopalveluissa Youtube Google... Avaavat pääsyn verkkopalvelun sisältöön. Rajapintojen tarjoamia tietolähteitä yhdistelemällä luodaan uusia palveluja,
LisätiedotTietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin
Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin Tampereen teknillinen yliopisto 28.1.2010 Jouni Vuorensivu Remion Ltd. www.remion.com jouni.vuorensivu@remion.com Jouni Vuorensivu
LisätiedotSiltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/2003 79. Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja
Siltojen haitat sillat puskuroivat ja aiheuttavat viivettä ei vuonsäätelyä => sillan kapasiteetti voi ylittyä kehysrakenteen muuttaminen => virheitä jää havaitsematta Yleisesti edut selvästi suuremmat
LisätiedotLiikkuvien isäntäkoneiden reititys
5. Mobile IP (RFC 3220) IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi
Lisätiedot5. Mobile IP (RFC 3220)
5. Mobile IP (RFC 3220) IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi
Lisätiedot1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2
Palvelukuvaus 1 Sisällysluettelo 1 YLEISKUVAUS... 2 1.1 Verkkoturvapalvelu... 2 1.1.1 Verkkoturvapalvelun edut... 2 1.2 Palvelun perusominaisuudet... 2 1.2.1 Suodatettava liikenne... 3 1.3 Palvelun rajoitukset...
LisätiedotTiedonsiirto- ja rajapintastandardit
Tiedonsiirto- ja rajapintastandardit Viitekehys Julkishallinnon perustietovarantojen rajapinnat (PERA) työryhmän tulokset valmiit syksyllä 2011 Määrittelee teknisen arkkitehtuuriratkaisun tietovarantojen
LisätiedotTurvaa vihdoin hallitusti sähköpostit, asiakas- ja kumppaniviestintä sekä tietosisällöt
Turvaa vihdoin hallitusti sähköpostit, asiakas- ja kumppaniviestintä sekä tietosisällöt Petri Ala-Annala Senior Principal, CISM, CISA, CISSP-ISSAP Hallittu informaation suojaus PGP-salausalustalla 1 Puolessa
LisätiedotTietoliikenne II (2 ov)
Tietoliikenne II (2 ov) Kevät 2001 Liisa Marttinen Kurssikirja: Tanenbaum, Computer Networks (3. Painos) Tietoliikenne II Kertausta ja täydennystä Tietoliikenne I - kurssin asioihin perusteellisemmin laajemmin
LisätiedotNELLI-Tunnis. Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa. Versio 1.0. 16.5.2006 Ere Maijala Kansalliskirjasto
NELLI-Tunnis Käyttäjän tunnistus NELLI-tiedonhakuportaalissa yleisissä kirjastoissa Versio 1.0 16.5.2006 Ere Maijala Kansalliskirjasto Sisällysluettelo Johdanto...3 Tekniikka...3 Esimerkit...4 XML-Skeema...5
LisätiedotLaitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite
TW-EAV510: PORTTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON Laitteessa tulee olla ohjelmisto 5.00.49 tai uudempi, tarvittaessa päivitä laite OPERAATTORIN IP---OSOITE - Jotta
Lisätiedotreitittimissä => tehokkaampi 2005 Markku Kojo IPv6
4. IPv6-protokolla (RFC 2460) Enemmän osoitteita 16 tavua osoitteelle => osoitteita paljon! Virtaviivaistettu nopeampi käsittely k reitittimissä => tehokkaampi Uusia piirteitä Erilaisten sovellusten tarpeet
LisätiedotTW-EAV510AC-LTE OpenVPN ohjeistus
TW-EAV510AC-LTE OpenVPN ohjeistus OpenVPN Remote Access Android -puhelimen ja TW-EAV510 välille. OpenVPN Remote Access-yhteydellä voidaan luoda VPN-yhteys, jossa liikenne on sallittu toiseen suuntaan eli
LisätiedotSalasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION
Salasanojen hallinta Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION Restaurant Enterprise Solution Asiakirjan tarkoitus Tämä asiakirja kertoo tarvittavat säännöt kuinka hallinnoida RES salasanoja
LisätiedotNÄIN TOIMII. alakirjoituksen historia ulottuu tuhansien
NÄIN TOIMII MTÅRVCC KRYPTA Verkkopankissa asiointi olisi mahdotonta ilman teknisiä salausmenetelmiä. Tietoturvasta huolestunut kotikäyttäjä voi suojata myös tärkeät tiedostonsa tehokkaalla salauksella.
Lisätiedot