Verkkojen tietoturva Luentomateriaali, kevät Timo Karvi. HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Koko: px
Aloita esitys sivulta:

Download "Verkkojen tietoturva Luentomateriaali, kevät Timo Karvi. HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos"

Transkriptio

1 Verkkojen tietoturva Luentomateriaali, kevät 2006 Timo Karvi HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

2 Sisältö 1 IPSEC ja VPN-verkot Yleiskatsaus IPSECiin IPSEC-arkkitehtuuri Arkkitehtuurin yleiskuva Turvayhteydet Turvapolitiikan tietokanta Todennusotsake Uudelleenlähetysten esto Eheyden tarkistusarvo Kuljetus- ja tunnelimoodi Ongelmia Koteloitu salattu data Salaus- ja todennusalgoritmit Kuljetus- ja tunnelimoodi AH:n ja ESP:n toiminta kuvioina Turvayhteyksien yhdistäminen IPSECin kritiikkiä IPSECin dokumentointi Datan käsittely Operaatioiden järjestys Turvayhteydet Turvapolitiikat IPSECin avaintenhallinta Aloitus i

3 ii SISÄLTÖ 2 Yleiskatsaus langattomaan teknologiaan Langattomat verkot WLAN:it Ad hoc -verkot Langattomat päätelaitteet PDA:t Älypuhelimet Langattomat standardit IEEE Bluetooth Langattomat turvallisuusuhat ja riskien vähentäminen Uudempia langattomia sovelluksia WLAN Yleiskatsaus Arkkitehtuuri ja protokollat Arkkitehtuuri Protokollat WLAN:in tietoturva yleisesti SSID ja WEP yleisesti RC4-jonosalaus WLAN:in tietoturvan ongelmia Julkiset WLAN:it Kontrolliviestit MAC-osoitteisiin perustuva ja muu todentaminen WEP:in tietoturvaongelmat WLAN:in tietoturvan parantaminen Tietoturvan parantaminen lähiverkon suunnittelulla Turvakomponentit Bluetoothin tietoturvasta Johdanto Bluetooth fyysisesti Bluetoothin arkkitehtuuri

4 Luku 1 IPSEC ja VPN-verkot 1.1 Yleiskatsaus IPSECiin IPSEC on IP-verkkoprotokollien laajennus, millä estetään IP-pakettien urkkiminen ja muuntaminen. IPSEC on syntynyt uuden IPv6-protokollan yhteydessä ja IPv6 onkin IPSECin luonteva alusta. IPSEC voidaan kuitenkin sovittaa myös IPv4- protokolliin. Verkkotason suojaus ei vaikuta sovellusohjelmiin tai sovellusprotokolliin ja IPSEC-paketteja voivat käsitellä jo käytössä olevat reitittimet ja reitittävät isäntäkoneet. Seuraavassa luetellaan IPSECin sovelluksia: Yritys voi rakentaa turvallisen virtuaalisen yksityisen verkon Internetin tai julkisen WAN-verkon yli. Tämä mahdollistaa sen, että yritykset voivat luottaa Internetiin ja säästää yksityisen verkon perustamis- ja käyttökustannukset. Loppukäyttäjä, jolla on IPSEC implementoituna, voi ottaa paikallisen yhteyden Internetin palveluntarjoajaan, jota kautta hän voi edelleen saada turvallisen yhteyden yrityksensä suljettuun verkkoon. Tämä vähentää kaukopuhelukuluja. IPSECiä voidaan käyttää varmistamaan kommunikointi toisten organisaatioiden kanssa niin, että todennus ja luottamuksellisuus taataan. IPSEC lisää elektronisen kaupankäynnin turvallisuutta. Paitsi että IPSEC takaa loppukäyttäjien kommunikoinnin turvallisuuden, se on tärkeässä asemassa myös reitityksessä. Seuraavassa on muutamia tärkeitä sovelluksia reititykseen. Reitittäjän ilmoitukset siitä, että se on tullut mukaan toimintaan, saadaan valtuutetulta reitittimelta. Muiden ilmoitukset voidaan hylätä. Samoin kun reitittäjä etsii naapureitaan, etsintä voi perustua valtuutettujen reitittimien toimintaan. 1

5 2 LUKU 1. IPSEC JA VPN-VERKOT Uudelleenreititysohjeet tulevat reitittimeltä, joka todella aloitti pakettien reitityksen. Reititystietojen päivitykset eivät ole väärennettyjä. 1.2 IPSEC-arkkitehtuuri Arkkitehtuurin yleiskuva IPSEC on varsin monimutkainen ja terminologiakin on erikoista. Protokolla on suunniteltu toteuttamaan luottamuksellisuus (salauksen avulla) ja todennus. Kummallekin suojaustavalle on määritelty oma otsikkonsa, koteloitu salattu data ja todennusotsikko. Yksi ja sama IP-paketti voi sisältää yhden tai molemmat otsikot riippuen tarvittavasta turvapalvelusta. Todennusotsikko (AH, Authentication Header) sisältää eheyden tarkistustietoa, millä voidaan tarkistaa, onko paketti väärennös tai onko sitä muutettu matkalla epäluotettavan verkon läpi. Otsikko sisältää tätä varten tarkistussumman. Tarkistussumma sisältää salaista tietoa, josta syystä ulkopuolinen ei pysty laskemaan toista tarkistussummaa, mikä osoittaisi sisällön aitouden. Koteloitu salattu data -otsikkoa (ESP, Encapsulating Security Payload) käyttämällä salataan paketin loppuosan datasisältö. ESP-otsikon muoto vaihtelee sen mukaan, mitä salausalgoritmia käytetään. Kaikissa tapauksissa käytettävä salausavain valitaan parametrin SPI (security parameter index) avulla. IPSEC-protokolla koostuu siten kahdesta versiosta, joista toinen kattaa pelkästään todennuksen todennusotsikon avulla. Toinen versio on yhdistetty todennusja salausprotokolla, jonka yhteydessä käytetään otsikkoa koteloitu salattu data yksinään tai todennusotsikon kanssa, jos halutaan salauksen lisäksi todennus. IPSEC tarjoaa kuitenkin enemmän kuin pelkästään yksinkertaisen todennuksen ja salauksen. Seuraavassa on lueteltu IPSECin tarjoamat palvelut: Pääsynvalvonta. Yhteydetön eheys. Datan alkuperään liittyvä todennus. Toistohyökkäysten torjunta. Luottamuksellisuus. Rajoitettu liikennevirran luottamuksellisuus.

6 1.2. IPSEC-ARKKITEHTUURI Turvayhteydet Turvayhteydet (security associations) on avainsana toteutettaessa todennusta ja luottamuksellisuutta. Kummankin IPSEC-suojaukseen pyrkivän isäntäkoneen tulee muodostaa aluksi turvayhteys toinen toiseensa. Turvayhteys määrittelee, mitä ja miten IPSEC-suojausta käytetään, eli mitä turvapalvelua milloinkin käytetään, miten salaus ja/tai todennus suoritetaan ja mitä avaimia pitää käyttää. Eli turvayhteys sisältää kaiken sen informaation, mitä tarvitaan luotettavan yhteyden määrittelemisessä ja toteutuksessa. IETF:n dokumentit käsittelevät turvayhteyttä ja sen sälytyspaikkaa, SAD:ia (security association database), hypoteettisinä käsitteinä, koska ne ovat osapuolten sisäisiä asioita. Ne sisältävät kommunikoinnin kannalta oleellisia tietoja, mutta itse SA kokonaisuudessaan ei ole osa kommunikointia. Sen tähden dokumentit eivät ota kantaa sen muotoon tai sijaintiin. Käytännössä SAD on taulukko, jota säilytetään suojatussa muistissa, ja SA on tietue taulukossa. Jokainen turvayhteys sisältää tietoa, jonka avulla IPSec-prosessi voi päättää, sovelletaanko SA:n määrittelemää suojaa tiettyyn lähtevään tai tulevaan pakettiin. Ratkaisu tehdään SA:n valitsimien (selectors) perusteella. Valitsimet sisältävät seuraavaa: Lähde- ja kohdeosoite. Toistaiseksi sallitaan vain yksittäiset osoitteet, ei yleislähetyksiä. Kohdeosoite voi olla joko loppukäyttäjä tai palomuuri tai reititin. Nimi on joko käyttäjätunnus tai systeemin nimi. Käyttäjätunnus rajaa SA:n vain erityisen käyttäjän aloittamaan tai vastaanottamaan kommunikointiin. Jos ainoat valitsimet ovat kommunikoivien osapuolten käyttäjätunnuksia, SA:ta kutsutaan käyttäjäsuuntautuneeksi (user-oriented). Jos taas käytetään systeeminimiä, se rajaa liikenteen tiettyjen systeemien välille. Systeemi voi olla isäntäkone, turvayhdyskäytävä tms. Kuljetuskerroksen protokolla (TCP tai UDP). Lähde- ja kohdeportti. Yleensä käytetään yhtä ainoaa porttinumeroa, jolla rajataan SA:n käyttö tiettyyn sovellukseen (esim. FTP). Jokainen SA sisältää myös seuraavia tietoja: Järjestysnumerolaskuri on 32 bitin arvo, jota käytetään AH- ja ESP-otsakkeissa järjestysnumeroiden generoimiseen. Järjestysnumeron ylivuoto on lippu, joka osoittaa, kirjataanko järjestysnumeron ylivuodosta lokitapahtuma vai ei. Jos kirjataan, niin seuraavien pakettien lähetys tässä turvayhteydessä on estetty. Uudelleenlähetysikkunaa (anti-replay window) käytetään ratkaisemaan, onko saapunut AH- tai ESP-paketti uudelleenlähetys vai ei.

7 4 LUKU 1. IPSEC JA VPN-VERKOT AH-informaatio sisältää todennusalgoritmin, avaimet, avainten eliajan ja parametrit, joita tarvitaan AH-paketin ja todennuksen yhteydessä. ESP-informaatio sisältää salaus- ja todennusalgoritmit, avaimet, alustusarvot, avainten elinajat ja muut parametrit, joita tarvitaan ESP:n kanssa. Turvayhteyden elinaika on aikaväli tai tavumäärä, jonka jälkeen turvayhteys täytyy korvata uudella tai päättää. Elinaikaan liittyy vielä tieto, kumpi noista kahdesta on käytössä. IPSECin protokollamoodi tarkoittaa tunneli-, kuljetusmoodia tai villiä korttia, joiden merkitystä selvitetään myöhemmin. Polun MTU (maximum transmission unit) tarkoittaa maksimaalista pakettikokoa, joka voidaan välittää pilkkomatta. Lisäksi paketteihin liittyvät aikamääreet kuuluvat MTU-parametriin. On varsin todennäköistä, että kommunikoivat osapuolet sopivat useammasta kuin yhdestä SA:sta. Esimerkiksi sähköposti ja Web-sovellus vaativat vähemmän kuin maksuja siirtävä protokolla. Kun suojattua pakettia ollaan lähettämässä, lähettäjän täytyy tiedottaa vastaanottajalle, mitä SA:ta on käytetty paketin kohdalla, jotta vastaanottaja tietäisi valita saman SA:n. Tätä palvelee turvaparametri-indeksi (SPI). Koska jokainen SA on yksisuuntainen, turvallinen kaksisuuntainen yhteys vaatii kahden SA:n määrittelemistä: sisään tulevan ja ulos menevän. SPI yhdessä kohdeosoitteen ja turvaprotokollan (AH, ESP) kanssa on riittävä, jotta sisään tulevan paketin SA osataan hakea SAD:sta. Jotta taataan SPI:n yksikäsitteisyys, kumpikin osapuoli valitsee oman sisääntulevan SPI:n Turvapolitiikan tietokanta Kaikki liikenne IPSEC-verkoissa jaetaan turvayhteyksiin ja muuhun liikenteeseen. Turvayhteyksiä voidaan yhdistellä monella tavalla halutun tuloksen aikaansaamiseksi. Turvayhteyksiin liittyvää liikennettä säädellään turvapolitiikan tietokannan (SPD) avulla. Yksinkertaisimmillaan SPD sisältää tietueita, joista kukin liittyy tiettyyn osaan IP-liikennettä ja tiettyyn turvayhteyteen. Monimutkaisemmissa tilanteissa moni tietue voi liittyä samaan turvayhteyteen tai moni turvayhteys voi liittyä yhteen SPD-tietueeseen. Tällä kurssilla ei kaikkia mahdollisuuksia käsitellä yksityiskohtaisesti. Jokainen SPD-tietue määritellään IP- ja ylemmän kerroksen kenttäarvojen avulla, joita kutsutaan valitsimiksi (selectors). Näitä valitsimia käytetään suodattamaan ulosmenevä liikenne siten, että se kyetään yhdistämään tiettyyn turvayhteyteen. Ulosmenevän liikenteen käsittely noudattaa seuraavia periaatteita: 1. Etsi paketin sopivien kenttien perusteella liikennettä vastaava SPD-tietue, joka puolestaan viittaa nollaan tai useampaan turvayhteyteen. 2. Poimi SPD-tietueen ja paketin SPI:n perusteella pakettiin liittyvä turvayhteys.

8 1.3. TODENNUSOTSAKE 5 3. Prosessoi paketti turvayhteyden mukaisesti. SPD-tietueen määrittelemiseksi käytetään seuraavia valitsimia: Kohteen IP-osoite voi olla joko yksittäinen osoite, osoitelista, osoiteväli tai villi kortti -osoite. Jos osoite käsittää useita yksittäisiä osoitteita, niiden haltijat sijaitsevat saman palomuurin takana ja niihin liittyy sama turvayhteys. Lähteen IP-osoite voi myös olla yksittäinen, lista, väli tai villi kortti. Käyttäjätunnus on käyttöjärjestelmään liittyvä käyttäjätunnus. Tätä ei käytetä IP- tai ylemmissä otsakkeissa, mutta se on saatavilla, jos IPSEC toimii saman käyttöjärjestelmän alaisuudessa kuin käyttäjäkin. Tiedon luottamuksellisuusaste on esimerkiksi salainen tai luokittelematon. Kuljetuskerroksen protokolla saadaan IPv4:n tai IPv6:n kentästä Next Header. Se voi olla yksittäisen protokollan numero, lista protokollanumeroita tai protokollanumeroiden väli. IPSEC-protokolla eli AH, ESP tai AH+ESP saadaan samasta kentästä kuin edellinen tieto. Lähde- ja kohdeportit voivat jälleen olla yksittäisiä tai usean portin joukkoja. IPv6-luokka saadaan IPv6:n otsakkeesta. IPv6-vuon merkki saadaan IPv6:n otsakkeesta. IPv4:n palvelutyyppi saadaan IPv4:n otsakkeesta. 1.3 Todennusotsake Todennusotsakkeeseen (AH) perustuva protokolla huolehtii siis tiedon eheydestä ja IP-pakettien todennuksesta. Pakettien todennus varmistaa käyttäjän tai palvelun identiteetin, joiden pohjalta suodatus tapahtuu. AH suojaa myös uudelleenlähetyksiä vastaan. Todennus perustuu MAC-koodiin, joka edellyttää samaa salaista avainta lähettäjällä ja vastaanottajalla. Todennusotsake koostuu seuraavista kentistä: Seuraavan paketin otsakkeen tyyppi (8 b). Hyötykuorman pituus (8 b). Varattu osa ( 16 b). SPI (32 b).

9 6 LUKU 1. IPSEC JA VPN-VERKOT Järjestysnumero (32 b). Todennustieto (muuttuva). Tämä kenttä sisältää eheyden tarkistusarvon (ICV, integrity check value) tai MAC-arvon Uudelleenlähetysten esto Uudelleenlähetysten torjuntaan käytetään AH:n järjestysnumerokenttää. Kun uutta turvayhteyttä perustetaan, lähettäjä alustaa järjestysnumerolaskurin nollaksi. Joka kerran kun paketti lähetetään käyttäen perustettua turvayhteyttä, lähettäjä kasvattaa laskuria ja asettaa sen arvon järjestysnumerokenttään. Siten ensimmäinen arvo on 1. Laskurin suurin arvo on Laskuria ei saa päästää tämän jälkeen takaisin nollaan, vaan jos lisäpaketteja on tulossa, on perustettava uusi turvayhteys uudella avaimella. Koska IP on yhteydetön, epäluotettava palvelu, protokolla ei takaa, että paketit luovutetaan perille järjestyksessä tai että edes kaikki paketit menevät perille. Siksi IPSEC vaatii, että vastaanottajan on toteutettava ikkuna, jonka oletusarvoinen koko on W = 64. Ikkunan oikea reuna sisältää suurimman tähän asti vastaanotetun järjestysnumeron, N. Jos saapuvan paketin järjestysnumero on välillä [N W + 1, N], vastaava paikka ikkunassa merkitään. Tarkemmin kuvattuna vastaanottopäässä tehdään seuraavaa: 1. Jos saapuneen paketin järjestysnumero sisältyy ikkunan lukuihin ja on uusi, MAC tarkistetaan. Jos todennus onnistuu, järjestysnumeroa vastaava paikka ikkunassa merkitään. 2. Jos saapuneen paketin järjestysnumero menee oikealta ikkunan ulkopuolelle ja on uusi, MAC tarkistetaan. Jos todennus onnistuu, ikkunaa siirretään oikealle niin, että vastaanotetusta järjestysnumerosta tulee ikkunan uusi oikea reuna. 3. Jos saapuneen paketin järjestysnumero menee vasemmalta ikkunan ulkopuolelle tai jos todennus epäonnistuu, paketti hylätään. Hylkäys kirjataan lokiin Eheyden tarkistusarvo Eheyden tarkistusarvo on tiivistefunktion tai MACin arvo. IPSECin tulee tarjota ainakin kaksi tiivistefunktiota, HMAC-MD5-95 ja HMAC-SHA Molemmat käyttävät HMAC-algoritmia, edellinen MD5-tiivistefunktion, jälkimmäinen SHA-1 -tiivistefunktion kanssa. Kummassakin lasketaan ensin kryptografinen tiivistekoodi, mutta siitä otetaan mukaan vain ensimmäiset 96 bittiä. Tiivistearvo lasketaan seuraavista kentistä: IP:n tunnusosan kentät, jotka eivät muutu liikenteessä tai joiden arvo vastaanotettaessa on ennustettavissa. Kentät, jotka muuttuvat matkalla eivätkä ole ennustettavissa, asetetaan nollaksi tiivistettä laskettaessa.

10 1.3. TODENNUSOTSAKE 7 AH-otsake paitsi todennustietokenttää, joka asetetaan nollaksi. Kaikki ylemmän tason tieto, joka oletetaan muuttumattomaksi liikenteessä Kuljetus- ja tunnelimoodi IPSECin todennuspalvelua voidaan käyttää kahdella tavalla. Näitä tapoja kutsutaan kuljetusmoodiksi ja tunnelimoodiksi. Kuvassa 1.1 nähdään pakettien tilanne ennen AH:n soveltamista. Kuvassa 1.2 puolestaan on pakettien tilanne kuljetusmoodissa AH:n soveltamisen jälkeen. AH todentaa koko kentän mahdollisia muuttuvia kenttiä lukuunottamatta. Huomattakoon, että tilanne on erilainen IPv4:n ja IPv6:n välillä. IPv4 orig IP TCP Data otsake IPv6 orig IP laajennus TCP Data otsake otsakkeet Kuva 1.1: Ennen AH:n soveltamista IPv4 orig IP AH TCP Data otsake IPv6 orig IP hop-by-hop AH TCP Data otsake maali,reititys Kuva 1.2: Kuljetusmoodi Kuljetusmoodia käytetään esimerkiksi kuvan 1.3 tilanteessa, jossa asiakas ja palvelin kommunikoivat suoraan ja niillä on yhteinen salainen avain. Asiakas voi olla joko samassa verkossa palvelimen kanssa tai eri verkossa. Palvelin Salattu TCP yht. Ulko verkko Asiakas LAN Kuva 1.3: Kuljetusmoodin sovellustilanne

11 8 LUKU 1. IPSEC JA VPN-VERKOT Tunnelimoodissa AH lisätään puolestaan pakettiin kuvan mukaisesti. Edelleeen todennus koskee koko pakettia muuttuvia kenttiä lukuunottamatta. IPv4 uusi IP AH orig IP TCP Data otsake otsake IPv6 uusi IP laajennus AH orig IP laajennus TCP Data otsake otsakkeet otsake otsakkeet Kuva 1.4: Tunnelimoodi Siis koko alkuperäinen paketti todennetaan ja AH lisätään alkuperäisen IP-otsakkeen ja uuden, ulomman IP-otsakkeen väliin. Sisempi IP-otsake sisältää varsinaisen lähdeja kohdeosoitteen, kun taas ulompi IP-otsake voi sisältää muita, esimerkiksi reitittimien, osoitteita. Tunnelimoodia käytetään tyypillisesti tilanteessa, jossa ulkoinen työasema todentaa itsensä palomuurille päästäkseen sen jälkeen palomuurin suojaamaan verkkoon. Tunnelimoodia käytetään erityisesti rakennettaessa ns. virtuaalisia yksityisiä verkkoja( VPN) Ongelmia Kuvio 1.5 näyttää tilanteen, jossa AH ei toimi, kun käytössä on IPv4. A lähettää Turvayhdyskäytävä Internet Turvayhdyskäytävä Kone A Kone B Kuva 1.5: Turvayhdyskäytävän luoma ongelma AH:lle

12 1.3. TODENNUSOTSAKE 9 paketin B:lle varustettuna AH:lla. Koska A:n liikenne menee turvayhdyskäytävän kautta, A:n osoite hävitetään ja korvataan yhdyskäytävän osoitteella. Tämä aiheuttaa sen, että B epäonnistuu todentaessaan pakettia, koska siinä on tehty muutoksia. Samanlainen tilanne esiintyy, jos turvayhdyskäytävän tilalla on NAT-palvelin (network address translation). Se myös muuttaa lähettäjän osoitetta. Kuviossa 1.6 nähdään, miten turvayhdyskäytävät ja NAT:it täytyy konfiguroida systeemiin. NAT Yhdyskäytävä Kone1 Kone2 Kone1 Kone2 Internet Kone3 Kone3 Yhdyskäytävä NAT Kuva 1.6: Turvayhdyskäytävät ja NAT:it systeemissä Vakavampi ongelma liittyy pakettien pilkkomiseen. Oletetaan, että yhdyskäytävien SG1 ja SG2 välille on määritelty AH:n tunnelimoodi, joka suojelee kaikkea liikennettä verkkojen N1 ja N2 välillä. Jos koneelta H1-1 koneelle H2-1 menevä paketti pilkotaan ennen kuin se ehtii yhdyskäytävälle SG1, SG1 laskee erilliset tarkistussummat jokaiselle palselle erikseen ja lähettää ne SG2:lle. Kun palaset saapuvat SG2:lle, ne todennetaan ja palasista kootaan alkuperäinen paketti, joka luovutetaan H2-1:lle. Eli kaikki on hyvin. Jos kuitenkin pilkkominen tapahtuu SG1:n ja SG2:n välissä, syntyy ongelmia. SG1 on laskenut tarkistussumman koko paketille. Vastaanottajan SG2 täytyy nyt laskea tarkistussumma vasta kaikkien palasten saavuttua. Mistä vastaanottaja tietää, kumpaa tapaa noudattaa? Muutetaan edellistä tilannetta hieman. Oletetaan, että SG2 tietäessään polun joidenkin osien tukkeutuvan helposti välttää kasvattamasta pakettien kokoa ja jättää tunnelimoodin pois. Vaikkakaan tämä tapa ei ole IPSec:in määritysten mukainen,

13 10 LUKU 1. IPSEC JA VPN-VERKOT jotkut toteutukset menettelevät näin. Muutetaan myös verkon rakennetta hieman. SG2:n ohella verkossa on turvayhdyskäytävä SG3, joka myös palvelee N2:ta. Jos kaikki SA:t verkkojen N1 ja N2 välillä noudattavat tunnelimoodia, jonka ovat neuvotelleet SG1 ja SG2, kaikki pakettien palaset reititetään sopivalle yhdyskäytävälle ja prosessointi tapahtuu oikein. Jos kuitenkin SG1 ja SG2 päättävät lyhentää pakettien kokoa ja siirtyvät kuljetusmoodiin, ongelmia syntyy. SG2 perustaa kuljetusmoodin SG1:n kanssa olettaen, että se on ainoa väylä verkkoon N2. Jos nyt palasia reititetään myös SG3:n kautta, palasia ei voida koota yhdyskäytävissä. Nyt on kaksi vaihtoehtoa. Ensimmäisessä SG2 todentaa jokaisen vastaanottamansa palasen ja yrittää kokoamista. Koska kaikki palaset eivät tule SG2:n kautta, kokoaminen epäonnistuu ja paketti hylätään ajastimen lauettua. Sillä aikaa SG3:lle tulevat palaset joko hylätään tai ohjataan edelleen H2-1:lle. H2-1 hylkää palaset, koska ei löydä sopivaa SA:ta niiden käsittelyyn. Toisessa vaihtoehdossa SG2 yrittää koota pakettia ennen todennusta, mutta tämäkin päättyy kuten ensimmäinen vaihtoehto. Nämä tilanteet ovat pahimman tapauksen analyyseja, mutta verkkoympäristössä pahimmat tapaukset näyttävät esiintyvän huolestuttavan usein. Nämä esimerkit näyttävät, miksi IPSec:in turva-arkkitehtuuri vaatii tunnelimoodin yhdyskäytävien välille, jos SA:t suojaavat liikennettä muiden koneiden kuin yhdyskäytävien välillä. Sama pätee yhdyskäytävän ja isäntäkoneen kommunikointiin, jossa yhdyskäytävä suojaa liikennettä muille koneille yhdyskäytävän takana. Jotta vältettäisiin pilkkominen, yhdyskäytävien täytyy viestittää suojaamilleen koneille niiden otsakkeiden koko, jotka yhdyskäytävä lisääkoneiden lähettämiin paketteihin. Alkuperäinen lähettäjä yrittää yleensä lähettää paketteja, joiden koko on mahdollisimman lähellä PMTU:tä (path maximum transmission unit). Lähettämällä pienempiä paketteja, joihin voidaan vielä lisätä tunnelimoodin otsake, saatetaan pilkkominen välttää. On toinenkin tapa välttää pakettien pilkkomista. Lähettävä kone voi tehdä kokeiluja määrittääkseen maksimaalisen PMTU:n paketille ja sitten ottaa tämä huomioon paketteja lähetettäessä. IPv4:än kohdalla tämä merkitsee, että DF-bitti on asetettava, jotta estetään pakettien pilkkominen välisolmuissa. Ja ongelmia taas syntyy. Jos nimittäin paketti on kuitenkin liian suuri koko reitille, välillä oleva reitittäjä lähettää ICMP-sanoman paketti liian suuri lähettävälle koneelle. Tunnelimoodin tapauksessa viesti menee turvayhdyskäytävälle, jonka osoite näkyy lähettäjänä paketissa. Viesti siis tulee välisolmusta, jonka kanssa turvayhdyskäytävä ei ole neuvotellut minkäänlaista turvayhteyttä. Pitäisikö turvayhdyskäytävän uskoa tätä viestiä? Jos se uskoo, tieto täytyy välittää lähettävälle koneelle. Jos taas se ei usko, lähettävä kone jatkaa isojen pakettien lähettämistä, joissa on kaiken lisäksi DF-bitti päällä. Itse asiassa samoja ICMP-viestejä voidaan käyttää myös palvelunestohyökkäyksessä. Ongelma on hankala ja useita ehdotuksia on tehty, kuinka pilkkomiseen tulisi suhtautua. Eräs ehdotus perustuu SG1:n ja SG2:n yhteistyöhön. SG1 sallii H1-1:ltä lähetettyjen pilkottujen pakettien jatkaa matkaansa. Tämän varmistamiseksi SG1 ei aseta DF-bittiä ulkoiseen otsakkeeseen, jos H1-1 on asettanut sen sisempään otsakkeeseen. Kun SG2 saa pilkottuja paketteja, se lähettää PMTU-viestin SG1:lle.

14 1.4. KOTELOITU SALATTU DATA 11 Viesti ilmoittaa SG1:lle suurimman pakettikoon, joka on menestyksekkäästi matkannut SG1:ltä SG2:lle. Koska SG1:n ja SG2:n välillä on tunnelimoodi, PMTU-viesti on suojattu. Tämä ratkaisu eroaa tavanomaisesta PMTU-viestin käytöstä, koska nyt viesti lähetetään sen jälkeen kun pilkottu pakettu on vastaanotettu. Normaali PMTU-viesti lähetetään silloin, kun paketin lähettäminen eteenpäin ei onnistu. On myös mahdollista, että SG2 sisällyttää PMTU:n käytettävään SA:han ja aika ajoin informoi SG1:tä viimeisimmästä PMTU:sta. Jos H1-1 yrittää lähettää liian suuren paketin, SG1 välittää PMTU:n H1-1:lle. 1.4 Koteloitu salattu data Koteloitu salattu data eli ESP tarjoaa siis salauksen ja haluttaessa myös todennuksen. ESP-otsake koostuu seuraavista kentistä: SPI (sama kuin AH:ssa). Järjestysnumero (AH:ssa). Hyötykuorma on kuljetuskerroksen segmentti (kuljetusmoodi) tai IP-paketti (tunnelimoodi), joka suojataan salauksella. Täyte (0-255 B) selitetään myöhemmin. Täytteen pituus (8 b) on täytteen pituus tavuissa. Seuraava otsake (8 b) määrittelee sen datan tyypin, joka sijaitsee hyötykuormakentässä. Tyyppi määräytyy ensimmäisen tunnusosan mukaan. Todennustieto (AH) Salaus- ja todennusalgoritmit ESP-palvelu salaa kentät hyötykuorma, täyte, täytteen pituus ja seuraava otsake. Jos salausalgoritmi vaatii esimerkiksi alustusvektorin, se välitetään yleensä kentän hyötykuorma alussa salaamattomana. Alussa määriteltiin, että ESP-toteutuksen täytyy tukea DESiä CBC-moodissa. Jatkossa DESin paikalla on AES. Muita mahdollisuuksia ovat Kolmen avaimen kolminkertainen DES. RC5. IDEA. Kolmen avaimen kolminkertainen IDEA. CAST.

15 12 LUKU 1. IPSEC JA VPN-VERKOT Blowfish. ESP tukee MACin käyttöä. MAC-arvon oletuspituus on 96 bittiä. Algoritmit ovat HMAC-MD5-96 ja HMAC-SHA Täyte Täyte palvelee montaa tarkoitusta. Jos salausalgoritmi vaatii, että selväteksti on tavujen monikerta, selvätekstiin voidaan lisätä täyte. Täyte voidaan lisätä myös salatekstin ja kenttien täytteen pituus ja seuraava otsake väliin. Täytettä voidaan käyttää myös salaamaan hyötykuormakentän todellinen pituus Kuljetus- ja tunnelimoodi Samoin kuin AH:n kohdalla myös ESP-protokollaa voidaan käyttää kuljetus- ja tunnelimoodissa. Kuvassa 1.13 nähdään, mitkä kentät salataan ja todennetaan ESPpaketeissa kuljetusmoodissa. IPv4: orig IP ESP TCP Data ESP ESP otsake otsake pääte tod IPv6: orig IP hop-by-hop, kohde ESP kohde TCP Data ESP ESP otsake reititys, palat otsake pääte tod Kuva 1.7: ESP-kuljetusmoodi Kuljetusmoodin toiminta etenee seuraavasti: 1. Lähettäjän puolella ensin salataan kentät 3-5 (IPv4) tai 4-7 (IPv6). Selväkieliset vastaavat kentät korvataan salatekstillä. Todennus lisätään, jos sitä halutaan. Todennus kattaa kentät Paketti reititetään kohteeseen. Jokainen välillä oleva reitittäjä tutkii IP-otsakkeen ja selväkielisen laajennusotsakkeen, mutta ei salattua osaa. 3. Vastaanottaja tutkii selväkieliset kentät. ESP-osan SPI-tietojen perusteella vastaanottaja purkaa salauksen. Tunnelimoodissa koko IP-paketti plus ESP-perä salataan. Reititystä varten alkuperäisestä IP-paketista kerätään tarvittavat tiedot, joita käytetään ulomman IPpaketin tunnusosassa. Kuvassa 1.14 näkyy salaukseen ja todennukseen käytetyt kentät. Kuljetusmoodi sopii suojaamaan yhteyksiä kahden koneen välillä, joissa kummassakin on ESP. Tunnelimoodi on hyödyllinen, kun toisena osapuolena on palomuuri tai muu turvallinen yhdyskäytävä, joka suojaa verkkoa ulkopuolisilta. Salaus on

16 1.5. AH:N JA ESP:N TOIMINTA KUVIOINA 13 IPv4: Uusi IP ESP orig TCP Data ESP ESP otsake otsake otsake pääte tod IPv6: Uusi IP laaj. ESP orig IP laaj. TCP Data ESP ESP otsake otsakkeet otsake otsake otsakkeet pääte tod Kuva 1.8: ESP-tunnelimoodi käytössä tässä tapauksessa yleensä vain ulkoisen koneen ja yhdyskäytävän välillä. Suojatun verkon sisällä salausta ei tarvita. 1.5 AH:n ja ESP:n toiminta kuvioina Seuraavassa esitetään AH:n ja ESP:n toimintaa kuvioiden avulla. Näitä voidaan sitten käyttää hyväksi kuvattaessa havainnollisesti turvayhteyksien yhdistämistä. Aluksi kuvassa 1.9 on tyypillinen tilanne, jossa kahden koneen yhteys on suojattu kuljetusmoodin avulla. Tällä saavutetaan TCP-istunnon salaus. Kuvassa 1.10 puo- Salattu TCP istunto Kone A LAN WAN Kone B Kuva 1.9: Kuljetustason suojaus lestaan on toteutettu virtuaalinen yksityinen verkko IPSecin tunnelimoodin avulla. Kuvasarja puolestaan esittää pakettien muodostumista eri moodeissa. AH ja ESP on käsitelty erikseen, mutta seuraavassa luvussa käsitellään näiden yhdistämistä.

17 14 LUKU 1. IPSEC JA VPN-VERKOT A Yritys verkko Internet B Kuva 1.10: Virtuaalinen ykstyinen verkko tunnelimoodin avulla

18 1.5. AH:N JA ESP:N TOIMINTA KUVIOINA 15 IP TCP Data AH IP AH TCP Data Todennus Kuva 1.11: AH kuljetusmoodissa

19 16 LUKU 1. IPSEC JA VPN-VERKOT IP TCP Data Tunnelointi uusi IP IP TCP Data AH AH Uusi IP IP TCP Data todennus Kuva 1.12: AH tunnelimoodissa IP TCP Data ESP IP ESP TCP Data ESPtrlr ESPauth Salaus Todennus Kuva 1.13: ESP kuljetusmoodissa

20 1.5. AH:N JA ESP:N TOIMINTA KUVIOINA 17 IP TCP Data Tunnelointi uusi IP IP TCP Data ESP Uusi IP ESP IP TCP Data ESPtrlr ESPauth salaus todennus Kuva 1.14: ESP tunnelimoodissa

21 18 LUKU 1. IPSEC JA VPN-VERKOT 1.6 Turvayhteyksien yhdistäminen Yksittäinen turvayhteys voi toteuttaa joko AH:ta tai ESP:tä, muttei molempia. Toisinaan kuitenkin tietty liikennevirta saattaa vaatia kummankin palveluja. Edelleen sama liikenne voi edellyttää erilaisia palveluja riippuen siitä, tapahtuuko liikenne isäntäkoneiden välillä vai yhdyskäytävien välillä. Termi turvayhteyksien kimppu (bundle) tarkoittaa yhteyksien jonoa, jonka kautta liikenne täytyy ohjata, jotta saataisiin haluttu IPSEC-palvelu. Turvayhteydet voidaan yhdistää kimpuksi kahdella tavalla: Transport adjacency: Tarkoittaa, että samaan IP-pakettiin sovelletaan useampaa kuin yhtä turvaprotokollaa ilman tunnelointia. Vain yhden tason (kts. seuraavia esimerkkejä, jotta tason käsite tulee selväksi) yhdistelmät ovat järkeviä, sillä luotettava kommunikointi tapahtuu kahden isäntäkoneen välillä. Iterated tunneling: Tässä tavassa turvaprotokollia käytetään usealla tasolla tunnelimoodin yhteydessä. Seuraavassa luetellaan muutamia vaihtoehtoja koota kimppuja. Näissä vaihtoehdoissa yhdistellään salaus ja todennus käyttäen pääasiassa kahta turvayhteyttä, jotka sidotaan kimpuksi. ESP ja todennus. Tässä vaihtoehdossa käyttäjä soveltaa ensin ESP:tä salatakseen tiedon ja sitten lisää tiedon todennuskentän. Tässä on edelleen kaksi alivaihtoehtoa: Kuljetusmoodi. Todennus ja salaus kohdistetaan IP:n hyötykuormaan, mutta IP-otsakkeeseen ei kosketa. Tunnelimoodi. Todennus kohdistuu koko IP-pakettiin, jota ollaan lähettämässä ulkoiseen osoitteeseen. Koko sisäinen IP-paketti salataan. Siis käytetään vain yhtä turvayhteyttä, joka sisältää ESP:n todennusosan kanssa. Transport adjacency. Toinen tapa soveltaa todennusta salauksen jälkeen on käyttää kahta kimppuun sidottua turvayhteyttä. Sisempänä on ESP:n turvayhteys ja ulompana AH:n. Tässä versiossa ESP:iä käytetään ilman todennusoptiota. Koska sisäinen turvayhteys noudattaa kuljetusmoodia, salaus kohdistuu IP:n hyötykuormaan. Tuloksena oleva paketti käsittää IP-otsakkeen, jota seuraa ESP. Sen jälkeen sovelletaan AH:ta kuljetusmoodissa niin, että todennus kattaa ESP:n ja alkuperäisen IP-otsakkeen ja sen laajennukset lukuunottamatta muuttuvia kenttiä. Tämän lähestymistavan etuna verrattuna pelkkään ESP:hen todennusoption kera on siinä, että se sisältää useampia todennettuja kenttiä, mukaan lukien lähe- ja kohdeosoitteen. Haittana on se, että kahden turvayhteyden ylläpito kuluttaa enemmän resursseja kuin yhden.

22 1.6. TURVAYHTEYKSIEN YHDISTÄMINEN 19 Kuljetus-tunneli-kimppu. Tämä yhdistelmä mahdollistaa todennuksen ennen salausta. Tämä on hyödyllistä tietyissä tilanteissa. Ensiksikin salaus suojaa tässä menetelmässä todennusta väärennöksiä vastaan. Toiseksi joskus on tarpeellista tallentaa todennus kohteessa myöhempää käyttöä varten. Tässä tilanteessa todennuksen kohdistaminen salaamattomaan dataan helpottaa todennuksen käsittelyä myöhemmin, sillä salausta ei tarvitse enää purkaa ensimmäisen kerran jälkeen. Todennus ennen salausta saadaan aikaan kahdella turvayhteydellä. Ensin sovelletaan sisempänä AH:ta kuljetusmoodissa ja sen jälkeen ulompana ESP:tä tunnelimoodissa. Toisin sanoen todennus kohdistuu IP:n hyötykuormaan ja IP-otsakkeeseen lukuunottamatta muuttuvia kenttiä. Tuloksena syntynyt IPpaketti salataan tämän jälkeen ESP:llä tunnelimoodissa, jolloin koko sisempi paketti salataan ja uusi ulompi IP-otsake lisätään alkuun. Perusyhdistelmät IPSECin arkkitehturidokumentti listaa neljä tapausta, joissa turvayhteyksiä yhdistellään ja jotka mahdollisuudet on otettava mukaan IPSEC-toteutuksiin. Nämä tapukset ovat seuraavat: Tapaus 1. Tässä versiossa kaiken suojauksen hoitavat isäntäkoneet, jotka vaihtavat sanomia keskenään. Niillä täytyy olla sopivat salaiset avaimet kummallakin. Mahdollisia turvayhteyskimppuja ovat: a) AH kuljetusmoodissa. b) ESP kuljetusmoodissa. c) AH, jota seuraa ESP kuljetusmoodissa. d) Mikä tahansa a), b) tai c) AH:n tai ESP:n sisällä tunnelimoodissa. Tapaus 2. Turvayhteys on pelkästään yhdyskäytävien (reitittimet, palomuurit) välillä, eikä isännissä ole IPSECiä. Tämä tilanne kuvaa tukea yksinkertaiselle virtuaaliselle yksityiselle verkolle. Turva-arkkitehtuurin dokumentti toteaa, että ainoastaan yksi tunnelimoodissa toimiva turvayhteys on tarpeen. Tunneli voisi perustua AH:lle, ESP:lle tai ESP:lle todennusoption kera. Sisäkkäisiä tunneleita ei tarvita. Tapaus 3. Rakentuu tapauksen 2 päälle lisäten siihen päästä-päähän -turvallisuuden. Samat yhdistelmät kuin edellisissä tapauksissa ovat mahdollisia. Yhdyskäytävätunneli takaa todennuksen tai luottamuksellisuuden tai molemmat loppujärjestelmien välillä. Yksittäiset isäntäkoneet voivat sitten toteuttaa mitä tahansa IPSEC-palveluja, joita tarvitaan sovelluksissa. Tapaus 4. Tarjoaa tukea kaukaiselle isäntäkoneelle, joka käyttää Internetiä päästäkseen organisaation palomuuriin ja sen jälkeen palvelimelle tai työasemaan.

23 20 LUKU 1. IPSEC JA VPN-VERKOT Tarvitaan vain tunnelimoodi kaukaisen isäntäkoneen ja palomuurin välille. Kuten tapauksessa 1, myös tässä voidaan käyttää yhtä tai kahta turvayhteyttä kaukaisen ja palomuurin sisällä olevan isäntäkoneen välillä. Näytetään vielä kuviona muutamia yhdistelmiä. Kuvioista näkyy pakettien rakenne ja vaiheet, joiden kautta paketti rakentuu. IP TCP Data ESP IP ESP TCP Data ESPtrlr AH salaus IP AH ESP TCP Data ESPtrlr todennus Kuva 1.15: ESP+AH, molemmat kuljetusmoodissa

24 1.6. TURVAYHTEYKSIEN YHDISTÄMINEN 21 Kone A SA ESP SA AH End to_end ESP,AH Internet Kone B SA ESP SA AH Kuva 1.16: Kuljetusmoodin ESP+AH:n sovellustilanne

25 22 LUKU 1. IPSEC JA VPN-VERKOT IP TCP Data AH IP AH TCP Data ESP todennus salaus IP ESP AH TCP Data ESPtrlr salaus Kuva 1.17: AH+ESP kuljetusmoodissa

26 1.6. TURVAYHTEYKSIEN YHDISTÄMINEN 23 IP TCP Data AH IP AH TCP Data todennus Tunnelointi U IP IP AH TCP Data ESP U IP ESP IP AH TCP DataESPtrlr todennus salaus Kuva 1.18: AH kuljetusmoodissa, ESP tunnelimoodissa

27 24 LUKU 1. IPSEC JA VPN-VERKOT Kone A Intranet Gateway Internet Gateway Intranet Kone B Kuva 1.19: Sovellustilanne, jossa AH kuljetus-, ESP tunnelimoodissa

28 1.7. IPSECIN KRITIIKKIÄ IPSECin kritiikkiä IPSEC on syntynyt komiteatyönä, jossa mukana on ollut useita tahoja. Tämä on johtanut siihen tyypilliseen tilanteeseen, että yhteen ja samaan protokollaan on sovitettu monia piirteitä ja näkökantoja. Tällainen suunnittelu on johtanut IPSECin ja monen muunkin protokollan (erityisesti ISOn OSI-protokollat aikoinaan) yhteydessä laajuuteen ja monimutkaisuuteen, joka ei enää palvele käyttäjiä. Näyttääkin siltä, että parempi tulos saavutetaan kilpailujen avulla kuten AES:n yhteydessä. Tällöin yksi ja sama, suppeahko tiimi suunnittelee protokollan, jolloin sen koko pysyy kohtuullisena. Opetus 1. Kryptografisia protokollia ei pitäisi suunnitella komiteatyönä. Seuraavassa käsitellään IPSECin ongelmia kohta kohdalta Niels Fergusonin ja Bruce Schneierin artikkelin A Cryptographic Evaluation of IPsec pohjalta. Esityksessä keskitytään vain varsinaiseen toimintaan. IPSECin avaintenhallinta, jota käsitellään seuraavassa kappaleessa, on ollut koko ajan kehityksen kohteena ja artikkelin kirjoituksen aikana se oli erityisen sekavaa. Siitä syystä emme käsittele artikkelin avaintenhallintaan kohdistuvaa kritiikkiä. Artikkelin kaikki suositukset on esitetty myös tässä. Toisaalta ei ole aivan selvää, että kaikki olisivat artikkelin ehdotuksiin tyytyväisiä. Erityisesti käytännön verkkosuunnittelijan näkökulma saattaa olla toinen kuin pelkästään tietoturvaihmisten IPSECin dokumentointi IPSECin dokumentteja on hyvin vaikea ymmärtää. Niissä ei yleensä ole yleiskatsausta tai johdantoa. Siten ei ole uskottavaa, että kukaan oppisi IPSECiä virallisista dokumenteista. Tässä yhteydessä erityisesti mainitaan alustava avaintenhallintaprotokolla ISAKMP, jonka dokumentointi sisältää virheitä, josta monet oleelliset selitykset puuttuvat ja joka on sisäisesti ristiriitainen. Dokumenteista ei käy selville protokollan tavoite. Tällöin protokollan analysointi on hankalaa. Samoin sunnittelijan, joka yrittää soveltaa IPSECiä käytäntöön, työ vaikeutuu. IPSEC tuottaa IP-tason turvallisuutta ja on siten oleellisesti VPNprotokolla. Kuitenkin on ollut tapauksia, jossa protokollaa on käytetty sovellustason turvallisuuden saavuttamiseen kuten esimerkiksi henkilön todentamiseen kun tämä yrittää lukea sähköpostiaan. IPSEC perustaa pakettien todennuksen siihen, että paketti on lähtenyt joltakulta, joka tuntee salaisen avaimen. Kuitenkin monet näyttävät uskovan, että se todentaa lähettävän IP-osoitteen, jota sitten voidaan käsitellä palomuurissa. Dokumentit eivät myöskään sisällä selityksiä tai perusteluja valinnoille, joita on tehty. Vaikka nämä eivät ole niin tärkeitä kuin tavoitteet, ne ovat myös oleellisia. Opetus 2. Systeemin dokumentin tulisi sisältää johdattelevaa materiaalia, yleiskatsaus niille, jotka tutustuvat asiaan ensimmäistä kertaa, asetetut tavoitteet ja perustelut.

29 26 LUKU 1. IPSEC JA VPN-VERKOT Datan käsittely Moodit Turvaomisuuksien kannalta katsottuna tunnelimoodi sisältää kuljetusmoodin (verkkokerroksesta katsoen tilanne saattaa olla päinvastainen). Kuljetusmoodi kuluttaa tosin vähemmän kaistanleveyttä. Tunnelimoodiakin voitaisiin tehostaa, joten tekijät suosittavat Suositus 1. Kuljetusmoodi voidaan jättää pois. Dokumenteissa ei perustella kahden moodin olemassaoloa. Kuljetusmoodin poisjättäminen välttäisi myöskin koneiden jakamisen kahteen luokkaa, isäntäkoneisiin ja turvayhdyskäytäviin. Näiden pääero näyttää olevan, etteivät turvayhdyskäytävät voi käyttää kuljetusmoodia. AH ja ESP Dokumentit eivät selitä, miksi IP-otsakkeet pitää todentaa. Hyötykuorman todennus takaa, että kuorma tulee sellaiselta, joka tuntee salaisen avaimen. IP-otsakkeeet vain auttavat pakettia menemään vastaanottajalle eikä niiden pitäisi vaikuttaa paketin tulkintaan. AH todentaa alempien kerrosten IP-otsakkeita. Tämä selvästi rikkoo protokollapinon modulaarisuutta. Se aiheuttaa monia ongelmia, koska jotkut kentät muuttuvat matkan aikana. Siten AH:n täytyy tuntea kaikki alempien kerrosten dataformaatit, jotta muuttuvat kentät voidaan välttää. Tämä ei tunnu järkevältä. Suositus 2. Jätetään AH pois. ESP sallii hyötykuorman salauksen ilman todennusta. Hyvin harvoin salaus ilman todennusta on hyödyllistä. IPSECin yhteydessä tällainen tilanne on kuljetusmoodissa, jossa ESPin todennus ei ole kovin kattava ja on käytettävä lisäksi AH:ta. Jos kuljetusmoodi ja AH jätettäsiin pois, voitaisiin suositella Suositus 3. Muutetaan ESPiä siten, että se tuottaa aina todennuksen; vain salaus voisi olla valinnainen Operaatioiden järjestys Kun käytetään sekä salausta ja todennusta, IPSEC salaa ensin ja todentaa sitten. Tämä on Fergusonin ja Schneierin mukaan väärä järjestys. Todentaa pitäisi se, mitä tarkoitetaan, ei sitä, mitä sanotaan. IPSECin todennus mahdollistaa myös hyökkäyksen. Oletetaan, että kaksi konetta ovat neuvotelleet AH:ta käyttävän SA:n, jossa avaimet on jaettu manuaalisesti. Merkitään tätä SA:ta symbolilla SA AH. Koska avaimet on sovittu manuaalisesti, AH ei

30 1.7. IPSECIN KRITIIKKIÄ 27 tarjoa suojaa uusintahyökkäyksille. Oletetaan nyt, että koneet neuvottelevat kuljetusmoodin ESP:n, jossa käytetään vain salausta. Merkitään vastaavaa turvayhteyttä symbolilla SA ESP1. Tietoa välitettäessä käytetään kimppua, joka koostuu näistä kahdesta turvayhteydestä. Sovellus voi olettaa saavansa tällä tavalla luottamuksellisuuden ja todennuksen, mutta ei suojaa uusinnoilta. Kun kimppuun perustuva yhteys lopetetaan, turvayhteys SA ESP1 puretaan. Muutamia tunteja myöhemmin samat koneet neuvottelevat taas uuden kuljetumoodin ESP:n, jossa on vain salaus (SA ESP2 ) ja vastaanottaja valitsee saman SPI:n arvon kuin edellisen ESP:in yhteydessä. Dataa välitetään taas kimpun avulla, joka sisältää sekä SA ESP2 :n että SA AH :n. Hyökkääjä ujuttaa sanomien joukkoon nyt jonkin vanhan paketin edellisestä istunnosta. Tämä paketti oli salattu SA ESP1 :n avulla ja todennettu SA AH :n avulla. Vastaanottaja toteaa todennuksen päteväksi. (Koska uusintojen suojausta ei käytetä, järjestysnumerokenttää ei käytetä.) Vastaanottaja purkaa sitten salauksen käyttäen SA ESP2 :ta, mikä tuottaa eri tuloksen kuin jos olisi käytetty SA ESP1 :tä. Seurauksena on, että vastaanottaja hyväksyy todennetun paketin, purkaa sen väärällä avaimella ja luovuttaa vääristyneen datan sovellukselle. Eli todennus on epäonnistunut. Opetus 3. Älä todenna pelkästään sanomaa, vaan kaikki se, mitä käytetään sanoman merkityksen määräämiseksi. Salatekstin todennus tekee mahdolliseksi hylätä paketteja nopeasti käyttämättä aikaa salauksen purkamiseen. Tämä auttaa konetta palvelunestohyökkäyksissä. Mikäli tämä koetaan tärkeäksi, salatekstin todennus voidaan säilyttää, mutta vain jos samalla todennetaan purkuavain. Tämä olisi mahdollista, mutta se sotisi pahasti modulaarisuutta vastaan, kun AH joutuisi kaivamaan ESP:n rakenteista salausvaimen. Suositus 4. Modifioi ESP:tä siten, että todentaa datan lisäksi hyötykuorman salauksen purkuavaimen Turvayhteydet On aika vähän tilanteita, joissa kone lähettää IP-paketin toiselle, mutta vastusta ei lähetetä eikä oleteta. On myös vähän tilanteita, joissa täytyy turvata liikenne yhteen suuntaan, mutta ei vastakkaiseen suuntaan. Siten lähes kaikissa tilanteissa SA:t esiintyvät pareittain muodostaen symmetrisen kaksisuuntaisen kanavan. Olisi siten selvempää, että SA:t olisivat kaksisuuntaisia Turvapolitiikat Turvapolitiikan tietokanta SPD sallii monien valitsimien käytön päätettäessä, mihin pakettiin sovelletaan mitäkin SA:ta. On mahdollista, että yksi SA hoitaa kaiken liikenteen kahden koneen välillä tai että kullakin sovelluksella on oma SA:nsa. Mikäli ylläpidon pitää luokitella paketit sen mukaan, mitkä vaativat IPSEC-prosessointia ja mitkä eivät, vaaditaan ehkä jo liian paljon. Kun lisäksi ylläpidon pitää aset-

31 28 LUKU 1. IPSEC JA VPN-VERKOT taa lukuisia muita IPSEC-asetuksia salaus- ja todennusmenetelmistä alkaen, on todennäköistä että monet konfiguraatiot sisältävät heikkouksia. 1.8 IPSECin avaintenhallinta Avainten hallintaa ei ole ratkaistu yksikäsitteisesti. IPSEC-avainten hallintaan on olemassa useita ratkaisuja. Vaikka tähän on myös Internet-standardeja, laite- ja ohjelmistotoimittajilla on myös omia ratkaisuja, mikä hidastaa IPSECin nopeaa leviämistä. Tässä kokonaisuudessa on mukana paitsi tekniset näkemyserot myös poliittiset näkemyserot. Tällä hetkellä IPSEcin avaintenhallinta perustuu IKE-protokollaan (Internet Key Exchange). Tämä protokolla on kehittynyt useammassa vaiheessa (Oakley, ISAKMP). ISAKMP oli hyvin monimutkainen ja sen tilalle suunniteltiin IKEv1. Siinäkin on lukuisia vaihtoehtoja, mikä tekee protokollan hankalaksi ymmärtää. Esimerkiksi aloitus voitiin tehdä kahdeksalla eri tavalla. Lisäksi protokolla määriteltiin useassa dokumentissa. IKEv2 on IKEv1:tä suoraviivaisempi, vaikka sekin on monimutkainen. Erityisesti aloitukset on korvattu yhdellä aloituksella, joka käsittää neljä sanomanvaihtoa. Samoin kuin IKEv1 myös IKEv2 on kaksivaiheinen: 1. Aluksi neuvotellaan ja pystytetään IKE-SA, jonka avulla voidaan sitten neuvotella IPSEC-SA. 2. Vaiheessa 2 sovitaan sisäänmenevä ja ulostuleva SA Aloitus Aloitus on seuraava: Aloittaja Vastaanottaja ========= ============= 1. HDR, SAi1, KEi, Ni > 2. < HDR, SAr1, KEr, Nr, [CERTREQ] 3. HDR, SK {IDi, [CERT,] [CERTREQ,] [IDr,] AUTH, > SAi2, TSi, TSr} 4. < HDR, SK {IDr, [CERT,] AUTH,

Palomuurit I. () 24. helmikuuta 2011 1 / 86

Palomuurit I. () 24. helmikuuta 2011 1 / 86 Palomuurit I Palomuurin tehtävät: Palvelunhallinta: Palomuuri määrää, minkätyyppisiä internetin palveluja voidaan käyttää tai luovuttaa käytettäväksi. Palomuuri voi suodattaa tietoliikennettä perustuen

Lisätiedot

Luku VI: Verkkojen tietoturva II

Luku VI: Verkkojen tietoturva II Luku VI: Verkkojen tietoturva II Luvussa käsitellään seuraavia asioita: nimipalvelu eli DNS, palomuurit, SSH ja IPsec, () 13. helmikuuta 2014 1 / 78 DNS-hyökkäykset I Kontrolloimalla nimipalvelua tai muuttamalla

Lisätiedot

Langattomat lähiverkot. Matti Puska

Langattomat lähiverkot. Matti Puska Langattomat lähiverkot 1 FWL 2 FWL Salaus Radioaaltojen etenemistä ei voida rajoittaa vain halutulle alueelle. Liikenteen salauksen tavoitteena on turvata radiotiellä siirrettävien sanomien ja datan yksityisyys

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

Salausmenetelmät (ei käsitellä tällä kurssilla)

Salausmenetelmät (ei käsitellä tällä kurssilla) 6. Internetin turvattomuus ja palomuuri Internetin turvaongelmia Tietojen keruu turva-aukkojen löytämiseksi ja koneen valtaaminen Internetissä kulkevan tiedon tutkiminen IP-osoitteen väärentäminen Palvelunestohyökkäykset

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys

Lisätiedot

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander Tietoliikenteen perusteet Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander Kurose&Ross: Ch 8 Pääasiallisesti kuvien J.F Kurose and K.W. Ross,

Lisätiedot

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste Reitittimelle vuo on joukko peräkkäisiä paketteja, joita tulee käsitellä tietyllä tavalla samat resurssivaraukset samat turvallisuusvaatimukset samat säännöt pakettien hävittämiseen samat etuoikeudet jonoissa

Lisätiedot

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste Reitittimelle vuo on joukko peräkkäisiä paketteja, joita tulee käsitellä tietyllä tavalla samat resurssivaraukset samat turvallisuusvaatimukset samat säännöt pakettien hävittämiseen samat etuoikeudet jonoissa

Lisätiedot

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa Reitittimelle vuo on joukko peräkkäisiä paketteja, joita tulee käsitellä tietyllä tavalla samat resurssivaraukset samat turvallisuusvaatimukset samat säännöt pakettien hävittämiseen samat etuoikeudet jonoissa

Lisätiedot

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus

Lisätiedot

Internet Protocol version 6. IPv6

Internet Protocol version 6. IPv6 Internet Protocol version 6 IPv6 IPv6 Osoiteavaruus 32-bittisestä 128-bittiseksi Otsikkokentässä vähemmän kenttiä Lisäominaisuuksien määritteleminen mahdollista Pakettien salaus ja autentikointi mahdollista

Lisätiedot

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi

Lisätiedot

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset

Lisätiedot

Tehtävä 2: Tietoliikenneprotokolla

Tehtävä 2: Tietoliikenneprotokolla Tehtävä 2: Tietoliikenneprotokolla Johdanto Tarkastellaan tilannetta, jossa tietokone A lähettää datapaketteja tietokoneelle tiedonsiirtovirheille alttiin kanavan kautta. Datapaketit ovat biteistä eli

Lisätiedot

Tietoturva 811168P 5 op

Tietoturva 811168P 5 op 811168P 5 op 6. Oulun yliopisto Tietojenkäsittelytieteiden laitos Mitä se on? on viestin alkuperän luotettavaa todentamista; ja eheyden tarkastamista. Viestin eheydellä tarkoitetaan sitä, että se ei ole

Lisätiedot

Tietoturvan peruskurssi

Tietoturvan peruskurssi n peruskurssi 811173P 4 op / 3 ov 8. Oulun yliopisto Tietojenkäsittelytieteiden laitos Tavoitteet tutustua Kerberos autentikointijärjestelmään hahmottaa tietoturvan ominaispiirteet verkon eri kerroksissa

Lisätiedot

3. Kuljetuskerros 3.1. Kuljetuspalvelu

3. Kuljetuskerros 3.1. Kuljetuspalvelu End- to- end 3. Kuljetuskerros 3.1. Kuljetuspalvelu prosessilta prosessille looginen yhteys portti verkkokerros koneelta koneelle IP-osoite peittää verkkokerroksen puutteet jos verkkopalvelu ei ole riittävän

Lisätiedot

Turvallinen etäkäyttö Aaltoyliopistossa

Turvallinen etäkäyttö Aaltoyliopistossa Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016

Lisätiedot

S-38.118 Teletekniikan perusteet

S-38.118 Teletekniikan perusteet S-38.118 Teletekniikan perusteet Laskuharjoitus 3 Paketoinnin hyötysuhde 1 Harjoitus 3 koostuu: Demoluento (45 min) Datan siirtäminen Internetissä yleensä Laskuesimerkki datan siirtämisestä Äänen siirtäminen

Lisätiedot

SALAUSMENETELMÄT. Osa 2. Etätehtävät

SALAUSMENETELMÄT. Osa 2. Etätehtävät SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys

Lisätiedot

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros) Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros) Tämän harjoituksen tarkoituksena on tutustua IP-protokollaan. Kertausta - Harjoitus 4: Erään sovelluksen

Lisätiedot

Linux palomuurina (iptables) sekä squid-proxy

Linux palomuurina (iptables) sekä squid-proxy Linux palomuurina (iptables) sekä squid-proxy Linux-järjestelmät Winai Prathumwong TI10HJ 06.11.2012 2 Iptables (Netfilter) Johdanto Iptables on Linux-kernelin sisäänrakennetun palomuurin, Netfilter:in

Lisätiedot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,

Lisätiedot

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen DPI (DEEP PACKET INSPECTION) By Sami Lehtinen ESITYKSEN SISÄLTÖ DPI:n määritelmä käyttökohteet tietoturva ja riskit kuinka suojautua DPI:ltä tulevaisuuden näkymät DPI Deep Packet Inspection (kutsutaan

Lisätiedot

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

myynti-insinööri Miikka Lintusaari Instrumentointi Oy TERVEYDENHUOLLON 25. ATK-PÄIVÄT Kuopio, Hotelli Scandic 31.5-1.6.1999 myynti-insinööri Miikka Lintusaari Instrumentointi Oy Uudet tietoturvaratkaisut SUOMEN KUNTALIITTO Sairaalapalvelut Uudet tietoturvaratkaisut

Lisätiedot

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6 4. IPv6-protokolla (RFC 2460) Enemmän osoitteita 16 tavua osoitteelle => osoitteita paljon! Virtaviivaistettu nopeampi käsittely k reitittimissä => tehokkaampi Uusia piirteitä Erilaisten sovellusten tarpeet

Lisätiedot

3. Kuljetuskerros 3.1. Kuljetuspalvelu

3. Kuljetuskerros 3.1. Kuljetuspalvelu 3. Kuljetuskerros 3.1. Kuljetuspalvelu End- to- end lta lle looginen yhteys portti verkkokerros koneelta koneelle I-osoite peittää verkkokerroksen puutteet jos verkkopalvelu ei ole riittävän hyvä, sitä

Lisätiedot

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone ja ylläpito computer = laskija koostuu osista tulostuslaite näyttö, tulostin syöttölaite hiiri, näppäimistö tallennuslaite levy (keskusyksikössä) Keskusyksikkö suoritin prosessori emolevy muisti levy Suoritin

Lisätiedot

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit Esimerkki arkkitehtuurit Sivu 2/8 Sisällysluettelo 1. Johdanto... 3 1.1. Termejä... 3 2. Web hosting ilman kuormantasausta... 4 3. Web hosting kuormatasaus ja bastion... 5 3.1.... 5 3.2. Kuvaus... 5 4.

Lisätiedot

Kuva maailmasta Pakettiverkot (Luento 1)

Kuva maailmasta Pakettiverkot (Luento 1) M.Sc.(Tech.) Marko Luoma (1/20) M.Sc.(Tech.) Marko Luoma (2/20) Kuva maailmasta Pakettiverkot (Luento 1) WAN Marko Luoma TKK Teletekniikan laboratorio LAN M.Sc.(Tech.) Marko Luoma (3/20) M.Sc.(Tech.) Marko

Lisätiedot

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS Esimerkki 1: L2TP- yhteys kahden TW- EAV510/TW- EAV510AC laitteen välille Esimerkki 2: L2TP- yhteys TW- EAV510/TW- EAV510 AC ja Windows 8/8.1 koneen välillä Esimerkki

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri Palomuuri Teoriaa Palomuurin tehtävä on estää ei-toivottua liikennettä paikalliseen verkkoon tai verkosta. Yleensä tämä tarkoittaa, että estetään liikennettä Internetistä paikallisverkkoon tai kotikoneelle.

Lisätiedot

T-79.4501 Cryptography and Data Security

T-79.4501 Cryptography and Data Security T-79.4501 Cryptography and Data Security Lecture 11 Bluetooth Security Bluetooth turvallisuus Uhkakuvat Bluetooth turvallisuuden tavoitteet Linkkitason turvamekanismit Pairing menettely Autentikointi ja

Lisätiedot

Langattomien verkkojen tietosuojapalvelut

Langattomien verkkojen tietosuojapalvelut Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus

Lisätiedot

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)

Lisätiedot

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

Tietoliikenteen perusteet: Kokeeseen tulevista asioista Tietoliikenteen perusteet: Kokeeseen tulevista asioista T. Karvi October 2017 T. Karvi Tietoliikenteen perusteet: Kokeeseen tulevista asioista October 2017 1 / 7 Kokeesta Kurssikoe ti 24.10.2017 klo 16:00,

Lisätiedot

3. IP-kerroksen muita protokollia ja

3. IP-kerroksen muita protokollia ja 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) DHCP (Dynamic Host Configuration Protocol) CIDR (Classless InterDomain Routing)

Lisätiedot

WL54AP2. Langattoman verkon laajennusohje WDS

WL54AP2. Langattoman verkon laajennusohje WDS WL54AP2 Langattoman verkon laajennusohje WDS Näitä ohjeita seuraamalla saadaan langaton lähiverkko laajennettua yksinkertaisesti kahden tai useamman tukiaseman verkoksi. Tukiasemien välinen liikenne(wds)

Lisätiedot

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? 2012-2013 Lasse Lensu 2 Ongelma 2: Miten tietoa voidaan (uudelleen)koodata tehokkaasti? 2012-2013 Lasse Lensu

Lisätiedot

ELEC-C7241 Tietokoneverkot Kuljetuskerros

ELEC-C7241 Tietokoneverkot Kuljetuskerros ELEC-C7241 Tietokoneverkot Kuljetuskerros Pasi Sarolahti (kalvoja Matti Siekkiseltä) 23.1.2018 Laskareista Lisävuoro ke 16-18 U8 Edelleen myös ke 14-16 ja pe 12-14 Ke 14 16 tällä viikolla poikkeuksellisesti

Lisätiedot

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut Lic.(Tech.) Marko Luoma (1/31) Lic.(Tech.) Marko Luoma (2/31) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut IPv4 osoiteavaruus on loppumassa

Lisätiedot

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Kuljetus/Sovelluskerroksen tietoturvaratkaisut Kuljetus/Sovelluskerroksen tietoturvaratkaisut 1 Tämän luennon aiheet Transport Layer Security (TLS) Secure Shell (SSH) 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille Toimi

Lisätiedot

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti Tämän luennon aiheet Kuljetus/Sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) Secure Shell (SSH) 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille Toimi

Lisätiedot

Tietoturvatekniikka Ursula Holmström

Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus

Lisätiedot

Pikaviestinnän tietoturva

Pikaviestinnän tietoturva Ongelmat, vaihtoehdot ja ratkaisut 4.5.2009 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta http://olli.jarva.fi/kandidaatintyo_ pikaviestinnan_tietoturva.pdf Mitä? Mitä?

Lisätiedot

Antti Vähälummukka 2010

Antti Vähälummukka 2010 Antti Vähälummukka 2010 TCP/IP (Transmission Control Protocol / Internet Protocol) on usean Internet-liikennöinnissä käytettävän tietoverkkoprotokollan yhdistelmä. IP-protokolla on alemman tason protokolla,

Lisätiedot

S 38.1105 Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

S 38.1105 Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory S 38.1105 Tietoliikennetekniikan perusteet Pakettikytkentäiset verkot Kertausta: Verkkojen OSI kerrosmalli Sovelluskerros Esitystapakerros Istuntokerros Kuljetuskerros Verkkokerros Linkkikerros Fyysinen

Lisätiedot

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen

Lisätiedot

Sisältö. Työn idea Protokollat. Harjoitustyön käytäntöjä. Työn demoaminen. Etäisyysvektori Linkkitila. Palvelin Moodle SSH-tunnelit

Sisältö. Työn idea Protokollat. Harjoitustyön käytäntöjä. Työn demoaminen. Etäisyysvektori Linkkitila. Palvelin Moodle SSH-tunnelit Harjoitustyöinfo Sisältö Työn idea Protokollat Etäisyysvektori Linkkitila Harjoitustyön käytäntöjä Palvelin Moodle SSH-tunnelit Työn demoaminen 2 Työn idea Tehdään ohjelma, joka annetun reititysdatan perusteella

Lisätiedot

Salaustekniikat. Kirja sivut: ( )

Salaustekniikat. Kirja sivut: ( ) Salaustekniikat Kirja sivut: 580-582 (647-668) Johdanto Salaus on perinteisesti ollut salakirjoitusta, viestin luottamuksellisuuden suojaamista koodaamalla viesti tavalla, jonka vain vastaanottaja(t) pystyy

Lisätiedot

Algoritmit 2. Luento 6 Ke Timo Männikkö

Algoritmit 2. Luento 6 Ke Timo Männikkö Algoritmit 2 Luento 6 Ke 29.3.2017 Timo Männikkö Luento 6 B-puun operaatiot B-puun muunnelmia Nelipuu Trie-rakenteet Standarditrie Pakattu trie Algoritmit 2 Kevät 2017 Luento 6 Ke 29.3.2017 2/31 B-puu

Lisätiedot

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut. Lic.(Tech.) Marko Luoma (1/33) Lic.(Tech.) Marko Luoma (2/33) Osoitemanipulaation syitä S 38.192 Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut Verkossa käytetään lokaaleja

Lisätiedot

T-110.4100 Tietokoneverkot kertaus

T-110.4100 Tietokoneverkot kertaus kertaus 1 Infrastruktuuripalvelut: DNS, SNMP Tietoturvaratkaisu TLS Sovelluskerros Käyttäjän sovellukset: sähköposti (SMTP, IMAP) WWW (HTTP) FTP, SSH, Socket-rajapinta ohjelmoinnille IP, osoitteet, reititys

Lisätiedot

Liikkuvien isäntäkoneiden reititys

Liikkuvien isäntäkoneiden reititys Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä

Lisätiedot

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa? Mobile IP IP-reititys IP-osoitteen perusteella koneen osoite riippuu verkosta, jossa kone sijaitsee kun kone siirtyy toiseen verkkoon tilapäisesti, osoite ei ole enää voimassa koneelle uusi osoite tässä

Lisätiedot

TVP 2003 kevätkurssi. Kertaus Otto Alhava

TVP 2003 kevätkurssi. Kertaus Otto Alhava TVP 2003 kevätkurssi Kertaus Kysymyksiä ja vastauksia 1) Mistä saa kurssin puuttuvat kalvot? ks. kurssin kotisivu ensi perjantaina! 2) Miten valmistautua tenttiin? (=Miten hahmotan kurssin sisällön paremmin?)

Lisätiedot

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet Lic.(Tech.) Marko Luoma (1/31) Lic.(Tech.) Marko Luoma (2/31) Miksi? S38.192 Verkkopalvelujen tuotanto Luento 2: Verkkoosoitteiden manipulaatiopalvelut Ongelma: A,B ja C luokkiin perustuva osoitejako johti

Lisätiedot

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla WDS- verkko luodaan 2.4G tukiasemien välillä Laite 1 (TW- EAV510 tai TW- EAV510 AC): - Tähän

Lisätiedot

Tikon ostolaskujen käsittely

Tikon ostolaskujen käsittely Toukokuu 2013 1 (7) 6.3.0 Copyright Aditro 2013 Toukokuu 2013 2 (7) Sisällysluettelo 1. Käyttäjäasetukset... 3 2. Yleiset parametrit... 3 3. Kierrätysasetukset... 3 4. palvelimen tiedot... 4 5. lähetyksen

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Siirtyminen IPv6 yhteyskäytäntöön

Siirtyminen IPv6 yhteyskäytäntöön Siirtyminen yhteyskäytäntöön SimuNet loppuseminaari 7.12.2011 Vesa Kankare 7.12.2011 1 Agenda Taustaa Miksi Muutoksen vaikutukset verkoille operaattori ja yritysnäkökulma SimuNet 7.12.2011 2 IPv4 IPv4

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Tikon ostolaskujen käsittely

Tikon ostolaskujen käsittely Toukokuu 2014 1 (8) Toukokuu 2014 2 (8) Sisällysluettelo 1. Käyttäjäasetukset... 3 2. Yleiset parametrit... 3 3. Kierrätysasetukset... 3 4. palvelimen tiedot... 4 5. lähetyksen aktivointi... 5 6. Eräajot

Lisätiedot

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

IPv6 käyttöönoton mahdollistajat operaattorin näkemys IPv6 käyttöönoton mahdollistajat operaattorin näkemys Jyrki Soini TeliaSonera 1 IPv6 toimi nyt IPv4 osoitteet loppumassa hyvää vauhtia keskusvarasto (IANA) jakoi viimeiset osoitelohkot 3.2.2011 RIPE arvioi

Lisätiedot

OSI ja Protokollapino

OSI ja Protokollapino TCP/IP OSI ja Protokollapino OSI: Open Systems Interconnection OSI Malli TCP/IP hierarkia Protokollat 7 Sovelluskerros 6 Esitystapakerros Sovellus 5 Istuntokerros 4 Kuljetuskerros 3 Verkkokerros Linkkikerros

Lisätiedot

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus Internet ja tietoverkot 2015 Harjoitus 7: Kertaus Tämän harjoituksen tarkoituksena on hieman kerrata TCP/IP-kerrosmallin sovelluskerroksen, kuljetuskerroksen, internet-kerroksen ja siirtoyhteyskerroksen

Lisätiedot

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Salaustekniikat Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Luennon sisältö 1. Tietoturvan tavoitteet 2. Kryptografia 3. Salattu webbiyhteys 2 Tietoturvan tavoitteet Tietoturvatavoitteita:

Lisätiedot

TW-EAV510AC-LTE OpenVPN ohjeistus

TW-EAV510AC-LTE OpenVPN ohjeistus TW-EAV510AC-LTE OpenVPN ohjeistus OpenVPN Remote Access Android -puhelimen ja TW-EAV510 välille. OpenVPN Remote Access-yhteydellä voidaan luoda VPN-yhteys, jossa liikenne on sallittu toiseen suuntaan eli

Lisätiedot

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa:

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa: Ismo Grönvall/Timo/TUTA 0353064 Tehtävä 5: Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa: Ihmiset viettävät huomattavan osan (>90 %) ajasta sisätiloissa. Sisäilmaston laatu on tästä syystä

Lisätiedot

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/2003 79. Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/2003 79. Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja Siltojen haitat sillat puskuroivat ja aiheuttavat viivettä ei vuonsäätelyä => sillan kapasiteetti voi ylittyä kehysrakenteen muuttaminen => virheitä jää havaitsematta Yleisesti edut selvästi suuremmat

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH) Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Protokollien yleiset toiminnot

Protokollien yleiset toiminnot CT30A2003 Tietoliikennetekniikan perusteet Protokollien yleiset toiminnot 1 Järjestelmä ja olio Eri järjestelmissä sijaitsevat oliot kommunikoivat keskenään - Jotta se olisi mahdollista, täytyy niiden

Lisätiedot

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin Tampereen teknillinen yliopisto 28.1.2010 Jouni Vuorensivu Remion Ltd. www.remion.com jouni.vuorensivu@remion.com Jouni Vuorensivu

Lisätiedot

Tulevaisuuden Internet. Sasu Tarkoma

Tulevaisuuden Internet. Sasu Tarkoma Tulevaisuuden Internet Sasu Tarkoma Johdanto Tietoliikennettä voidaan pitää viime vuosisadan läpimurtoteknologiana Internet-teknologiat tarjoavat yhteisen protokollan ja toimintatavan kommunikointiin Internet

Lisätiedot

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Selvitysraportti. MySQL serverin asennus Windows ympäristöön Selvitysraportti MySQL serverin asennus Windows ympäristöön IIO30200 / Jouni Huotari Arto Sorsa / F3900 CREATIVE COMMONS LISENSOITU http://creativecommons.org/licenses/by-nc-sa/1.0/fi/ 26.4.2010 1 SISÄLTÖ

Lisätiedot

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla Laite 1 TW- EAV510 v2: - Tähän laitteeseen tulee ulkoverkon

Lisätiedot

koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys.

koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys. 1 Kommunikoinnin turvallisuus Uhkatekijöistä (käsitelty aikaisemmin) Verkon monitorointi (1) Yhteyden kaappaaminen (2) Reititysmäärityksiä (3) Nimipalvelija (4) Palvelun kieltäminen (5) Piirrä kaaviokuva!

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

Option GlobeSurfer III pikakäyttöopas

Option GlobeSurfer III pikakäyttöopas Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen

Lisätiedot

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan VERKKOPANKKILINKKI Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun Palvelun kuvaus ja palveluntarjoajan ohje Kuvaus v1.2 1 (1) Sisällysluettelo 1 Verkkopankkilinkin kuvaus... 1 1.1 Yleiskuvaus...

Lisätiedot

Kuljetuskerros. Tietokoneverkot. Matti Siekkinen Pasi Sarolahti

Kuljetuskerros. Tietokoneverkot. Matti Siekkinen Pasi Sarolahti Kuljetuskerros Tietokoneverkot Matti Siekkinen Pasi Sarolahti Osa sisällöstä adaptoitu seuraavista lähteistä: J.F. Kurose and K.W. Ross: Computer Networking: A Top-Down Approach 6th ed. -kirjan lisämateriaali

Lisätiedot

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju Tietokoneverkot 2009 (4 op) jaakko.kangasharju@futurice.com Futurice Oy Syksy 2009 (Futurice Oy) Syksy 2009 1 / 39 Sisältö 1 2 (Futurice Oy) Syksy 2009 2 / 39 Sisältö 1 2 (Futurice Oy) Syksy 2009 3 / 39

Lisätiedot

j n j a b a c a d b c c d m j b a c a d a c b d c c j

j n j a b a c a d b c c d m j b a c a d a c b d c c j TEKNILLINEN KORKEAKOULU Tietoliikenne- ja tietoverkkotekniikan laitos S-38.115 Liikenneteorian perusteet, Kevät 2008 Demonstraatiot Luento 12 29.2.2008 D12/1 Tarkastellaan verkkoa, jossa on solmua ja linkkiä.

Lisätiedot

Sähköpostitilin käyttöönotto

Sähköpostitilin käyttöönotto Sähköpostitilin käyttöönotto Versio 1.0 Jarno Parkkinen jarno@atflow.fi Sivu 1 / 16 1 Johdanto... 2 2 Thunderbird ohjelman lataus ja asennus... 3 3 Sähköpostitilin lisääminen ja käyttöönotto... 4 3.2 Tietojen

Lisätiedot

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju Tietokoneverkot 2008 (4 op) jkangash@cc.hut.fi Teknillinen korkeakoulu Syksy 2008 (TKK) Syksy 2008 1 / 39 Sisältö 1 2 (TKK) Syksy 2008 2 / 39 Sisältö 1 2 (TKK) Syksy 2008 3 / 39 iksi monilähetys? : saman

Lisätiedot

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla Ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

AH-otsake. TCP/UDP -segmentti. Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla

AH-otsake. TCP/UDP -segmentti. Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla Ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

AH-otsake. AH-otsake. IP-otsake. ESP-otsake. AH-otsake

AH-otsake. AH-otsake. IP-otsake. ESP-otsake. AH-otsake Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla Ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2013 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys

Lisätiedot

Harjoitustyö. Jukka Larja T Tietokoneverkot

Harjoitustyö. Jukka Larja   T Tietokoneverkot Harjoitustyö 1 Työn idea Protokollat Etäisyysvektori Linkkitila Harjoitustyö Harjoitustyön käytäntöjä Palvelin Moodle SSH-tunnelit Työn demoaminen Yleistä palautetta suunnitelmista 2 Gallup Osaatko seuraavaa

Lisätiedot

TW-LTE REITITIN: INTERNET-YHTEYKSIEN KAISTANJAKO

TW-LTE REITITIN: INTERNET-YHTEYKSIEN KAISTANJAKO TW-LTE REITITIN: INTERNET-YHTEYKSIEN KAISTANJAKO Käyttötarkoitus: Toiminne jakaa useamman liittymän kaistaa usealle käyttäjälle samanaikaisesti. Näin ollen, kun käytössä on useampi kaista, voidaan käyttää

Lisätiedot

SÄHKÖPOSTIN SALAUSPALVELU

SÄHKÖPOSTIN SALAUSPALVELU ------- SÄHKÖPOSTIN SALAUSPALVELU Käyttäjän opas ver. 106865-4, 6.2.2014 Sisältö 1 Salauspalvelun toimintaperiaate... 1 2 Salauspalvelun käyttö... 2 2.1 Avausviestin lähettäminen... 2 2.2 Vastaanottajan

Lisätiedot

Visma Fivaldi -käsikirja Tehtävienhallinta- ohje käyttäjälle

Visma Fivaldi -käsikirja Tehtävienhallinta- ohje käyttäjälle Visma Fivaldi -käsikirja Tehtävienhallinta- ohje käyttäjälle 2 Sisällys 1 Palvelunhallinta... 3 1.1 Käyttäjäryhmän luominen... 3 2 Tehtävienhallinta- perustiedot... 4 2.1 Yhtiön perustiedot... 4 2.2 Tehtävä-/

Lisätiedot