Internet-tekniikan vaikutukset tietoturvaan ja kaapelointiin DDC-järjestelmissä Fidelix Oy Jussi Rantanen toimitusjohtaja
TIETOTURVA Tietoturvan kolme tavoitetta Luottamuksellisuus Tietoa voivat lukea tai muokata vain ne, joilla on siihen oikeus Eheys Ulkopuolinen taho ei voi luvatta muuttaa tiedon sisaltöä Saatavuus Tiedon täytyy olla saatavilla tarpeen mukaan
HAASTEET 1. Mukavuus * tietoturva = vakio. 2. Toisto on turvallisuuden vihollinen. 3. Vahingon torjunta on halvempaa kuin vahingon korjaaminen. 4. Käyttäjät on itse puolustuksen ensimmäinen lenkki. 5. Todellista tietoturvaa ei voi ostaa kaupasta. 6. Tietoturva on 20 % tekniikkaa ja 80 % psykologiaa. 7. Haluamme lisää valvontaa muille ja lisää yksityisyyttä itsellemme. 8. Automaatiojärjestelmät Jatkuvuus (osta ja unohda)
Tietokonevirusten historiaa ja filosofiaa Virukset ovat tietokoneohjelmia, joiden tarkoituksena on yleensäpyrkia leviämään mahdollisimman laajalle ja samalla toteuttaa viruksen kirjoittajan antamia (yleensä seurauksiltaan vahingollisia) lisäohjeita Erilaisten virustyyppien jaottelu Perinteinen virus: pieni ohjelmanpätkä, joka tarttuu muiden ohjelmien yhteyteen ja käynnistyy kyseistäohjelmaa käytettäessa, lähtien tämän jälkeen joko vain leviämaan edelleen uusiin isäntaohjelmiin tai aiheuttamaan lisäksi jotain muuta tavallisuudesta poikkeavaa Sähköpostivirus: sähkopostiviestin yhteyteen vastaavalla tavalla kiinnittyväohjelma, joka hyödyntääesimerkiksi riittävan yleisen sähköpostiohjelman puutteellista turvallisuutta lähettääkseen itseään eteenpäin esimerkiksi sähköpostiohjelman osoitekirjan osoitteisiin Mato: ohjelma, joka hyödyntäätietoverkkoja ja verkon tietokoneiden tietoturva aukkoja levitessään etsimällätartunnan saaneelta isäntäkoneelta käsin verkosta yhäuusia vastaavan aukon sisältäviä koneita monistaakseen itsensä niihin ja jatkaakseen leviämistä Troijalainen hevonen: ohjelma, joka väittämänsänormaalin toiminnan sijaan tai lisäksi tekee myös jotain käyttäjän kannalta vahingollista käynnistyessään (tai pelkästaan tarkkailee ja taltioi tämän tekemisiä)
VIRUKSILTA SUOJAUTUMINEN Jokaisella käyttäjälläkoulutus, oikeat yksilölliset käyttöoikeudet Pidä järjestelmän virustorjunta käytössa ja ajan tasalla Estä valvomon yleinen nettiselailu Pidä järjestelmän käyttöjärjestelmä ajan tasalla Kiinnitä huomiota käyttöoikeuksiin Käytäpalomuuria Käytä turvalliseksi todettuja ohjelmia Pidä järjestelmän varmuuskopiot ajantasalla Säilytäterveen vainoharhainen perusasenne! Ota tietoturva huomioon jo suunnittelu / hankintavaiheessa
Palomuurit Palomuuri on laite tai ohjelmisto, joka valvoo (IP osoitteet ja porttinumerot) internetin puolelta saapuvaa ja sinne lähtevää liikennettä halutulla tarkkuudella Asiattomat yhteydenottoyritykset suuntaan tai toiseen estetään, joko aktiivisesti kieltäytyen yhteydestä tai täysin näkymättömänä Palomuuri voidaan toteuttaa esimerkiksi erillisenälaitteena, osana muuta verkkoinfrastruktuuria, palveluna operaattorin toimesta, tai päätelaitteen ohjelmistona Palomuurin asetuksien säätäminen kohdalleen saattaa vaatia jonkin verran teknistä tietoa tietokoneen ja eri ohjelmien toiminnasta Suosittelemme ulkoista palomuuria internetin ja automaatiojärjestelmän väliin
VPN (Virtual Private Network) etäyhteys Etäkäyttö järjestelmään VPN-yhteydellä tunneloi ja salaa tiedonsiirron VPN-yhteys on kuin putki tai suora kaapeli kahden verkon välillä, vaikka yhteys kulkee internetin kautta. Käyttäjätunnuksin ja salatuin tiedonvaihdoin saadaan riittävän turvallinen yhteys etäohjelmien käyttöön ja tiedostojen vaihtoon. Vaihtoehto 1 - Palomuurien avulla Vaihtoehto 2 Ohjelmiston avulla VPN-server / VPN-client HTTPS - Salattu ja suojatut yhteydet kohteeseen internetissä käytössä oleva salaustekniikka pankkiyhteydet, varmennetut yhteydet maksullinen sertifikaatti
Tietoturvalinkkejä www.w3.org/security/faq Yleistä tietoa Internetin turvallisuudesta way2goal.com/internet/faq.htlyhyet englanninkieliset selitykset turvallisuuteen liittyville ml termeille www.ssh.com/tech runsaasti tietoturvaan liittyvää informaatiota www.disappearing.com Itsestään häviävän sähköpostin perusteet www.luottokunta.fi/visaset/vi Tietoa luottokunnan SET järjestelmästä sa.html www.pgpi.org Kansainvälisen PGP version kotisivu
Tietoverkot Kiinteistöjen tietoverkot Perinteinen puhelinverkko / merkitys Lähiverkot Kommunikaatio perustuu mm. Ethernet tekniikkaan ja TCP/IP -protokollaan Työasemat liitetty toisiinsa ja yhteisiin resursseihin yleiskaapeloinnilla Eri toimipisteiden lähiverkot voidaan yhdistää toisiinsa Kiinteistöjen muut (järjestelmäkohtaiset) tietoliikenneverkot Perinteisesti kaapeloinnit toteutettu erillisinä johtuen standardien puutteesta ja eri järjestelmien erityisvaatimuksista. Esim. videovalvontajärjestelmien koaksiaalikaapelit Muutos on kohti yleiskaapeloinnin ja lähiverkkojen hyödyntämistä Esim. IP -verkkokamerat
Tietoverkot yhdistyvät Kiinteistöissä kohtaavat eri toimialat, järjestelmät ja palvelut joita yhdistää (avoimet) tietoverkot RAKENNUS- AUTOMAATIO TURVALLISUUS KIINTEISTÖJEN TIETOVERKOT SÄHKÖINEN TALOTEKNIIKKA TIETOTEKNIIKKA TELEVIESTINTÄ
Hallintotaso Paikallinen Valvomo Automaatiotaso Ala-asemat Rakennusautomaation yleinen (PC) AK 1 AK 2 AK..n ÍNTERNET / INTRANET rakenne TCP/IP TCP/IP Moduulit MODBUS IO-Kortit 1..63 kpl AK 1 AK 2 AK..n Kaukovalvonta Valvomo (PC/:t) Kaukovalvonta (GSM) Modulaariset alaasemat Kenttätaso Ohjaukset Kenttälaite kaapelointi Kenttälaite kaapelointi Huonesäädöt -pumput -puhaltimet -valaistus -sähkölämmitys Säätölaitteet -säätöpellit -IMS-laitteet -venttiilimoottorit Mittalaitteet -anturit -lähettimet -mittaviestit Turvalaitteet -paloilmoittimet -rikosilmoittimet -murtoilmoittimet -kulunvalvonta Huonesäätimet 1..n
KAAPELOINTI Ethernetille ei ole määritelty omaa kaapelointia, vaan siirtoon käytetään yleiskaapelointia Koaksiaalikaapeli: - väyläkaapelointi - vanhin (poistunut käytöstä) - paksu - ohut - 10 Mb/s - half duplex Kierretty parikaapeli: CAT 6 - tähtikaapelointi - yleisin - 4-paria/yhteys - suojattu - suojaamaton - 10 Mb/s - 100 Mb/s - 1 Gb/s - 10 Gb/s - half duplex - full duplex Valokuitukaapeli: - tähtikaapelointi - pisimmät yhteydet - 1-pari/yhteys - 10 Mb/s - 100 Mb/s - 1 Gb/s - 10 Gb/s - n x 10 Gb/s (WDM) - half duplex - full duplex
Parikaapeli Ethernet - datansiirtonopeus 10 Mb/s, 100 Mb/s, 1 Gb/s ja 10 Gb/s - 4-parinen parikaapeli (tähtitopologia) -10 Mb/s ja 100 Mb/s siirrossa käytetään vain kahta paria -1 Gb/s ja 10 Gb/s siirrossa käytetään neljää paria - kaapeli suojattu tai suojaamaton - yhteys on aina point to point, jolloin erillistä terminointia ei tarvita - max pituus 100 m (5 + 90 +5) - littyminen suoraan verkkokortin RJ-45-liittimeen Max. 100 m Max. 90 m ristikytkentäpaneli kiinteästi asennetussa kaapelissa sallitaan yksi liittimillä tehty jatkos seinärasia
REITITIN INTERNET REITITIN Tyypillinen verkko REITITIN REITITIN REITITIN REITITIN KYTKIN KYTKIN IP-verkko #1 IP-verkko #2 IP-verkko #3 KYTKIN KYTKIN IP-verkko #4
Verkkorakenteita - Väylämäinen silloin kun etäisyys tai kaapeloinnin rakenne sen vaatii UPLINK
- kerrattu tähti suositeltavampi sekä suorituskyvyn että varmuuden suhteen UPLINK
Virtuaaliverkko VLAN - koneet ovat fyysisesti samassa verkossa, mutta muodostavat loogisesti erillisiä verkkoja - luokkitelevana tekijänävoi olla esim. kytkimen portti, hostin ethernet-osoite tai protokolla - koneet pystyvät kommunikoimaan vain oman vlaninsa koneiden kanssa KYTKIN VLAN 1 RAU-verkko VLAN 2 Esim. terveys VLAN 3 Esim. koulut