Linux-ylläpito, kevät 2014 Verkkoinfrastruktuuri Mikko Rauhala
|
|
- Tuula Hukkanen
- 7 vuotta sitten
- Katselukertoja:
Transkriptio
1 Verkkoinfrastruktuuri Mikko Rauhala
2 Verkkoinfrastruktuuri Verkkolaitteet VLAN IPv4, IPv6 perusasiat Reititys Verkon asetukset DHCP / IPv6-autokonfiguraatio Reititys DNS-nimipalvelut Iptables-palomuurit NAT Turvallisuus: IPSec, OpenVPN Verkkoliikenteen tutkiminen Wireshark, tcpdump NMAP-verkkoskanneri Nagios-valvoja 2
3 Linuxin verkkolaitteet Linuxin verkkolaitteet eivät historian oikusta yllättäen olekaan tiedostoja, toisin kuin useimmat laitteet *nixjärjestelmissä. Laitteet saa listattua esim. komennolla ip link, ja ovat nimeltään yleensä seuraavansuuntaisia: lo Pseudolaite järjestelmän sisäiseen kommunikointiin ethx wlanx wwanx Langalliset ethernet-laitteet numeroituina Langattomat lähiverkkolaitteet numeroituna Mobiililaajakaistalaitteet Historiallisista syistä jotkin ajurit voivat käyttää myös muunlaisia nimiä (esim. athx Atheroksen wlan-laitteille). Lisäksi siltauslaitteet, tunnelit ynnä muut virtuaaliverkot näkyvät omina laitteinaan niitä käytettäessä. Nimeäminen on sovelluskohtaisesti vapaata. 3
4 Persistentit nimet Verkkolaitteet saavat tunnistettaessa ensimmäisen soveltuvan vapaan numeron nimekseen. Nykyään nimet voidaan muistaa käynnistys- ja kytkentäkertojen yli. Tämä voi säästää hämmennykseltä, kun kukin fyysinen verkkolaite esiintyy aina samalla nimellä ja numerolla. Tämä voi myös olla rasittavaa, jos kerran käytetyt verkkolaitteet jäävät varaamaan pieniä numeroita. Varauksia voi Ubuntussa muokata tai poistaa tiedostosta /etc/udev/rules.d/70-persistent-net.rules (myös koko tiedoston voi poistaa, jolloin kaikki unohtuu toistaiseksi). 4
5 VLAN virtuaaliverkot VLAN-tekniikka sallii useamman loogisen lähiverkon pystyttämisen samoilla piuhoilla Paketit merkitään tageilla loogisesti eri VLANeihin Koneet eivät reagoi merkittyihin paketteihin ilman konfiguraatiota Hallittavat kytkimet voi asettaa sallimaan pääsy eri VLANeihin porttikohtaisesti. Yksi VLAN per portti voi toimia merkitsemättömänä, tyypillisesti toimiikin asiakaskoneiden suuntaan. Tämän lisäksi voi portissa olla haluttu määrä merkittyjä VLANeja. Linuxissa VLANit nimetään tyypillisesti lisäämällä verkkolaitteen perään vlanin numero pisteellä erotettuna: eth
6 IPv4-perusteet Vaka vanha IPv4 pyörittää valtaosaa Internetistä jo vuodesta 1980 Yhteydetön pakettikytkentäinen protokolla Ei takeita pakettien perillemenosta tai järjestyksestä Ylemmät tasot saavat hoitaa miten parhaaksi katsovat Ei omaa autokonfiguraatiota (DHCP hoitaa) 32-bittiset osoitteet Esitys yleensä jaoteltuna neljäksi oktetiksi, jotka ilmaistaan desimaalilukuna: , jne. IPv4-verkon voi jakaa mielivaltaisen kokoisiin aliverkkoihin Looginen ja verkkomaskin kanssa kertoo verkko-osoitteen: , maski verkko-osoite Verkkojen ilmaisu CIDR-notaatiolla: lisätään kauttaviiva, ja se määrä bittejä, joka osoitteen alusta viittaa verkkoon /16; osoitteen verkko-osa ensimmäiset 16 bittiä eli , loput osoittavat koneen verkossa 6
7 Erikoiskäyttöön varattuja verkkoja /8 Lähdeosoitteena nykyinen verkko. Ei voi käyttää kohdeosoitteena /8, /12, /16 Yksityisiä verkkoja, ei reititetä julkiseen Internetiin Huom. /12-maski kattaa osoitteet /8 Paikallinen loopback, yl. lähinnä Järjestelmän sisäiseen kommunikointiin /16 Zeroconf-järjestelmän paikallislinkkiosoitteet. Ei reititetä, tarkoitettu suoraan yhteen kytkettyjen laitteiden automaattiverkotukseen /4 Multicast; pakettien lähettäminen useille niitä haluaville koneille yhtäaikaisesti. Hyödyllinen esim. TV-lähetyksissä. 7
8 IPv6 IPv4-osoiteavaruuden ehtyessä motivaatio seuraavan sukupolven Internet-protokollan kehittämiseen kasvoi Kokeellinen Internet Stream Protocol vei otsakkeesta versionumeron 5, epäselvyyksien välttämiseksi siis IPv6 128-bittiset osoitteet Viimeiset 64 bittiä käytännössä paikallisverkko-osoite; verkkoosoitteen ei ole tarkoitus olla yli 64 bittiä. Yleensä ilmaistaan 16-bittisiksi sanoiksi jaettuna heksadesimaalinotaatiolla: 2001:0db8:0000:0000:0000:ff00:0042:8329 Alkunollat eivät tarpeen, ja peräkkäiset nollaryhmät voidaan (kerran per osoite) lyhentää :: : 2001:db8::ff00:42:8329 CIDR-notaatiolla voidaan ilmaista myös IPv6-lohkon koko Sisältää oman tilattoman autokonfiguraation DHCPv6 myös käytettävissä tarkempiin tarpeisiin (ja esim. nimipalvelinosoitteita ei aluksi ilman tuettukaan). 8
9 IPv6-erikoisverkkoja ja -osoitteita ::1/128 Paikallinen osoite fe80::/10 Paikallislinkkiavaruus; ei reititetä, mutta näillä voi kommunikoida muiden samassa fyysisessä verkossa sijaitsevien kanssa. fc00::/7 Paikallisverkkoavaruus; ei reititetä Internetiin. Voidaan reitittää saman paikallishallinnon alaisuudessa olevien verkkojen välillä. ::ffff:0:0/96 IPv4-osoiteavaruuden kuvaus IPv6:een. Soveltuu IPv4-kommunikointiin IPv6-rajapinnoilla (ei IP-tasolla...) ff00::/8 Multicast 9
10 IPv4- ja v6-rinnakkaiselo IPv6-siirtymä kestää pitkään; rinnakkaiselo on tarpeen. Sama kone voikin käyttää molempia verkkoja melko läpinäkyvästi (dual stack). Pelkkää IPv4:ää tukevat sovellukset tarvitsevat muutoksia Molempien tukeminen onnistuu kuitenkin yleensä kohtuuvaivalla. Sovellukset voivat halutessaan suosia toista yhteysmuotoa. On myös useita tekniikoita IPv6-yhteyksien tunnelointiin IPv4-verkon yli, jos natiivia pääsyä ei ole Virallisin on 6to4, mutta kärsii omine linkkitason protokollineen palomuuri- ja NAT-ongelmista. Microsoftin käyttämä Teredo tarjoaa automaattiset yhteydet Windowseille; tarkoitus ajaa alas (alunperin jo tänä vuonna). UDPtunneli, melko NAT-ystävällinen. - Miredo-ohjelmisto toteuttaa tämän *nixeille. Sixxs.net:n käyttämä AIYIA, UDP-pohjainen oma protokollansa. 10
11 Reititys Ilman erillistä reititintä IP-verkossa oleva laite pääsee käsiksi ainoastaan oman aliverkkonsa osoitteisiin. Reitittimenä voi toimia mikä tahansa useampaan IPverkkoon kytketty laite, joka suostuu välittämään paketteja eteenpäin. Ns. oletusreitti (yl. default ) määrittää, mitä kautta paketit oletusarvoisesti lähetetään oman verkon ulkopuolelle. Reitiksi määritellään reitittimen omassa verkossa sijaitseva osoite. Yleensä yksi oletusreitti riittääkin muille kuin reitittimille itselleen. Reittejä voidaan tarvittaessa määritellä tarkemminkin; yksittäisille aliverkoille tai tarvittaessa jopa yksittäisille osoitteille voidaan määritellä omat reittinsä. Yleensä monimutkaisemmat reitityssäännöt on parempi jättää reitittimiin, ja pitää muiden koneiden asetukset yksinkertaisina. 11
12 ARP lähiverkon osoitekyselyt Ethernet-lähiverkkojen paketit välitetään MAC-osoitteiden perusteella. IPv4-osoittetta vastaava MAC-osoite saadaan Address Resolution Protocol -kyselyllä. Kone huutaa verkon broadcast-osoitteeseen kyselyn. Kysytyn osoitteen omistava kone vastaa kyselyyn. Varsinainen liikenne varustetaan sekä MAC- että IP-osoitteella (eri liikennöintitasojen otsakkeissa). ARP-osoitteet säilötään välimuistiin Välimuistin sisällön voi Linuxissa tarkistaa komennolla arp IPv6:ssa ARP:n korvaa Neighbour Discovery, joka toimii multicast-pakettien päällä. Vähentää verkon broadcast-tarvetta; ainoastaan osoitteen perusteella muodostettu osajoukko koneista prosessoi ND-kyselyt Tunnetut IPv6-naapurit voi listata komennolla ip -6 neigh show 12
13 Proxy ARP lähiverkkohuijaus Isommasta verkosta paloitellut lähiverkon palaset voivat teeskennellä olevansa kokonaisia. Esim. laitosverkon koneet luulevat olevansa koko yliopiston laajuisessa lähiverkossa /16 Todellisuudessa laitokselle on allokoitu vain osin erilläänkin olevia palasia ko. verkosta, esim /24 ja /24 Erillisten osaverkkojen koneet voivat näin kommunikoida suoraan. Hieman ruma viritys, mutta joskus hyödyllinen. Järjestelmä toimii ARP-kyselyitä hyväksikäyttäen Proxy ARP -reititin vastaa omalla MAC-osoitteellaan kaikkien lähiverkon ulkopuolella todellisuudessa olevien osoitteiden puolesta, saaden näin niillekin kuuluvat paketit, jotka se reitittää normaalisti eteenpäin. Lähiverkon muiden koneiden ei tarvitse tietää juttelevansa reitittimen välityksellä. Linuxissa päälle /etc/sysctl.conf:sta: net.ipv4.conf.eth0.proxy_arp=1 13
14 Verkkoasetukset Eri jakeluissa on omat tapansa hoitaa verkkoasetukset, joskin suunta on Network Manageriin päin. Debian/Ubuntu-pohjaisissa perinteisesti /etc/network/interfaces Red Hatissa taas /etc/sysconfig/network-scripts/ifcfg-[laitteen nimi] Perinteisempiä tapoja saattaa haluta yhä käyttää esim. palvelimissa, koska vähentää liikkuvia osia. Network Managerin yhteysasetustiedostot sijaitsevat /etc/networkmanager/system-connections -hakemistossa Tyypillisesti lankaverkkoyhteyttä yritetään muodostaa automaattisesti, kun verkkopiuha vain tökätään kiinni. Jos DHCP-palvelua ei löydy, otetaan satunnainen paikallinen linkkiosoite (pyrkien välttämään konflikteja). Kummoisemmat asetukset joutuu hoitamaan itse. Suosittelen nykyään ihan graafista nm-connection-editoria. Komentoriviltä nmcli on vaihtoehto. Tiedostoja voi muokata myös käsin tai skriptillä. - Ks. esim. Cubbli-koneissa /usr/sbin/cubbli-eduroam-setup 14
15 nmcli-esimerkkejä nmcli con list [id tunnus ] Tulostaa yhteysasetuslistan, tai nimetyn yhteyden kaikki asetukset nmcli con up id "Lankaverkko" iface eth0 Asettaa Lankaverkko-asetukset käyttöön eth0-laitteelle nmcli dev status Listaa kaikkien hallinnoitujen laitteiden tilan nmcli dev wifi con "default" password default name Turvaton Luo uuden Wifi-yhteyden Turvaton ja yhdistää default-nimiseen tukiasemaan samalla salasanalla. nmcli con up id "Turvaton" Ottaa myöhemmin yhteyden jo luodulla profiililla. 15
16 IP-asetusten käsisäätö Väliaikaisasetusten ja ylläpitäjän yleissivistyksen kannalta on toki tärkeää osata säätää verkkoasetuksia käsinkin. Vanhastaan IP-osoite asetettiin ifconfig-työkalulla, ja reitit määriteltiin route-komennolla. Nykyään kuitenkin molempien toiminnallisuus on yhdistetty ip-työkaluun. Lisää osoite laitteelle: ip addr add /16 dev eth0 Oletusreititin: ip route add default via dev eth0 Sivureitti: ip route add /8 via dev eth0 Nimipalvelinten asetukset /etc/resolv.conf-tiedostoon: nameserver x.y.z.å Reititintä konfiguroitaessa /etc/sysctl.conf-tiedostoon seuraavat (voimaan sysctl -p:llä tai bootissa): net.ipv4.ip_forward=1 net.ipv6.conf.all.forwarding=1 16
17 VLAN-asetukset Network Manager osaa myös VLANit. GUI ei vielä Ubuntu 12.04:ssä tai siihen perustuvassa Cubblissa. Tilanne on sittemmin korjautunut. Käsin konfiguraation voi tehdä. Monimutkaisen VLAN-konfiguraation tarve saattaa olla perusteltu motivaatio vähempienkin liikkuvien osien pariin perinteisempien verkkoasetusvaihtoehtojen merkeissä Pitkälti kyllä maku- ja konservatiivisuuskysymys. Käsin vlan-laitteen voi luoda vconfig-komennolla: vconfig add eth0 5 Luo verkkolaitteen eth0.5, jonka asetukset voi tehdä normaalisti. 17
18 DHCP Automaattiset IP-asetukset Käsin osoitteiden asettelu on tarpeen joillekin laitteille, kuten reitittimille ja eräille muille verkkoinfran kannalta tärkeille palvelimille, mutta laajemmalti epäkäytännöllistä. Dynamic Host Configuration Protocol hoitaa homman DHCP-asiakas huutelee käynnistyessään verkkoon kysyen itselleen sopivaa osoitetta ja muita parametreja kuten oletusreittiä ja nimipalvelimien osoitteita. DHCP-palvelin voi jakaa osoitteita kahdella tapaa: Asiakkaan MAC-osoitteeseen perustuen voidaan antaa sille aina sama osoite käyttöön. Tulos on sama kuin määrittäen staattinen osoite suoraan asiakkaalle, mutta ylläpito on keskitettyä. Osoitteiden vaihto tarvittaessa sujuu myös helpommin. Osoitteita voidaan jakaa dynaamisesti, vapauttaen osoitteet ennen pitkää muiden käyttöön. Vähentää ylläpitovaivaa ja mahdollistaa osoiteavaruutta suuremman laitemäärän käytön eri aikoina. Tekee mahdottomaksi laitteiden tunnistuksen IP:n perusteella. 18
19 DHCP-palvelimet ISC dhcpd on yleisimmin käytetty komprehensiivisempi DHCP-palvelinohjelmisto Konfiguraatio tiedostossa /etc/dhcp/dhcpd.conf Kevyeen tarpeeseen voi toimia dnsmasq Konfiguraatio /etc/dnsmasq.conf Toimii itsessään myös välimuistillisena DNS-välityspalvelimena (palaamme tähän) ja TFTP-palvelimena esim. verkkoboottia varten. 19
20 PXE-verkkobootti Useimmat laitteet tukevat nykyään verkosta boottausta. Käytännöllistä käyttöjärjestelmäasennuksiin Mahdollistaa myös levyttömät työasemat Sopivasti säädetyn DHCP-palvelun lisäksi tarvitaan vain TFTP-palvelin. Trivial File Transfer Protocol, yksinkertainen tiedostonhakuprotokolla vailla esim. turhaa autentikaatiota. Palvelin ei juurikaan vaadi säätöä, kunhan osoitetaan minkä hakemiston sisältöä tulee palvella ulospäin. Esim. tftp-hpa on suositeltu. PXE-boottivalikon voi luoda esimerkiksi PXELINUXkäynnistyslataajan avulla. Tukee myös koneen MAC- tai IP-osoitteen perusteella mukautettua käynnistystä. 20
21 IPv6-autokonfiguraatio IPv6-kykyiset koneet voivat konfiguroida itsensä automaattisesti verkkoon ilmankin DHCP:tä. Käsiasetukset säilyvät vaihtoehtona. Reitittimille itselleen (palvelemiensa lähiverkkojen) osoitteet on pakko asettaa käsin. Aluksi verkkolaitteelle luodaan uniikki 64-bittinen tunniste EUI-64 luodaan yleensä laitteen 48-bittisestä MAC-osoitteesta lisäämällä sen keskelle FF:FE. Esim. MAC 00:0C:29:0C:47:D5 EUI-64 00:0C:29:FF:FE:0C:47:D5 IPv6-osoitteen muodostusta varten EUI-64:a muokataan kääntämällä sen 7. korkein bitit toisin päin - Ko. bitti MAC-osoitteessa määrittää sen, onko osoite keskitetysti hallinnoitu. Nolla tarkoittaisi, että on. Bitti käännetään ympäri, jotta se automattisesti konfiguroiduissa IPv6-osoitteissa olisi ykkönen; tämä jättää tilaa asettaa siistimpiä käsin hallinnoituja IPv6-osoitteita, joissa osoitteen paikallinen osa alkaa pelkillä nollilla. Osoitteen loppuosa on siis lopulta 020c:29ff:fe0c:47d5 21
22 IPv6-autokonfiguraatio Laitetunnisteesta luodaan ensin paikallinen linkkiosoite: fe80::/64-verkko oli varattu tähän, siis fe80::020c:29ff:fe0c:47d5 Varmuuden vuoksi verkosta kysytään, onko osoite jo käytössä. Sitten kysellään verkosta reititinmainoksia Jos verkossa on IPv6-reititin, se kertoo laitteelle paikallisen reitityskelpoisen IPv6-verkon osoitteen, oletusreitin ja valintaisesti myös esimerkiksi nimipalvelimen tiedot. - Nimipalvelinlaajennosta ei välttämättä tueta kaikkialla. Verkon osoitteeseen lisätään laitetunniste samaan tapaan kuin paikallisen linkkiosoitteen kanssa, ja näin päästään verkkoon. Verkossa voidaan tarjota osoitteita myös DHCPv6:lla, jos halutaan MAC-osoitteista riippumattomia tai muuten loppuosaltaan hieman siistimpiä osoitteita esim. palvelinkäyttöön. DHCPv6 on myös tarpeen jos kaikki laitteet eivät tue nimipalvelimien välitystä muutoin. Riittää tosin myös, jos nimipalvelimiin pääsee käsiksi (DHCP:llä konfiguroidulla) IPv4:llä. 22
23 Reititysmainostuspalvelin radvd IPv6-reitittimen tulee ajaa radvd-palvelinta niillä laitteilla, joiden takana on automaattista konfiguraatiota tarvitseva paikallisverkko, jonka liikennettä se reitittää Internetiin. Reitittimen oma osoite tulee asettaa käsin ainakin näihin verkkoihin. radvd hoitaa reititinmainosten periodisen lähettämisen sekä eksplisiittisiin pyyntöihin vastaamisen. Mainostuspalvelinta ei ole syytä ajaa verkkoliitännöillä, joista reititin itse ottaa osoitteet automaattikonfiguroinnilla ja/tai joiden takana mainostaa jonkun muun tahon ylläpitämä reititin. 23
24 Yksityiset osoitteet Kuten implikoitu, IPv6-autokonfiguraatiolla luodut osoitteet kailottavat verkkolaitteen MAC-osoitteen koko Internetiin. IPv6 Privacy Extensions määrittää tavan luoda väliaikaisia satunnaisia osoitteita yksityisyyden parantamiseksi. Monet Linux-pohjaiset järjestelmät (kuten myös Windows ja MacOS X) käyttävät yksityisyyslaajennuksia oletuksena. Hallinnoidummassa ympäristössä näitä ei kuitenkaan välttämättä haluta käyttää. Ubuntussa asetus on tehty tiedostoon /etc/sysctl.d/10- ipv6-privacy.conf net.ipv6.conf.all.use_tempaddr = [0-2] net.ipv6.conf.default.use_tempaddr = [0-2] - 0 = älä käytä, 1 = luo PE-osoitteita, 2 = käytä PE-osoitteita oletuksena Muissa jakeluissa etsi saman hakemiston muista tiedostoista tai /etc/sysctl.conf:sta, lisää itse tarvittaessa. 24
25 Domain Name System nimipalvelu Jokapäiväisessä käytössä symbolisemmat nimet ovat numeroita helpompia DNS. Hierarkkinen, hajautettu järjestelmä Juurinimipalvelimet pitävät huolen asiakkaiden osoittamisesta ylimmän tason domainien nimipalvelimille, nämä taas toisen tason domainien palvelimille, jne. Nimeä vastaavan osoitteen selvitys vaatii yleisessä tapauksessa monta kyselyä eri paikkoihin. Asiakaskoneilla kuitenkin tyypillisesti konfiguroitu vain pari paikallista nimipalvelinta, jotka hoitavat suurimman osan hommasta. Paikalliset palvelimet (ja myös asiakkaat) tyypillisesti myös säilövät vastaukset välimuistiin toiminnan tehostamiseksi. Jokaisen domainin nimipalveluun tarvitaan vähintään kaksi riippumatonta palvelinta, ettei toisen katkos haittaa tiedon löytymistä. 25
26 Nimipalvelukysely Asiakas haluaa selvittää nimen osoitteen: Kysytään (tunnetuissa osoitteissa sijaitsevilta) juurinimipalvelimilta, missä on fi-domainin nimipalvelin. Kysytään fi-domainin palvelimelta, missä on helsinki.fi. Kysytään helsinki.fi:n palvelimelta, missä on cs.helsinki.fi Kysytään cs.helsinki.fi:n palvelimelta, missä on tämän domainin www-osoite Lopulta saadaan vastaus, joka säilötään talteen ja välitetään kysyvälle sovellukselle. IP-osoitetta vastaavaa nimeä voidaan kysyä samoin. Ensin muodostetaan käänteinen in-addr.arpa-osoite: in-addr.arpa IPv6:lle heksana yksi numero per osio: 2001:db8::567:89ab b.a b.d ip6.ar pa. 26
27 Nimipalvelinohjelmistot Tyypillisesti *nix-alustoilla käytetään BINDnimipalvelinohjelmistoa täysimittaista nimipalvelinta haluttaessa. Näin myös laitoksella ja konfiguraatioesimerkeissä. Pienempään paikallisverkkotarpeeseen voi myös soveltua jokin kevyempi rekursiivisia kutsuja osaamaton mutta välimuistin sisältävä nimipalvelin. Esim. mainittu DHCP-palvelimenakin toimiva dnsmasq. Network Manager osaa käyttää dnsmasq:a automaattisesti paikallisena nimipalvelinvälimuistina. Tällöin on myös mahdollista määrittää useampi vaihtoehtoinen nimipalvelin kuin suoraan /etc/resolv.conf:n kautta. 27
28 Nimipalvelutiedot DNS-järjestelmään voi säilöä osoitteiden lisäksi vaikka mitä informaatiota; oleellisimmat palautettavat kentät ovat seuraavat: SOA Domainin hallintatiedot A AAAA PTR CNAME MX NS SRV TXT Kyselyä vastaava IPv4-osoite IPv6-osoite (4 kertaa IPv4:n kokoinen!) Palauttaa nimen, selvitystä ei jatketa (mm. reverse) Palauttaa nimen, selvitystä jatketaan (aliakset) Osoitetta hoitavat sähköpostipalvelimet (Mail exchange) Domainin nimipalvelimet Muut osoitteen palvelimet Vapaamuotoista tekstiä (usein myös koneluettavaa) 28
29 DNS Service Discovery DNS-SD mahdollistaa verkon palveluiden mainostamisen DNS-tietueissa. Enimmäkseen järjestelmää käytetään MacOS X:ssä, joskin Linuxsovelluksissakin on tukea. DNS:ään määritellään kenttiä, joiden avulla voi kysyä esimerkiksi listaa verkkoon määritellyistä tulostimista: _ipp._tcp PTR wpr._ipp._tcp _universal._sub._ipp._tcp PTR wpr._ipp._tcp _cups._sub._ipp._tcp PTR wpr._ipp._tcp wpr._ipp._tcp SRV cups.cs.helsinki.fi. wpr._ipp._tcp TXT "printer-type=0x80b01e" [jne ] _ipp._tcp -kyselyllä asiakas saa listan mainostetuista tulostimista, joiden nimillä voi tehdä lisäkyselyitä sitä tarjoavasta palvelimesta ja tulostimen mallista ja kyvyistä. 29
30 mdns DNS ilman palvelinta Multicast DNS mahdollistaa nimien (ja DNS-SD:n tapaan palveluiden) mainostamisen paikallisverkossa ilman erillistä keskitettyä palvelinta. Nimelle osoitetta kaipaava kone lähettää kyselyn paikallisverkkoon mdns-multicast-osoitteeseen. Kyselyt on rajoitettu.local -domainin nimiin; mdns:llä ei voi teeskennellä olevansa mikä tahansa Internet-palvelin. Jos kone tunnistaa kysytyn nimen omakseen, se lähettää vastauspaketin. Kaikki paikallisverkon koneet voivat ottaa tiedon välimuisteihinsa. Huomaa ratkaisun rajoitettu tietoturvallisuus. Kysyä voi myös DNS-SD-palvelunimiä, jolloin kaikki palvelua tarjoavat koneet vastaavat kyselyyn. Kone voi verkosta hallitusti poistuessaan lähettää vielä paketin, jolla poistaa nimensä välimuisteista asettamalla nimi-osoite-kuvauksensa Time To Live-arvoksi 0. 30
31 Avahi avoin mdns-toteutus Linux-järjestelmissä mdns:n toteuttaa Avahi Usein oletusasennuksessa mukana. Avahi osaa mainostaa koneen.local -nimeä verkkoon. Tarvittaessa muitakin nimiä, jos on tarvetta mainostaa mdnskyvyttömiä laitteita palveluineen. Tarjoaa lisäksi rajapinnan palvelimille mainostaa omia palveluitaan eteenpäin Esim. CUPS tukee mdns-mainostusta Avahin kautta. Sovelluksille, jotka eivät itse rekisteröi palveluaan Avahille, voi halutessaan luoda mainostuskonfiguraation käsin. /etc/avahi/services/*.service Erillinen, mutta Avahia myös käyttävä libnss-mdns -moduuli osaa selvittää.local-nimiä mdns:n avulla Pitää olla mainittu hosts-tietueiden hakuun /etc/nsswitch.conf:ssa 31
32 NAT verkko-osoitteiden muunnos Network Address Translation -tekniikat sallivat reitittimen muokata pakettien osoitteita. Vaatii reitittimeltä paljon enemmän tehoa kuin pelkkä reititys; kuluttajamodeemien NATit voivat hidastaa yhteyttä havaittavasti Pääasiallisia NAT-tyyppejä on kaksi: 1-to-1 NAT: Kuvaa joukon IP-osoitteita toiseksi joukoksi osoitteita. - Esim. sisäverkko /24 julkiseksi /24-verkoksi Internetiin päin - Tai kaksi samaa avaruutta /24 käyttävää sisäverkkoa, jotka pitää yhdistää, voidaan kuvata näkymään toisilleen verkkoina /24. - Käytännössä harvoin käytetty, emme tutustu lähemmin. Many-to-1 NAT: Piilottaa koko lähiverkon yhden osoitteen taakse - Tarkemmin NAPT ( NA and Port T), myös IP Masquerading - Tyypillisesti käytetään päästämään yksityisiä osoitteita käyttävä lähiverkko käsiksi Internetiin 32
33 IP Masquerading Internetistä ei voi ottaa yhteyksiä sisäänpäin lähiverkon koneisiin, koska näiltä puuttuu reititettävät osoitteet. Tätä voidaan rajatusti kiertää säätämällä NAPT-reititin ohjaamaan yhteydenotot tiettyihin portteihin sisäverkon koneille. Lähiverkon koneen yrittäessä lähettää pakettia Internetiin, reititin muuttaa lähdeosoitteen omakseen Lisäksi tarvittaessa muutetaan TCP- tai UDP-paketin lähdeportti toiseksi, jos alunperin käytetty on varattuna toiselle yhteydelle. Internetissä paketit liikkuvat normaalisti. Vastauspaketit lähetetään reitittimen osoitteelle. Tämä tunnistaa portin ja toisen osapuolen osoitteen perusteella, millainen takaisinmuunnos tulee tehdä lähiverkkoon. Rajoittaa tai hankaloittaa joidenkin protokollien käyttöä Protokollaan voi kuulua IP-osoitteiden tai porttien vaihto tai erillisten yhteyksien otto takaisinpäin. 33
34 Palomuurit Kun reititys on laitettu päälle, oletusarvoisesti Linux välittää auliisti kaikki verkosta toiseen haluavat paketit. Verkkohyökkäyksiltä suojaavat palomuurit voivat suodattaa paketteja haluttujen sääntöjen mukaan. Tyypillisesti palomuurit estävät ulkopuolelta tulevat yhteydenotot, paitsi mihin erikseen sallittu. Sisäpuolelta voidaan myös estää yhteydenottoja ulospäin jos halutaan Tyypillisemmin lähtökohtaisesti sallittu. Linuxin palomuurijärjestelmä on NetFilterin päälle rakennettu iptables....paitsi tulevaisuudessa nftables, jota säädetään nft-komennolla. IPv6-filtteröintiin vastaavasti ip6tables Suoraviivaistavia käyttöliittymiä löytyy - esim. UFW (Uncomplicated Firewall) 34
35 iptables-esittely iptables-järjestelmä sisältää nimensä mukaisesti 4 taulua, jotka voivat sisältää liikennettä suodattavia sääntöketjuja: raw - Filtteröi paketit ennen muita tauluja (kun ovat vielä raakoja). filter nat - Oletuspalomuuraustaulu; keskitymme tähän. - Sisältää 3 oletusketjua: - INPUT: Sisääntuleva liikenne. - OUTPUT: Ulostuleva liikenne. - FORWARD: Reititettävä liikenne. - Osoitteenmuunnostaulu; vilkaisemme tätä. mangle - Pakettien erikoistuneeseen muokkaamiseen. security - Pakotetun pääsynhallinnan (Mandatory Access Control) säännöt. 35
36 iptables suodatussäännöt Iptables-ketju sisältää paketeille järjestyksessä suoritettavan sääntöjoukon Säännöt sisältävät oleellisesti kaksi osaa: Ehdot (matches) säännön soveltamiseksi Kohde (target) johon prosessointi siirtyy ehtojen täyttyessä. Mahdollisia kohteita ovat käyttäjän mahdollisesti määrittelemät lisäketjut, ja oletuskohteet: ACCEPT Paketti hyväksytään. DROP QUEUE RETURN LOG REJECT Paketti hylätään. Paketti käsitellään erillisessä käyttäjäprosessissa Toimitaan kuten ketju olisi loppunut Paketti merkitään lokiin. Prosessointi jatkuu. Paketti hylätään informoiden lähettäjää 36
37 iptables oleellisimmat vivut --list [--line-numbers] [-n] [-v] [ketju] Listaa säännöt (rivinumeroin, -n:llä ilman reverse DNS-kyselyitä) -v (verbose) tarpeen kaikkiin detaljeihin (esim. verkkolaite) -P ketju politiikka Asettaa ketjun oletuspolitiikan (ACCEPT tai DROP). -A ketju sääntö -j kohde Lisää sääntö ketjun perälle -D ketju sääntö[numero] Poista sääntö ketjusta -I ketju sääntönumero sääntö -j kohde Lisää sääntö ketjuun mainittuun kohtaan -R ketju sääntönumero sääntö -j kohde Korvaa mainitunnumeroinen sääntö toisella -t taulu Ei tee yksin mitään, mutta määrittelee käsiteltävän taulun. Oletuksena käsitellään filter-taulua, johon mekin keskitymme. 37
38 iptables ehtoja -i, -o Mitä verkkolaitetta ehto koskee (sisään- ja ulostulo) -s, -d Lähde- ja kohdeosoite Voi määrittää verkon CIDR-notaatiolla -p Protokolla, esim. tcp, udp, icmp --dport, --sport Paketin lähde- ja kohdeportti (jos -p tcp tai -p udp) --syn Täsmää yhteyksien aloitusyrityksiin, jos -p tcp Erilaisia moduuleja (-m) jotka toteuttavat omia ehtojaan conntrack pakettien tilan seurantaan limit rajoittamaan kuinka usein sääntö laukaistaan connlimit rajoittamaan yhtäaikaista yhteysmäärää jne... 38
39 IP Masquerade iptablesilla NAPT saadaan päälle lisätämällä nat-taulun reitityksen jälkeen suoritettavaan POSTROUTING-ketjuun sääntö: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE - Vaihtoehto: -j SNAT to-source=oma.ip.osoite - Säilyttää yhteydet verkkokatkosten yli, jos staattinen osoite. Tässä eth0 oletetaan ulkoverkkolaitteeksi. Syytä spesifioida, jottei ulkoverkosta tulevia paketteja väitettäisi reitittimen omiksi. Ohjataan ulkoapäin TCP-porttiin 80 (http) reitittimen ulkoiseen osoitteeseen tulevat yhteydet sisäverkon koneelle iptables -t nat -A PREROUTING -p tcp -d dport 80 -j DNAT --to :80 Joillekin NAT:n rikkomista yhteyskäytännöistä on ladattavissa ytimeen korjaamista yrittäviä moduuleja: nf_nat_ftp, nf_nat_irc, nf_nat_sip jne. Haistelevat pakettien sisältöä ja muokkaavat osoite- ja porttitietoja tarvittaessa. Ei tietenkään toimi salatuille yhteyksille. 39
40 iptables suodatuspolitiikat Filter-taulun INPUT-, OUTPUT- ja FORWARD -ketjuille voi asettaa oletuspolitiikaksi joko DROP tai ACCEPT Esim. REJECT ei käy, joskin saman lopputuloksen saa aikaiseksi lisäämällä kaikkeen liikenteeseen täsmäävän REJECT-säännön ketjun viimeiseksi. Muiden lähettämälle liikenteelle paranoidit asetukset: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT Iptables -P FORWARD DROP Ongelmia? 40
41 iptables suodatuspolitiikat Filter-taulun INPUT-, OUTPUT- ja FORWARD -ketjuille voi asettaa oletuspolitiikaksi joko DROP tai ACCEPT Esim. REJECT ei käy, joskin saman lopputuloksen saa aikaiseksi lisäämällä kaikkeen liikenteeseen täsmäävän REJECT-säännön ketjun viimeiseksi. Muiden lähettämälle liikenteelle paranoidit asetukset: iptables -P INPUT DROP iptables -P OUTPUT ACCEPT Iptables -P FORWARD DROP Ongelma 1: myös samasta koneesta sisääntulevat paketit tiputetaan. Sallitaan paketit sisään lo-verkkolaitteelta: iptables -A INPUT -i lo -j ACCEPT Ongelma 2: ulkoapäin sisääntulevat paketit heitetään nyt kaikki roskiin, vaikka ne olisivat vastauksia itse lähettämiimme paketteihin. Tilanseuranta apuun 41
42 iptables tilanseuranta iptables osaa käsitellä paketteja myös niiden sukulaisuussuhteiden perusteella conntrack-moduulilla: iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Sallitaan sisääntulevat paketit, jotka yhteydenseurantamoduuli tunnistaa kuuluvan olemassaoleviin yhteyksiin (ESTABLISHED) tai liittyvän näihin (RELATED). Muut tilat: NEW (uusi yhteys, ei sukua millekään), INVALID (epäkelpo paketti) TCP-yhteyksien lisäksi myös sisäpuolelta lähetetyt UDP-paketit avaavat oven samaa reittiä palaaville sellaisille. Erillisten yhteyksien mahdollisia sukulaisuussuhteita seuraavat ytimeen ladattavissa olevat moduulit: nf_conntrack_ftp, nf_conntrack_irc, nf_conntrack_h323, jne. Moduulit haistelevat pakettien sisältöä ja päättelevät siitä, milloin uusi yhteys kuuluu sallia olemassaolevan istunnon osana. Ei toimi salatuille yhteyksille. 42
43 Sääntöjä palveluille ja osoitteille WWW-palvelimen tulee päästää yhteydet portteihin 80 (http) ja 443 (https) iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT Porttinumeron sijaan voidaan käyttää /etc/services -tiedostossa listattuja symbolisia nimiäkin Sallitaan myös ssh-yhteydet ylläpitoa varten, mutta paranoidisti vain oman verkon alueelta: iptables -A INPUT -p tcp --dport 22 -s /24 -j ACCEPT Tietyn verkon alueelta on tehty hyökkäyksiä WWWpalvelimellemme; estetään pääsy ja merkitään lokiin: iptables -I INPUT 1 -s /24 -m limit --limit 3/m --limitburst 6 -j LOG --log-prefix= Pahis: iptables -I INPUT 2 -s /24 -j DROP Huom: Säännöt lisättiin ennen sallivia sääntöjä. Lokiin merkitään vain keskimäärin 3 tapausta minuutissa. 43
44 Sääntöjä reititykseen Salli paketit sisäverkosta (eth1) ulkoverkkoon (eth0): iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT Salli jo muodostettujen yhteyksien paketit iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Salli ulkoverkosta pääsy sisäverkon WWW-palvelimelle porttiin 80: iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d j ACCEPT Salli ICMP-liikenne verkkojen välillä: iptables -A FORWARD -p icmp -j ACCEPT Osan voi estää rikkomatta kaikkea, tarkempaa mietintää verkosta. Tärkeimmät mahtuvat tosin ESTABLISHED,RELATED:n alle. Rajoita http-yhteysmäärää per kone: iptables -I FORWARD 3 -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 32 -j DROP 44
45 Sääntöjen tallennus ja lataus iptables -S tulostaa yhden taulun säännöt palautuskelpoisessa muodossa Taulujen kokonaistilan voi säilöä erillisellä apuohjelmalla: iptables-save > tiedosto Tilan lataus takaisin: iptables-restore < tiedosto Debian/Ubuntulla ks. myös paketti iptables-persistent service iptables-persistent save service iptables-persistent reload Red Hatilla: service iptables save service iptables restart 45
46 UFW uncomplicated firewall Ubuntun suosima mutta muuallakin käytetty UFW tarjoaa yksinkertaisen keinon yksinkertaiseen palomuurisäätöön. Luodut sääntöketjut tosin eivät ole maailman yksinkertaisimpia... Järjestelmä käynnistetään komennolla ufw enable Työpöytäkoneelle kohtuulliset oletusasetukset Toimii myös boottien yli kunnes käsketään ufw disable Graafinen käyttöliittymä esim. gufw Soveltuu yksittäisen koneen peruspalomuuraukseen. Reititinkäyttökin periaatteessa onnistuu, mutta vaatii käsisäätöä. Esimerkkejä: ufw default deny ufw allow ssh ufw allow from /24 ufw deny from ufw delete allow ssh ufw status verbose Estä yhteydet oletuksena Salli ssh-yhteydet Salli yhteydet sisäverkosta Paitsi reitittimeltä Älä sallikaan Kerro tila 46
47 SSHGuard dynaamista muurausta SSHGuard analysoi palvelinlokeja hyökkäysmerkkien varalta (esim. paljon epäonnistuneita kirjautumisyrityksiä). Alunperin lähinnä SSH:lle, mutta osaa joitain muitakin palvelimia. Jos hyökkäys havaitaan, hyökkäyksen lähde palomuurataan väliaikaisesti kiinni. Brute force-hyökkäykset käyvät kannattamattomiksi. Aika kasvaa eksponentiaalisesti jos hyökkäykset jatkuvat. Eston voi asettaa pysyväksi tietyn hyökkäysmäärän jälkeen. Ei täydellinen puolustus, mutta voi olla hyödyllinen eikä sopivasti säädettynä haittaa normaalikäyttöä. 47
48 Knockd / fwknop koputusta Knockd on työkalu, jolla voi ajaa komentoja vastauksena tiettyyn sekvenssiin yhteydenottoyrityksiä. Tyypillinen paranoidimman ylläpitäjän käyttötapa: koputetaan muutamaa verkkoporttia järjestyksessä, jolloin palomuuri avautuu hetkeksi päästämään koputtavasta koneesta sisään. Sekvenssit voivat olla kertakäyttöisiä toistohyökkäysten varalta. fwknop on hienostuneempi koputustyökalu Koputus muodostuu yhdestä kryptatusta paketista Vaatii erikoistuneen asiakasohjelman. Eivät kovin laajalti käytössä, mutta tekniikalla voi halutessaan (DROP-politiikkaisen palomuurin kera) piilottaa palvelimen olemassaolon melkolailla kokonaan Internetiltä säilyttäen kuitenkin pääsyn tarvittaessa. 48
49 Verkkotason salaus Sovellustason verkkoliikenteen salausjärjestelmillä kuten SSL/TLS on paikkansa, mutta miksi tyytyä salaamaan vain osa liikenteestä? Verkkotason salausjärjestelmillä voidaan salata kaikki liikenne kahden pisteen välillä. Pisteet voivat olla samat kuin liikenteen varsinainen alku- ja loppupiste; tällöin kahden solmun välinen liikenne saadaan kulkemaan salattuna koko matkaltaan. Pisteet voivat myös olla reitittimiä, jotka tunneloivat takanaan olevien verkkojen liikenteen salatusti. Näin voidaan yhdistää esim. eri toimipisteiden välisiä lähiverkkoja turvattomankin verkon yli turvallisesti. - Tästä alunperin termi Virtual Private Network Nykyään yleinen käyttötapaus on myös se, että yksittäinen kone ohjaa Internet-yhteytensä kulkemaan VPN-palvelimen kautta - Ohittaa mahdolliset sensuurit ja maarajoitukset ynnä osan nuuskijoista 49
50 Tekniikoita riittää IPsec on virallinen IP-protokollapinon turvaratkaisu. Osin hankalakäyttöinen. OpenVPN on suosittu avoin ratkaisu. Ei standardi, mutta helpohkosti käyttöönotettava ja monille alustoille sovitettu vapaa toteutus on tuonut käyttäjäkuntaa. SSTP Muodostaa PPP-tunnelin SSL-kanavan päälle OpenSSH Perinteisten porttiohjausten ja vähän tuoreemman SOCKSvälipalvelimen lisäksi OpenSSH tarjoaa nykyään myös VPN:n. PPTP Microsoftin PPTP mainittakoon lähinnä siksi, ettei sitä kannata käyttää; PPTP:n käyttämä MS-CHAP-autentikointi on murrettavissa, ja sitä kautta yhteydet. MS suosittelee nykyään esim. IPseciä tai SSTP:tä. 50
51 TCP/TCP-ongelma TCP-yhteyksien päällä toimivat VPN-ratkaisut (SSTP, OpenSSH) tuottavat omat ongelmansa verkon ruuhkanvalvonnan ja uudelleenlähetysten takia. Kun tunnelin läpi otetaan muita TCP-yhteyksiä, ja tunnelin yhteydestä tippuu paketteja, voidaan päätyä tilanteeseen, jossa sekä ulkoinen että sisäinen yhteys uudelleenlähettää dataa. Verkko-olosuhteista riippuen sisäiset uudelleenlähetykset voivat olla paljonkin nopeampia kuin tunnelin omat. 51
52 IPsec turvallinen IP IPsec-protokolla kehitettiin alunperin osana IPv6:a Alunperin pakollinen osa, sittemmin valintainen. Sovitettu jälkikäteen myös IPv4:lle. Voi autentikoida paketin sisällön ja lähettäjän salaamatta Authentication Header (AH) Voi myös salata paketit Encapsulating Security Payload (ESP) Soveltuu sekä solmujen välisen liikenteen salaamiseen että salattujen tunnelien muodostamiseen. Ensimmäisessä tapauksessa salauskerroksen sisällä kuljetetaan suoraan siirtokerroksen protokollan paketteja, esim. TCP/UDP. Toisessa tapauksessa koko alkuperäinen IP-paketti säilötään salattuun pakettiin. 52
53 Unelma opportunistisesta IPsec:stä IPsec:n avulla solmut voivat periaatteessa yrittää kommunikoida ensisijaisesti salatusti kaikilla yhteyksillä. Ensimmäistä yhteydenottoa vastapäähän tehtäessä yritetään neuvotella IPsec-yhteys. Jos vastapää tukee IPseciä, yhteys muodostuu sen läpi, ja kaikki paketit kulkevat salattuina. Jos IPsec ei onnistu, yhteys kulkee normaalisti salaamattomana. Sovellukset voivat varoittaa käyttäjää jos niitä huvittaa. Näin teoriassa, miten käytäntö? 53
54 IPsecin ongelmat Mistä saamme autentikointiavaimet? DNS:stä? Periaatteessa kyllä, mutta DNS itsessään on turvaton järjestelmä. - DNSSEC pyrkii korjaamaan tätä tarjoamalla autentikaation (ei salausta) DNS-kyselyille, mutta käyttöönotto on vielä vaiheessa. - Avaintenhallinnassa silti käytännön ongelmia. BTNS Better Than Nothing Security -moodiehdotus ei vahvista vastapään identiteettiä, mutta suojaa passiivisilta kuuntelijoilta sekä vastapään vaihtumiselta kesken kaiken Dynaamisesti allokoitaville osoitteille vaikea jakaa DNS:ssä kuranttia IPsec-politiikkaa. Palomuurit saattavat pysäyttää IPsec-paketit tuntemattomantyyppisinä. IPv4-maailma on täynnä NATteja, jotka rikkovat järjestelmää (erit. autentikointiotsakkeet). 54
55 IPsec-tunnelit Käytännössä IPseciä käytetäänkin (vielä?) enimmäkseen lähiverkkoja yhdistävään tunnelointiin, tai yksittäisten työasemien liittämiseen etäiseen lähiverkkoon. Avaimet voidaan vaihtaa ennalta tai käyttää omaa, tunnettua CA:ta. Lähiverkkojen koneiden ei tarvitse tietää IPsecistä mitään. Linuxilla IPsec-tunneleiden pystyttämiseen suositeltava kalu on strongswan Tarjoaa monipuolisen IPsec-toiminnallisuuden. Myös network-managerille on strongswan-moduuli, tosin Ubuntu 12.04:ssa oleva yhteyseditorimoduulin versio kaatuu... Emme tutki tätä tarkemmin, mutta dokumentaatiota ja esimerkkejä löytyy osoitteesta 55
56 IPsecin turvallisuus? Kyseenalaistetty erityisesti komiteatyön aiheuttaman monimutkaisuuden vuoksi: On the one hand, IPsec is far better than any IP security protocol that has come before: Microsoft PPTP, L2TP, etc. On the other hand, we do not believe that it will ever result in a secure operational system. It is far too complex, and the complexity has lead to a large number of ambiguities, contradictions, inefficiencies, and weaknesses. It has been very hard work to perform any kind of security analysis; we do not feel that we fully understand the system, let alone have fully analyzed it. We have found serious security weaknesses in all major components of IPsec. [ ] In our opinion,there is a fundamental conflict between the committee process and the property of security systems being only as strong as their weakest link. Therefore, we think that continuing the existing process and fixing IPsec based on various comments is bound to fail. - Niels Ferguson, Bruce Schneier,
57 OpenVPN käytännöllinen purkka IPsecin käytännön ongelmat ovat jättäneet tilaa vaihtoehdoille; yksi suosituimmista on OpenVPN Käyttää verrattain yksinkertaista ja tunnettua TLS-tekniikkaa autentikointiin ja avainneuvotteluun (ei itse tunnelointiin). Tunneloi useimmiten UDP-paketeissa. Palomuurit tuntevat UDP-paketit, joten ovat ystävällisempiä. Portin täytyy olla toki sallittu. Toimii myös NAT:ien takaa. Tukee myös TCP-tunnelointia, jos UDP ei kulje jostain läpi. Osaa reitittävien lisäksi myös siltaavat tunnelit. Hallitsee IPv6n niin tunnelin sisällä kuin ulkopuolellakin Autentikaatio jaetulla salaisella avaimella, sertifikaateilla tai käyttäjätunnus/salasanaparilla. Käyttäjätunnusautentikaatio openvpn-auth-pam -moduulilla, jolla voi käyttää joko paikallisia tunnuksia tai haluamaansa muuta mielivaltaista PAM-konfiguraatiota autentikointiin. Palvelin kannattaa toki tunnistaa sertifikaatilla ennen kuin lähettää sinne tunnuksiaan. 57
58 OpenVPN-konfiguraatio Tiedostot ja sertifikaatit tyypillisesti /etc/openvpn -hakemistossa. Asiakaskonfiguraation voi tehdä myös Network Managerilla. Palvelinpäästä voi lähettää asiakkaalle IP-osoite-, reititysja nimipalvelinkonfiguraation. OpenVPN sisältää easy-rsa-työkalukokoelman tarpeellisten sertifikaattien ja avainten generointiin. deb-paketista /usr/share/doc/openvpn/examples/easy-rsa Syytä kopioida esim. /etc/openvpn/easy-rsa:ksi Editoidaan vars -tiedostosta sertifikaatin tiedot kuntoon Generoidaan CA-avaimet: -../vars &&./clean-all &&./build-ca Palvelimen sertifikaatti ja avain: -./build-key-server server Asiakassertifikaatteja: -./build-key client1 58
59 Reititys vs. siltaus Oletuksena OpenVPN:ää käytetään reitittävässä tilassa. Järjestelmä toimii kuten mikä tahansa reititin, toinen verkkolaite on vain virtuaalinen VPN-laite Käytetään IP-tason virtuaalista tun-verkkolaitetta. Jos haluaa yhdistää kaksi lähiverkkoa intiimimmin, on käytettävä siltaavaa tilaa. Silta yhdistää kaksi lähiverkkoa periaatteessa kytkimen tapaan yhdeksi. Voi liittää myös yksittäisen koneen osaksi lähiverkkoa etäältä. Konfiguraatio vaatii esivalmistelua käyttöjärjestelmän puolelta; siltalaite pitää pystyttää erikseen. Käytetään Ethernet-tason virtuaalista tap-verkkolaitetta. 59
60 Linuxin siltalaitteet Silta yhdistää kaksi lähiverkkoa keskenään läpinäkyvästi. Verkkojen fyysinen tekniikka voi poiketa, kunhan käytetään Ethernet-kehyksiä. Siltaan osallistuvia verkkolaitteita ei konfiguroida erikseen Yksittäiset laitteet liitetään siltaan, jolle osoite ym. annetaan. Perinteisten verkkokonfiguraatioiden lisäksi myös uudemmat Network Managerin versiot osaavat sillat. Käsin sillan voi luoda brctl-ohjelmalla: brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 Siltalaite toimii aivan normaalin verkkolaitteen tavoin. Verkkolaite ei tarvitse IP-osoitetta toimiakseen siltana. ebtables:lla voi luoda IP-tasolla näkymättömän palomuurin IP-tasolla vähemmän joustava kuin iptables; filtteröi lähinnä kuljetustason protokollan sekä lähde- ja kohdeosoitteiden ja -porttien perusteella. 60
61 OpenVPN-siltaus OpenVPN-siltausta varten on erikseen luotava siltalaite, ja sitä varten tap-laite Persistentin tap-laitteen voi luoda komennolla openvpn --mktun --dev tap0 tap0-laite lisätään normaalisti siltaan halutun muun verkkolaitteen kanssa. Tämän jälkeen sillaksi konfiguroidun OpenVPN:n voi käynnistää nimetylle tap-laitteelle. Ydin hoitaa liikenteen välittämisen sillan yli. OpenVPN voi hallinnoida toisen puolen osoitteita, tai tämä voidaan jättää DHCP-palvelimen huoleksi. 61
62 OpenSSH kevyttä porttisalausta Aina ei tarvitse täysimittaista VPN:ää, mutta olisi tarve tunneloida helposti jokin spesifinen yhteys salatusti kohteeseensa. ssh osaa TCP-porttien uudelleenohjauksen: Paikallisen portin uudelleenohjaus ssh-kohteen läpi: - ssh -L paikallinen_portti:etäverkon_osoite:etäportti kohde - Esim. laitoksen WWW-proxyn käyttö melkin kautta: - ssh -L 8080:www-cache.helsinki.fi:8080 melkki.cs.helsinki.fi - Liikenne paikalliselta koneelta melkille kulkee salattuna; melkistä www-cacheen taas salaamatta. Etäkoneen portin ohjaus tunnelin läpi takaisin päin: - ssh -R etäportti:paikallisverkon osoite:paikallinen_portti kohde - Esim. NATin takaa pääsyn avaus oman koneen ssh-palvelimelle: - ssh -R 2222:localhost:22 example.com - Nyt komentamalla Internetiin liitetyllä koneella ssh -p 2222 example.com pääsee ym. ssh-asiakkaan koneelle. 62
63 OpenSSH SOCKS-välipalvelin Joustavampi ohjausjärjestelmä SOCKS sallii ulosmenevien yhteyksien tunneloinnin dynaamisesti Luodaan ssh-yhteys laittaen SOCKS-välityspalvelin porttiin 1080: ssh -D 1080 kohdekone Nyt socks-välipalvelinta tukevat ohjelmistot voivat kommunikoida ssh-välin turvallisesti käyttäen localhost:1080:a välitykseen. Jos asiakasohjelma ei tue SOCKS-palvelimia, apuun tulee tsocks-ohjelma: Uudelleenohjaa haluttujen sovellusten yhteydenotot SOCKS:n läpi läpinäkyvästi. Ohjelmat tulee käynnistää tsocks-ohjelman kautta tätä varten. 63
64 OpenSSH VPN SOCKS:n lisäksi OpenSSH osaa nykyään luoda aidon VPN-yhteyden (joskin, kuten sanottua, TCP:n päälle). ssh -w x:y x on paikallisen tun-laitteen numero, y etälaitteen (tai any ) Laitteet on konfiguroitava erikseen; ssh vain yhdistää ne. Esim. hirviö: - ssh -o PermitLocalCommand=yes -o LocalCommand="sudo ifconfig tun pointopoint netmask " -o ServerAliveInterval=60 -w 5:5 vpn@example.com 'sudo ifconfig tun pointopoint netmask ; echo tun5 ready' Sallittava erikseen /etc/ssh/sshd_config:ssa PermitTunnel yes 64
65 Verkkokoukkuskriptit Tunneleita sun muita voi olla kätevä laittaa automaattisesti päälle ja pois verkkolaitteiden keralla /etc/network/interfaces: pre-up, post-up, pre-down, post-down -rivit ajavat määritellyn skriptin ennen ja jälkeen laitteen käynnistyksen tai alasajon /etc/networkmanager/dispatcher.d/ Jokainen hakemiston skripti ajetaan kun verkon tila muuttuu. Parametrina seuraavat: - up laite nousi ylös - down laite ajettiin alas - vpn-up VPN-yhteys nostettiin ylös - vpn-down VPN-yhteys laskettiin alas - hostname Koneen nimi muuttui - dhcp4-change IPv4-DHCP-varauksen tila muuttui - dhcp6-change IPv6-DHCP-varauksen tila muuttui 65
66 Verkkonuuskintaa Verkkoliikenteen tarkkailu on hyökkäysten lisäksi hyödyllistä verkko-ongelmien tutkimisessa. Tyypillisesti verkkolaitteet vastaanottavat vain niitä kiinnostavat paketit. Suoraan lähetetyt, broadcast-liikenne, tilattu multicast-liikenne. Vastaanottajan oma filtteröinti vähentää järjestelmän kuormaa; verkkolaite häiritsee käyttöjärjestelmää vain relevanteilla paketeilla Voidaan kytkeä seurantatilaan (promiscuous mode). Jos vain solmun oma liikenne kiinnostaa, tämä ei ole tarpeen. Tyypillisesti kytkimet välittävät paketit eteenpäin vain varsinaisille vastaanottajille. Muistavat missä portissa on mikäkin MAC-osoite. Hallittavissa kytkimissä haluttu portti voidaan asettaa valvontatilaan (monitor mode) - Kaikki kytkimen läpi kulkeva liikenne kaiutetaan valvontaporttiin. Paketteja saattaa tippua, jos portin kapasiteetti ei riitä. 66
67 Verkkonuuskintatyökalut Verkkoliikenteen passiiviseen seurantaan on syytä tuntea kaksi työkalua: Wireshark ja tcpdump tcpdump on perinteisen karu ja suoraviivainen komentorivityökalu Wireshark tarjoaa graafisen käyttöliittymän pakettien tarkasteluun lennosta tai jälkikäteen Molemmat työkalut käyttävät pcap-järjestelmää paketinsuodatuskielineen 67
68 Pakettien suodatus Liikenteen tutkinnassa on oleellista saada suodatettua halutut paketit massiivisenkin verkkoliikenteen seasta. Automaattinen filtteröinti edesauttaa kiinnostavien pakettien löytämistä liikennemassasta. Berkeley Packet Filter -kieli on melko universaali suodatusmenetelmä. Monet käyttöjärjestelmäytimet tukevat suoraan. - Myös Linux, omine laajennuksineen. Verkkonuuskintaan usein käytettävä libpcap-kirjasto osaa BPFfiltteröinnin tarvittaessa itse, ellei ydin; tällöin kuitenkin kaikki paketit pitää kopioida käyttäjätilaan. Filtteröinnin tehostamiseen Linux osaa JIT:n BPF on yksinkertaisena kielenä melko helppo käännettävä. Ydin kääntää BPF-käskyt suoraan konekielelle - Tuetut alustat x86_64, SPARC, PowerPC, ARM ja s390 - Muilla alustoilla tulkataan 32-bittinen x86 mukaanlukien. 68
69 BPF-suodatuskieli BPF-lausekkeet koostuvat primitiiveistä, jotka taas yleensä muodostuvat tunnisteesta (nimi tai numero) määreineen. Määreitä on kolmenlaisia: Tunnisteen tyyppi: - host Tunniste on solmun nimi. - net Tunniste on verkko. - port Tunniste on TCP/UDP-portti. - portrange Tunniste on porttialue. Suunta - src Tunniste on liikenteen lähde - dst Tunniste on liikenteen kohde - src or dst Oletussuunta; kumpi vain käy - src and dst Tunniste on sekä lähde että kohde (esim. portti) - addr[1234] WLAN-osoitteita - Lopullinen vastaanottaja, lähettävä tukiasema, vastaanottava tukiasema, alkuperäinen lähettäjä 69
70 BPF-suodatuskieli...määreitä Protokolla Lisäksi: - ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp, udp - Linkkitason protokollamääreillä ei käytännössä juuri eroja, kohtelu samoin kuin ethernetillä. - Eri tason protokollat yhdessä sopuisassa sekamelskassa - Jos protokollaa ei määritetä, suodatin hyväksyy kaikki protokollat jotka ovat järkeviä mainitun tyypin kanssa. - Esim. pelkkä port 53 (DNS) täsmää sekä TCP- että UDPpaketteihin kunhan portti on oikea. gateway x Paketti käytti x:ää reitittimenä broadcast Broadcast-paketti (ether-, ip- tai ip6) less, greater x Paketin koko on pienempi/suurempi kuin x Ryhmittelyyn (), and, or, not, &&,,! 70
71 BPF-esimerkkejä host melkki Kaikki liikenne melkille tai melkiltä host melkki and not port 22 Kaikki melkki-liikenne, paitsi SSH host melkki and (melkinkari or melkinpaasi) Kaikki melkin ja -karin tai paaden välinen liikenne Huomaa: host-määrettä ei tarvitse toistaa dst net /16 Kaikki liikenne jonka kohde on yliopiston (pääasiallisessa) verkossa ether multicast Kaikki lähiverkkotason multicast-liikenne arp Kaikki ARP-liikenne; hyödyllinen osoitekonfliktien diagnoosiin 71
72 BPF-pakettien sisään kurkkiminen BPF osaa myös katsella pakettien sisälle. Käytettävissä aritmeettiset lausekkeet: <, >, <=, >=, =,!=, +, -, *, /, &,, <<, >> Paketteihin kurkistetaan syntaksilla protokolla[sijainti:koko] ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp, ip6, radio Sijainti määrittää paikan suhteessa mainittuun protokollatasoon. Koko määrittää tutkittavan tavumäärän; 1, 2 tai 4 (oletus on 1) Joitain avuliaita aliaksia löytyy - tcp[tcpflags], icmp[icmptype], icmp[icmpcode] - Näille myös muutama maskiarvo joita vastaan testata Esim: icmp[icmptype]!= icmp-echo && icmp[icmptype]!= icmp-echoreply - ICMP-liikenne joka ei ole pingejä tai niiden vastauksia. ip[0] & 0xf!= 5 - IPv4-paketit joissa on optioita 72
73 tcpdump tcpdump:lla voi seurata pakettivirtaa komentoriviltä Tärkeimpiä optioita: -i laite Määrittää kuunneltavan verkkolaitteen - Oletuksena ensimmäinen aktiivinen verkkolaite - Voi sanoa myös any ; tällöin laitteita ei aseteta valvontatilaan -n Ei nimipalvelinkyselyitä (hitaus tiputtaa usein paketteja) -w Kirjoita paketit tiedostoon liveanalyysin sijaan. -r Tutki -w:llä kirjoitettua tiedostoa liveliikenteen sijaan -v[v[v]] Lisää informaatiota tulosteeseen -p Ei kytketä seurantatilaa (ei myöskään pois jos jo päällä) Vipujen jälkeen voi antaa BPF-suodatuslausekkeen. 73
74 Wireshark Wireshark on hieman käyttäjäystävällisempi vaihtoehto verkkoseurantaan. Voi sallia myös tavallisten käyttäjien kaapata paketteja: Itse kaappauksen hoitava dumpcap -ohjelma ajetaan korotetuin oikeuksin ja sallitaan suoritus wireshark-ryhmälle. Käyttöliittymä voi pyöriä tavallisen käyttäjän oikeuksin. dumpcap osaa myös ottaa liikennettä talteen tiedostoon myöhempää tarkastelua varten -i laite -f filtteri Liikennettä voi tarkastella interaktiivisesti, useat pakettityypit tunnistetaan ja niistä voi katsoa lisätietoa. 74
75 arpwatch Erikoistuneempaa nuuskintaa varten on erillisiä sovelluksia. Esim. arpwatch tarkkailee ARP-viestien avulla IP-osoitteita vastaavien MAC-osoitteiden vaihtumista. Voi havaita väärinkonfiguroituja IP-osoitteita. Tai todella kömpelöitä hyökkääjiä. 75
76 Nmap-verkkoskanneri Siinä missä passiivinen kuuntelu on usein hyödyllistä salakuuntelun lisäksi vikojen diagnosointiin, aktiivinen verkkoskannaus voi paljastaa potentiaalisia turvaongelmia niin hyökkääjälle kuin ylläpitäjällekin. Verkkoja ei ole suotavaa skannailla kovin aggressiivisesti olematta ko. verkon ylläpitoa tai tämän valtuuttama; muutoin voi helposti tulla oletetuksi hyökkääjäksi. Nmap on johtava ja TV:stä tuttu verkkoskannerituote. Monipuolinen, mutta peruskäytön osalta suoraviivainen. Osaa tutkia avoimia portteja, tehdä raportteja takana olevista palveluista (ja niiden ajajista, mikäli ident-palvelu on käytössä), arvailla kohteen käyttöjärjestelmää. Voi käyttää turvapinnan tutkimisen lisäksi myös yksinkertaisesti tarkistelemaan palveluiden ja tietokoneiden päälläoloa (joskin Nagios on tähän erikoistuneempi työkalu). Zenmap tarjoaa yksinkertaisen graafisen käyttöliittymän. 76
77 Porttiskannauksen perusteet Yksi tärkeimmistä skannattavista asioista on tietoliikenneportit (TCP/UDP/SCTP). Jokainen verkkoa kuunteleva palvelin on potentiaalinen tietoturvareikä. Nmap erittelee porteille kuusi eri tilaa: Avoin (open): Portti ottaa yhteyksiä vastaan. Suljettu (closed): Portti on periaatteessa saavutettavissa, mutta sitä ei kuunnella. Suodatettu (filtered): Esim. palomuuri tiputtaa skannauspaketit. Suodattamaton (unfiltered): Portti on saavutettavissa, mutta ei voida tietää onko se avoin. (ACK-skannaus; muilla skannauskeinoilla voidaan ehkä määrittää tarkempi tila.) Avoin suodatettu (open filtered): Portti on joko avoin vai suodatettu (esim. UDP:stä ei voi ilman vastausta tietää). Suljettu suodatettu (closed filtered): Portti on joko suljettu tai suodatettu. 77
78 Nmap-optioita Voi aloittaa vain nmap kohde Kohde voi olla solmu tai verkko CIDR-notaatiolla. Joitain hyödyllisiä vipuja: -A -O -sv -sc Aggressiivinen skannaus, (-O, -sv, -sc, --traceroute) Tunnista kohteen käyttöjärjestelmä Palvelinversioiden tunnistus Skriptiskannaus oletusskriptijoukolla (intrusiivinen) - --script not intrusive Epäintrusiivinen skriptijoukko - --script safe Turvallinen skriptijoukko --traceroute Jäljitä reitti kohteeseen -sp Ohita porttiskannaus. Listaa saavutettavissa olevat koneet. -n Ei DNS-kyselyitä; voi nopeuttaa skannausta -ss TCP/SYN-skannaus -st Tavallinen TCP connect -skannaus -su UDP-skannaus -p Skannaa tietyt portit (oletuksena 1000 yleisintä) -v Lisää verbositeettia 78
79 TCP-skannaus Useita tekniikoita; yksinkertaisin on yrittää ottaa yhteyttä kohdeporttiin ja katsoa, muodostuuko se. Etuna ei tarvitse erityisiä oikeuksia skannerikoneella suorittaa. Yleensä näkyvämpi kohteen lokeissa. SYN-skannaus Lähetetään vain kättelyn ensimmäinen SYN-paketti. SYN/ACK tarkoittaa että portti on avoin. Tähän ei enää tarvitse vastata, ja yhteys jää muodostumatta. - Usein skannaus jää myös merkitsemättä lokeihin, joskin tunnistustyökaluja on. RST (reset) tarkoittaa että portti on suljettu. Portti merkitään suodatetuksi jos vastausta ei tule, tai jos vastauksena saadaan ICMP unreachable -virhe. Eksoottisempiakin tekniikoita on. 79
80 UDP-skannaus UDP-skannaus on hieman hankalampaa Varsinaista yhteyttä ei muodosteta, joten avoimestakaan portista ei välttämättä saa mitään vastauspakettia. Nmapin UDP-skannaus lähettää useimpiin portteihin tyhjän paketin, mutta jos portti on tunnetusti jonkin palvelun käyttämä, siihen voidaan lähettää myös palvelukohtainen pyyntö (esim. DNS/53). Erityyppisillä ICMP unreachable -viesteillä portti saattaa varmistua suljetuksi tai suodatetuksi. Jos palvelin vastaa UDP-pakettiimme, portti varmistuu toki avoimeksi. Muutoin jäämme epävarmaan tilaan avoin suodatettu. -sv versioskannaus voi auttaa tunnistamaan tunnettuja palveluita. 80
81 Nmap-esimerkkejä nmap -v -A scanme.nmap.org Aggressiivinen oletusskannaus (scanme:ta on lupa skannata!) nmap -sp /16 Lähiverkon koneiden saavutettavuusraportti nmap -sv -p 22,53,110, Skannaa mainituilta osoiteväleiltä SSH-, DNS-, POP3- ja IMAPportit. Jos portteja on auki, tarkista palvelimen versio. nmap -v -ir Pn -p 80 Skannaa satunnaisesti valitulta osoitteelta WWWpalvelinporttia. -Pn disabloi alustavan saavutettavuustarkistuksen. Pahisten hommaa! 81
82 Porttiskannausten tunnistaminen Porttiskannausten tunnistamiseen on olemassa erillisiä työkaluja (Network Intrusion Detection System). Näistä maininnanarvoinen on Snort Analysoi verkkoliikennettä lennosta. Osaa tunnistaa useantyyppisiä hyökkäyksiä, esim: - Tunnettuja puskuriylivuotoja - Porttiskannit - CGI-hyökkäyksiä - SMB-skannausta - Käyttöjärjestelmän tunnistusskannin Sääntöjä voi luoda itse lisää joustavasti. Tarkemmin tästä osoitteesta 82
83 Nagios palveluiden tarkkailu Siinä missä nmapilla voi muun ohessa tarkkailla palveluiden saatavuutta omassa verkossaan, Nagios on tehty nimenomaan sitä varten. Nagios-järjestelmä voidaan asettaa automaattisesti valvomaan kaikkien verkon palveluiden toimivuutta. Kun ongelmia ilmenee (tai kun ne korjautuvat), asiasta ilmoitetaan sähköpostilla, SMS:llä ja/tai omalla skriptillä. Jos ongelmaa ei kuitata nopeasti, siitä voidaan raportoida ylemmäs hierarkiassa. Nagioksen lokeista näkee suoraan mitä verkossa on milloinkin tapahtunut. Suunnitellut katkoikkunat voidaan merkata erikseen, tällöin Nagios ei valita. 83
84 Nagios palvelimet ja palvelut Nagioksella on iso kasa valmiiksimääriteltyjä palvelunvalvontaskriptejä verkkopalvelun päälläolosta palvelimen muisti- ja levytilanteen valvontaan. Intiimimpiä tarkistuksia voi tehdä esim. ssh-yhteyksien yli. Palveluita (service) voi määrittää niin yksittäisille laitteille (host) kuin laiteryhmillekin (hostgroup) Kaikille ryhmän laitteille voidaan tehdä identtiset tarkistukset. Konfiguraatio /etc/nagios (tai /etc/nagios3 jne) 84
Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri
Palomuuri Teoriaa Palomuurin tehtävä on estää ei-toivottua liikennettä paikalliseen verkkoon tai verkosta. Yleensä tämä tarkoittaa, että estetään liikennettä Internetistä paikallisverkkoon tai kotikoneelle.
LisätiedotTI09. Seminaarityö 7.11.2011. Opintojakso: A241227 Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.
1(8) Seminaarityö 7.11.2011 Opintojakso: A241227 Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011 Opiskelijaryhmä: Opiskelija: TI09 Markus Varjola Seminaarityön aihe: Iptables
LisätiedotKytkimet, reitittimet, palomuurit
Kytkimet, reitittimet, palomuurit Kytkin (ja hubi): kaikki liikenne välitetään kaikille samaan kytkimeen kytketyille koneille suoraan, ei tarvitse omaa IP-osoitetta Reititin: ohjaa liikennettä verkkoalueiden
LisätiedotLaitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite
TW-EAV510: PORTTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON Laitteessa tulee olla ohjelmisto 5.00.49 tai uudempi, tarvittaessa päivitä laite OPERAATTORIN IP---OSOITE - Jotta
LisätiedotLinux palomuurina (iptables) sekä squid-proxy
Linux palomuurina (iptables) sekä squid-proxy Linux-järjestelmät Winai Prathumwong TI10HJ 06.11.2012 2 Iptables (Netfilter) Johdanto Iptables on Linux-kernelin sisäänrakennetun palomuurin, Netfilter:in
LisätiedotPikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty 29.1.2004. Niko Suominen niko@netlab.hut.fi
Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty 29.1.2004 Niko Suominen niko@netlab.hut.fi Perusteet reitittimen konfiguroinnissa IPv6-protokollapinon käyttöönotto Aivan ensimmäiseksi pitää
LisätiedotTietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone
ja ylläpito computer = laskija koostuu osista tulostuslaite näyttö, tulostin syöttölaite hiiri, näppäimistö tallennuslaite levy (keskusyksikössä) Keskusyksikkö suoritin prosessori emolevy muisti levy Suoritin
LisätiedotSalausmenetelmät (ei käsitellä tällä kurssilla)
6. Internetin turvattomuus ja palomuuri Internetin turvaongelmia Tietojen keruu turva-aukkojen löytämiseksi ja koneen valtaaminen Internetissä kulkevan tiedon tutkiminen IP-osoitteen väärentäminen Palvelunestohyökkäykset
LisätiedotKYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus
KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka Antti Parkkinen ICTLAB tuotantoverkon IPv6 toteutus Projektiopinnot kevät 2011 SISÄLLYS 1 JOHDANTO 3 2 TUTUSTUMINEN IPV6 OSOITTEISIIN
LisätiedotSiirtyminen IPv6 yhteyskäytäntöön
Siirtyminen yhteyskäytäntöön SimuNet loppuseminaari 7.12.2011 Vesa Kankare 7.12.2011 1 Agenda Taustaa Miksi Muutoksen vaikutukset verkoille operaattori ja yritysnäkökulma SimuNet 7.12.2011 2 IPv4 IPv4
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset
LisätiedotTW-EAV510AC-LTE OpenVPN ohjeistus
TW-EAV510AC-LTE OpenVPN ohjeistus OpenVPN Remote Access Android -puhelimen ja TW-EAV510 välille. OpenVPN Remote Access-yhteydellä voidaan luoda VPN-yhteys, jossa liikenne on sallittu toiseen suuntaan eli
LisätiedotDNS- ja DHCPpalvelut. Linuxissa. Onni Kytönummi & Mikko Raussi
DNS- ja DHCPpalvelut Linuxissa Onni Kytönummi & Mikko Raussi Sisällysluettelo 1. Yleisesti DNS ja DHCP palveluista... 2 1.1. DNS yleisesti... 2 1.2. DNS hierarkia ja TLD... 2 1.3. DHCP yleisesti... 3 2.
LisätiedotInternet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)
Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros) Tämän harjoituksen tarkoituksena on tutustua IP-protokollaan. Kertausta - Harjoitus 4: Erään sovelluksen
LisätiedotICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
Lisätiedot3. IP-kerroksen muita protokollia ja
3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)
LisätiedotInternet Protocol version 6. IPv6
Internet Protocol version 6 IPv6 IPv6 Osoiteavaruus 32-bittisestä 128-bittiseksi Otsikkokentässä vähemmän kenttiä Lisäominaisuuksien määritteleminen mahdollista Pakettien salaus ja autentikointi mahdollista
LisätiedotIPv6 käyttöönoton mahdollistajat operaattorin näkemys
IPv6 käyttöönoton mahdollistajat operaattorin näkemys Jyrki Soini TeliaSonera 1 IPv6 toimi nyt IPv4 osoitteet loppumassa hyvää vauhtia keskusvarasto (IANA) jakoi viimeiset osoitelohkot 3.2.2011 RIPE arvioi
LisätiedotTeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje
TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri Pikaohje Pikaohje Myyntipaketin sisältö 1. TeleWell TW-EA711 ADSL modeemi & palomuuri 2. AC-DC sähköverkkomuuntaja 3. RJ-11 puhelinjohto ja suomalainen
LisätiedotOpinnäytetyön loppuseminaari
Opinnäytetyön loppuseminaari 19.4.2011 Opinnäytetyön nimi: Palomuurien IPv6-migraatio Riku Leinonen TI07TIVE Toimeksiantaja yritys: Optimiratkaisut Oy Ohjaava opettaja: Martti Kettunen Työ liittyy hankkeeseen:
LisätiedotD-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0
D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0 Tervetuloa D-Link ADSL reitittimen omistajaksi. Tämän ohjeen avulla saat reitittimesi helposti ja nopeasti toimimaan. Tämä ohje kannattaa lukea läpi
LisätiedotNetemul -ohjelma Tietojenkäsittelyn koulutusohjelma 31.10.2011
Tietojenkäsittelyn koulutusohjelma ICT1TN002 1/6 Tietokone ja tietoverkot 1 ICT1TN002 Harjoitus lähiverkon toiminnasta Tässä harjoituksessa tutustutaan lähiverkon toimintaan Netemul ohjelman avulla. Ohjelmassa
LisätiedotSSH Secure Shell & SSH File Transfer
SSH Secure Shell & SSH File Transfer TIETOHALLINTO Janne Suvanto 1.9 2002 Sisällysluettelo Sisällysluettelo... 1 Yleistä... 2 SSH Secure Shell ohjelman asetukset... 3 POP3 tunnelin asetukset... 6 Yhteyden
LisätiedotA241227 Linux -järjestelmät TI09TIVE. Joni Ruotsalainen
A241227 Linux -järjestelmät TI09TIVE Joni Ruotsalainen DNS- ja DHCP-palvelut Linuxissa 1.12.2011 SISÄLLYS 1 DNS... 3 1.1 Lähiverkon palveluna... 3 1.2 Autoritatiivinen nimipalvelu... 3 1.3 Nimipalvelimen
LisätiedotPertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro1 29.10.2013
Virtualisointi Pertti Pennanen DOKUMENTTI 1 (5) SISÄLLYSLUETTELO Virtualisointi... 2 Virtualisointiohjelmia... 2 Virtualisointitapoja... 2 Verkkovirtualisointi... 2 Pertti Pennanen DOKUMENTTI 2 (5) Virtualisointi
LisätiedotTikon Ostolaskujenkäsittely versio 6.1.2 SP1
Toukokuu 2012 1 (14) Tikon Ostolaskujenkäsittely versio 6.1.2 SP1 Asennusohje Toukokuu 2012 2 (14) Sisällysluettelo 1. Vaatimukset palvelimelle... 3 1.1..NET Framework 4.0... 3 1.2. Palvelimen Internet
LisätiedotOSI ja Protokollapino
TCP/IP OSI ja Protokollapino OSI: Open Systems Interconnection OSI Malli TCP/IP hierarkia Protokollat 7 Sovelluskerros 6 Esitystapakerros Sovellus 5 Istuntokerros 4 Kuljetuskerros 3 Verkkokerros Linkkikerros
LisätiedotAntti Vähälummukka 2010
Antti Vähälummukka 2010 TCP/IP (Transmission Control Protocol / Internet Protocol) on usean Internet-liikennöinnissä käytettävän tietoverkkoprotokollan yhdistelmä. IP-protokolla on alemman tason protokolla,
LisätiedotS 38.1105 Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory
S 38.1105 Tietoliikennetekniikan perusteet Pakettikytkentäiset verkot Kertausta: Verkkojen OSI kerrosmalli Sovelluskerros Esitystapakerros Istuntokerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen
LisätiedotINTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S
INTERNET-yhteydet IP-osoite IP-osoitteen tarkoituksena on yksilöidä laite verkossa. Ip-osoite atk-verkoissa on sama kuin puhelinverkossa puhelinnumero Osoite on muotoa xxx.xxx.xxx.xxx(esim. 192.168.0.1)
LisätiedotObjective Marking. Taitaja 2014 Lahti. Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1. Competitor Name
Objective ing Skill Number 205 Skill Tietokoneet ja verkot Competition Day 1 Sub Criterion SRV01 palvelin Sub Criterion A1 ing Scheme Lock 08-04-2014 09:35:59 Entry Lock 08-04-2014 19:36:30 O1 0.50 Palvelimen
LisätiedotDirectory Information Tree
IP-osoite / Host taulu, jossa neljä 8 bit lukua esim. 192.168.0.10/24, unix, linux, windows windows\system32\drivers\etc DNS (Domain Name System), muuttaa verkkotunnuksen IPosoitteeksi. X.500 perustuu
LisätiedotMark Summary Form. Tulospalvelu. Competitor No Competitor Name Member
Summary Form Skill Number 205 Skill Tietokoneet ja verkot Criterion Criterion Description s Day 1 Day 2 Day 3 Day 4 Total Award A B C D E Windows Palvelimen asennus ja konfigurointi Linux palvelimen asennus
LisätiedotTurvallisuus verkkokerroksella
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotTurvallisuus verkkokerroksella
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotAH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake
Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security
LisätiedotThe administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka
The administrative process of a cluster Santtu Rantanen Valvoja: Prof. Jorma Jormakka Sisällysluettelo Johdanto Yleistä HA klustereista Tietoturva klustereissa Hallintaprosessi Johtopäätökset Johdanto
LisätiedotTietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)
Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat
LisätiedotYritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus
LisätiedotSecurity server v6 installation requirements
CSC Security server v6 installation requirements Security server version 6.x. Version 0.2 Pekka Muhonen 2/10/2015 Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes Contents
LisätiedotPalomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri
Tehtävän suorittaminen Työssä käytetään kahta virtuaalista Windows 7:ää. Tehtävää varten on Helgapalvelimella valmis Ghostilla tehty osion kuva. Palomuuri Teoriaa Palomuurin tehtävä on estää ei-toivottua
LisätiedotOsoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.
Lic.(Tech.) Marko Luoma (1/33) Lic.(Tech.) Marko Luoma (2/33) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut Verkossa käytetään lokaaleja
LisätiedotKuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti
Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP
LisätiedotTW-EAV510AC mallin ohjelmistoversio
TW-EAV510AC ohjelmistopäivitys TW-EAV510AC mallin 1.1.00-36 ohjelmistoversio 04.02.2018 (Tuotannossa oleva koodin versio on TWEAV510AC_v1.1.00.18) Tietoturvan takia ohjelmiston päivityksen jälkeen pitää
LisätiedotTW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS
TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS Esimerkki 1: L2TP- yhteys kahden TW- EAV510/TW- EAV510AC laitteen välille Esimerkki 2: L2TP- yhteys TW- EAV510/TW- EAV510 AC ja Windows 8/8.1 koneen välillä Esimerkki
LisätiedotTW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla
TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla Laite 1 TW- EAV510 v2: - Tähän laitteeseen tulee ulkoverkon
LisätiedotYleinen ohjeistus Linux tehtävään
Yleinen ohjeistus Linux tehtävään Sinulle on toimitettu valmiiksi asennettu HYPER V ympäristö. Tehtäväsi on asentaa tarvittavat virtuaalikoneet, sekä konfiguroida ne ja verkkolaitteet, tehtävän mukaisesti.
LisätiedotEtäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.
Foscam kameran etäkäyttö Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä. Kamera sijoitetaan aina paikalliseen lähiverkkoon (LAN) jossa
LisätiedotReititys. ip route add default via reititin missä reititin on välittävän koneen (gateway) osoite
Reititys Miten löydetään kone jolla on tietty IP? Samaan aliverkkoon pääsee suoraan, muuten tarvitaan reititystä Oletusreitin asetus (yleensä automaattinen): ip route add default via reititin missä reititin
LisätiedotTW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta
TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta WDS- VERKON RAKENTAMINEN OSA 1: JOHDANTO WDS- tekniikalla voidaan jatkaa langatonta verkkoa käyttämällä tukiasemia siltana, jolloin verkkoa
LisätiedotLANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI
LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI 1 (18) 2 (18) SISÄLLYSLUETTELO WLAN-verkkoliityntöjen konfigurointi...3 Tunnistautumispalveluiden konfigurointi...8 WLAN-radioverkkojen konfigurointi...11
LisätiedotLiikkuvuudenhallinta Mobile IP versio 6 - protokollalla
Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla Mikko Merger Valvoja: Professori Jorma Jormakka Ohjaaja: TkL Markus Peuhkuri TKK/Tietoverkkolaboratorio 1 Sisällysluettelo Tavoitteet IEEE 802.11
LisätiedotLiikkuvien isäntäkoneiden reititys
Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä
LisätiedotIP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?
Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä
LisätiedotIHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?
VERKKOTEKNIIKKAA Sisältö: Johdatus aiheeseen. Mikä on tieto(kone)verkko ja miksi sellaisia on? Verkot ohjelmistonäkökulmasta. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan? Verkot
LisätiedotWL54AP2. Langattoman verkon laajennusohje WDS
WL54AP2 Langattoman verkon laajennusohje WDS Näitä ohjeita seuraamalla saadaan langaton lähiverkko laajennettua yksinkertaisesti kahden tai useamman tukiaseman verkoksi. Tukiasemien välinen liikenne(wds)
LisätiedotOsoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut
Lic.(Tech.) Marko Luoma (1/31) Lic.(Tech.) Marko Luoma (2/31) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut IPv4 osoiteavaruus on loppumassa
LisätiedotTietoliikenne II (2 ov)
Tietoliikenne II (2 ov) Kevät 2001 Liisa Marttinen Kurssikirja: Tanenbaum, Computer Networks (3. Painos) Tietoliikenne II Kertausta ja täydennystä Tietoliikenne I - kurssin asioihin perusteellisemmin laajemmin
LisätiedotSähköpostitilin käyttöönotto
Sähköpostitilin käyttöönotto Versio 1.0 Jarno Parkkinen jarno@atflow.fi Sivu 1 / 16 1 Johdanto... 2 2 Thunderbird ohjelman lataus ja asennus... 3 3 Sähköpostitilin lisääminen ja käyttöönotto... 4 3.2 Tietojen
LisätiedotTietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013
Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2013 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys
LisätiedotFoscam kameran asennus ilman kytkintä/reititintä
Foscam kameran asennus ilman kytkintä/reititintä IP laitteiden asennus tapahtuu oletusarvoisesti käyttäen verkkokaapelointia. Kaapeli kytketään kytkimeen tai suoraan reittimeen, josta laite saa IP -osoitetiedot,
LisätiedotYleinen ohjeistus Linux-tehtävään
Yleinen ohjeistus Linux-tehtävään Sinulle on toimitettu valmiiksi asennettu HYPER-V ympäristö, sekä kolme virtuaalikonetta. Tehtäväsi on importata nämä virtuaalikoneet ja konfiguroida ne, sekä verkkolaitteet,
LisätiedotVerkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi
Julkinen Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi 20.11.2013 Julkinen 2 VML 131 Velvollisuus korjata häiriö Jos viestintäverkko tai laite aiheuttaa vaaraa tai
LisätiedotTurvallinen etäkäyttö Aaltoyliopistossa
Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016
Lisätiedotiptables: lokitus syslog-facility on kern, sitä ei voi vaihtaa. Ts. rsyslog.conf'issa tarvitaan esim.
iptables: lokitus Yksi erityinen kohde iptables-säännöille on LOG, jolla haluttu (epäilyttävä) paketti saadaan kirjattua lokiin. Lokitusta voidaan tarkemmin säädellä optioilla: Esim. --log-level level
LisätiedotT-110.4100 Tietokoneverkot kertaus
kertaus 1 Infrastruktuuripalvelut: DNS, SNMP Tietoturvaratkaisu TLS Sovelluskerros Käyttäjän sovellukset: sähköposti (SMTP, IMAP) WWW (HTTP) FTP, SSH, Socket-rajapinta ohjelmoinnille IP, osoitteet, reititys
LisätiedotKytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas
Sivu 1/5 Kytkentäopas Tuetut käyttöjärjestelmät Software and Documentation -CD-levyltä voi asentaa tulostinohjelmiston seuraaviin käyttöjärjestelmiin: Windows 8 Windows 7 SP1 Windows 7 Windows Server 2008
Lisätiedot1.1 Palomuuri suunnitelma
Työ oli osa IT-palveluiden hallinta ja tietoturva kurssia, joka on osa kolmannen vuoden moduuliopintoja. Työssä keskityttiin lähinnä ingress-filteröintiin, eli filteröidään liikenne sen tullessa sisäänrajapintaan.
LisätiedotTekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet
Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet 15.11.2012 Sisällysluettelo 1 Johdanto... 3 1.2 Interaktiivinen FTP-yhteystapa... 3 1.3 Linkki aineistosiirtopalveluun liittyvät dokumentit...
LisätiedotTW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON
TWEAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON Laitteessa tulee olla ohjelmisto 5.00.49 tai uudempi, tarvittaessa päivitä laite OPERAATTORIN IPOSOITE Jotta valvontakameran
Lisätiedoterasmartcardkortinlukijaohjelmiston
erasmartcardkortinlukijaohjelmiston asennusohje Sisällysluettelo 1. erasmartcard... 2 2. erasmartcard-ohjelmiston normaali asennus... 3 2.1. Ennen asennusta... 3 2.2. Asennus... 3 3. Muut asennustavat...
LisätiedotTitan SFTP -yhteys mittaustietoja varten
2 (7) Sisällysluettelo 1 SFTP tiedonsiirto... 4 1.1 SFTP Palvelin... 4 2 Avaintenluonti... 5 2.1 Avainten hallintaprosessi... 6 3 Tiedoston kuvaus ja tallennus... 7 3 (7) Muutoshistoria Päivämäärä Versio
LisätiedotNFS: Network File System
NFS: Network File System Keino jakaa tiedostojärjestelmä kokonaan tai osittain (alihakemisto) toiselle koneelle. NFSv3:ssa koneet luottavat toisiinsa, vähänlaisesti tietoturvaominaisuuksia. NFSv4 lisää
LisätiedotOlet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.
StorageIT 2006 varmuuskopiointiohjelman asennusohje. Hyvä asiakkaamme! Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun. Ennen asennuksen aloittamista Varmista, että
LisätiedotSiltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/2003 79. Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja
Siltojen haitat sillat puskuroivat ja aiheuttavat viivettä ei vuonsäätelyä => sillan kapasiteetti voi ylittyä kehysrakenteen muuttaminen => virheitä jää havaitsematta Yleisesti edut selvästi suuremmat
LisätiedotKytkimet, reitittimet, palomuurit
Kytkimet, reitittimet, palomuurit Kytkin (ja hubi): kaikki liikenne välitetään kaikille samaan kytkimeen kytketyille koneille suoraan, ei tarvitse omaa IP-osoitetta Reititin: ohjaa liikennettä verkkoalueiden
LisätiedotTietoliikenne II (2 ov)
Tietoliikenne II (2 ov) Kevät 2001 Liisa Marttinen Kurssikirja: Tanenbaum, Computer Networks (3. Painos) Tietoliikenne II Kertausta ja täydennystä Tietoliikenne I - kurssin asioihin perusteellisemmin laajemmin
LisätiedotJavan asennus ja ohjeita ongelmatilanteisiin
Javan asennus ja ohjeita ongelmatilanteisiin Javaa tarvitaan Fivaldin Sovellusikkunan alaisiin sovelluksiin, jotka käyttävät Oracle Forms -tekniikkaa. Visma Fivaldin osalta suosittelemme aina käyttämään
Lisätiedottelnet telnet kone portti
telnet Telnet on alunperin tehty pääteyhteyden muodostamiseksi verkon yli, mutta koska siinä ei ole minkäänlaista salausta, siitä on luovuttu eikä telnet-demonia enää juuri missään käytetä. Telnet-client
LisätiedotMiksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet
Lic.(Tech.) Marko Luoma (1/31) Lic.(Tech.) Marko Luoma (2/31) Miksi? S38.192 Verkkopalvelujen tuotanto Luento 2: Verkkoosoitteiden manipulaatiopalvelut Ongelma: A,B ja C luokkiin perustuva osoitejako johti
LisätiedotTaloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X
Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet Käyttöjärjestelmä: Mac OS X Espoon Taloyhtiöverkot, 2010 Ohjeet laajakaistaverkon käyttöön ottamiseksi Tietokone kytketään huoneistossa olevaan ATK-rasiaan
LisätiedotSecurity server v6 installation requirements
CSC Security server v6 installation requirements Security server version 6.4-0-201505291153 Pekka Muhonen 8/12/2015 Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes
Lisätiedot3. Kuljetuskerros 3.1. Kuljetuspalvelu
End- to- end 3. Kuljetuskerros 3.1. Kuljetuspalvelu prosessilta prosessille looginen yhteys portti verkkokerros koneelta koneelle IP-osoite peittää verkkokerroksen puutteet jos verkkopalvelu ei ole riittävän
LisätiedotKAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA
LUE TEHTÄVÄ KOKONAAN ENNEN ALOITTAMISTA!!! KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA Asiakkaanne Paten Bitti Oy on nopeasti kasvava suomalainen ohjelmistotalo, joka on laajentanut toimintaansa
LisätiedotYleinen ohjeistus Windows tehtävään.
Yleinen ohjeistus Windows tehtävään. Sinulle on toimitettu valmiiksi asennettu HYPER-V ympäristö. Tehtävänäsi on importata/asentaa vaadittavat palvelimet ja työasemat sekä konfiguroida nämä tehtävän mukaisesti.
LisätiedotOption GlobeSurfer III pikakäyttöopas
Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen
LisätiedotTW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO
TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla WDS- verkko luodaan 2.4G tukiasemien välillä Laite 1 (TW- EAV510 tai TW- EAV510 AC): - Tähän
LisätiedotSelvitysraportti. MySQL serverin asennus Windows ympäristöön
Selvitysraportti MySQL serverin asennus Windows ympäristöön IIO30200 / Jouni Huotari Arto Sorsa / F3900 CREATIVE COMMONS LISENSOITU http://creativecommons.org/licenses/by-nc-sa/1.0/fi/ 26.4.2010 1 SISÄLTÖ
LisätiedotWLAN-laitteen asennusopas
1 WLAN-laitteen asennusopas Ohje Inteno DG200 käyttöön WLAN-tukiasemana Tässä ohjeessa WLAN ja WIFI tarkoittavat samaa asiaa. 2 1. Myyntipaketin sisältö: -Inteno-modeemireititin (malli DG200) -Virtajohto
LisätiedotY k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org
Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a Mikko Rauhala Vaalimasinointi.org M i t k ä t i e d o t, m i l t ä s u o j a s s a? Verkossa kulkee paljon yksityistä tietoa, josta moni taho
LisätiedotTIETOKONEET JA VERKOT. 15.5.2013 v.1.4
Asiakkaanne Paten Bitti Oy on nopeasti kasvava suomalainen ohjelmistotalo, joka on laajentanut toimintaansa erityisesti kotimaassaan ja tällä kertaa Joensuuhun. Paten Bitti tuottaa sovelluksia pääasiallisesti
LisätiedotTi LÄHIVERKOT -erikoistyökurssi. X Window System. Jukka Lankinen
Ti5316800 LÄHIVERKOT -erikoistyökurssi X Window System Jukka Lankinen 2007-2008 Sisällys Esitys vastaa seuraaviin kysymyksiin: Mikä on X Window System? Minkälainen X on? Mistä sen saa? Miten X:ää käytetään?
LisätiedotPilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit
Esimerkki arkkitehtuurit Sivu 2/8 Sisällysluettelo 1. Johdanto... 3 1.1. Termejä... 3 2. Web hosting ilman kuormantasausta... 4 3. Web hosting kuormatasaus ja bastion... 5 3.1.... 5 3.2. Kuvaus... 5 4.
LisätiedotJärjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut
Järjestelmän asetukset Järjestelmänhallinnan työkalut Ubuntussa järjestelmän hallintaan ja asetusten muokkaamiseen tarkoitetut ohjelmat on koottu Järjestelmä-valikon alle Asetukset- ja Ylläpito -alavalikoista
LisätiedotKYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka
KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka Kristopher Vuorela UBUNTUN ASENNUS JA ALKEET 206101312 Linux järjestelmät Lukukausi: Kevät 2015 Työ valmistui: 15.04.2015
LisätiedotWWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY
1 WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY 10.4.2015 Lounea Oy Tehdaskatu 6, 24100 Salo Puh. 029 707 00 Y-tunnus 0139471-8 www.lounea.fi Asiakaspalvelu 0800 303 00 Yrityspalvelu 0800 303 01 Myymälät 0800 303
LisätiedotJOVISION IP-KAMERA Käyttöohje
JOVISION IP-KAMERA Käyttöohje 1 Yleistä... 2 2 Kameran kytkeminen verkkoon... 2 2.1 Tietokoneella... 2 2.2 Älypuhelimella / tabletilla... 5 3 Salasanan vaihtaminen... 8 3.1 Salasanan vaihtaminen Windows
Lisätiedoterasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi)
erasmartcard-kortinlukijaohjelmiston asennusohje (mpollux jää toiseksi kortinlukijaohjelmistoksi) Sisällysluettelo 1 erasmartcard 3 2 erasmartcard-ohjelmiston normaali asennus 4 2.1 Ennen asennusta 4 2.2
LisätiedotVuonimiö on pelkkä tunniste
Reitittimelle vuo on joukko peräkkäisiä paketteja, joita tulee käsitellä tietyllä tavalla samat resurssivaraukset samat turvallisuusvaatimukset samat säännöt pakettien hävittämiseen samat etuoikeudet jonoissa
Lisätiedot