DNSSec. Turvallisen internetin puolesta



Samankaltaiset tiedostot
Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Fi-verkkotunnus yksilöllinen ja suomalainen

INTERNET-SIVUT. Intercity Uusikaupunki H. Cavén

DNS- ja DHCPpalvelut. Linuxissa. Onni Kytönummi & Mikko Raussi

TCP/IP-protokollat ja DNS

Kuvaus DNSSEC allekirjoitus- ja avaintenhallintakäytännöistä

TIETOTURVAKATSAUS

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Fi-verkkotunnus luotettava ja suomalainen

Valtion yhteisen viestintäratkaisun (Vyvi) Työtila- ja Ryhmä-palvelun kirjautumisohje

Ohjeet vastaamiseen SFTP:llä. Yleistä Kirjautuminen Varmistus/sormenjälki Tiedostojen kopiointi Yhteystietojen antaminen

Salaustekniikat. Kirja sivut: ( )

2) Sisäverkon RJ45-portit kamerakäytössä (alk. S. 7) - kamera ei näy jossain modeemin takaseinän portissa tai se saa oudon näköisen IP-numeron

Titan SFTP -yhteys mittaustietoja varten

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

Tietoturva P 5 op

Opas fi-verkkotunnuksen hankkimiseen

Tietoturvatekniikka Ursula Holmström

Verkkopankkilinkki SUOMEN PANKKIYHDISTYS. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun

Asennusopas. Huomautus. Observit RSS


F-SECURE SAFE. Toukokuu 2017

AINEETTOMAN OMAISUUDEN HUOLTOKIRJA

.eu-verkkotunnusta koskevat WHOIS-toimintalinjat

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Kymenlaakson Kyläportaali

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Kennelliiton Omakoira-jäsenpalvelu Ohje eläinlääkäriasemille, Omakoira-palvelun käyttö

Konsepti viljan jäljitettävyysjärjestelmästä

Jos epäilet, että isännän yksityisavain on joutunut vaaran kohteeksi, voit luoda uuden yksityisavaimen suorittamalla seuraavat toimenpiteet:

Katsaus analyysityökaluihin

SÄHKÖPOSTIN SALAUSPALVELU

Fi-verkkotunnus - miksi ja miten?

Verkkosivu: Puhelin: Sähköposti: Aktivointiopas

Memeo Instant Backup Pikaopas. Vaihe 1: Luo oma, ilmainen Memeo-tili. Vaihe 2: Liitä tallennusväline tietokoneeseen

Fixcom Webmail ohje. Allekirjoitus. Voit lisätä yhden tai useamman allekirjoituksen.

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

OHJE. Nuorisoavustusten hakeminen sähköisesti nuortenjoensuu.fi sivuston kautta. Joensuun kaupunki Nuorisopalvelut JP Mattila

Tietosuojaseloste. Trimedia Oy

Yhden megan laajakaista kaikille

Fi-verkkotunnus - miksi ja miten?

WWW-PALVELUN KÄYTTÖÖNOTTO LOUNEA OY

Salakirjoitusmenetelmiä

TIETOTURVAKATSAUS 2/

Kryptovaluuttoista ja lohkoketjuista osa 3. Jyväskylä Henri Heinonen

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

Suojaudu sähköpostin väärennöksiltä näillä ohjeilla

Nimittäin, koska s k x a r mod (p 1), saadaan Fermat n pienen lauseen avulla

Tietoturvapolitiikka turvallisuuden perusta

YLIMÄÄRÄINEN. CERT-FI TIETOTURVAKATSAUS 2b/2008

ESET CYBER SECURITY Mac Pikaopas. Lataa tämän asiakirjan uusin versio napsauttamalla tätä

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Yritysturvallisuuden perusteet

Verkkotunnusvälittäjän vastuut ja velvollisuudet. Verkkotunnuspäivä,

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

BusinessWeb Kotisivupalvelu

Tietoturvan haasteet grideille

Nimeäminen. Distributed systems - principles & paradigms kirjan luku 5. Kari Systä

Nimeäminen. Kari Systä. Distributed systems - principles & paradigms kirjan luku /Kari Systä OHJ-5010/Hajautettujen perusteet 1

Maksuturva-palvelun käyttöönottolomakkeen rajapintakuvaus verkkokauppaohjelmistolle

WS-AINEISTOPALVELUT-VARMENTEET Varmenteen hankinta- ja uusintaohjeet Sähköposti-kanava

Langaton Tampere yhteisötukiaseman liittäminen

Sähköisen allekirjoituksen ohje

VERKKOPANKKILINKKI. Turvallinen linkki verkkopankista pankin ulkopuoliseen palveluun. Palvelun kuvaus ja palveluntarjoajan

ecome Markkinoiden kehittynein julkaisujärjestelmä

Lainanhakijan opas. Seitsemän askelta onnistuneeseen rahoitukseen. Joutsen Rahoitus

Verkkopalkan palvelukuvaus

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

IKI ry:n lausunto laista sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

Yleinen tietosuojaseloste

Sähköisen allekirjoituksen ohje

1 Kytke ADSL-kaapeli ADSL-linjaliitäntään I.

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

1 KÄYNNISTÄ MD-3100 USB ADSL MODEM. Tuotetiedot

Evästekäytäntö koskee paneeleita ja kyselyitä

Yritysturvallisuuden perusteet

Yhteisrakentamisverkoston uutiskirje 02/2018

TIETOSUOJASELOSTE KERADUR SERVICE OY. 1. Rekisterinpitäjä. Keradur Service Oy Y-tunnus: Osoite: Kampinkuja 2, Helsinki

Basware toimittajaportaali

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Yksityisautoilijoille ABAX AJOPÄIVÄKIRJA

SALITE.fi -Verkon pääkäyttäjän ohje

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Kamera. Bullet-verkkokamera. Pikakäyttöohje---suomi. Tämä pikaohje koskee kohteita DS-2CD2012-I, DS-2CD2032-I UD.6L0201B1268A01EU

Julkisen verkon nimipalvelumuutokset (kun asiakkaalla ei ole ollut entuudestaan Lync tai Office Communicator palveluita)

Hyvän salasanan tunnusmerkit Hyökkääjästä salasanan pitää näyttää satunnaiselta merkkijonolta. Hyvän salasanan luominen: Luo mahdollisimman pitkä

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Mistä on kyse ja mitä hyötyä ne tuovat?

ELEC-C7241 Tietokoneverkot Sovelluskerros

Ohje 1 (12) Maarit Hynninen-Ojala MOODLE PIKAOHJE. Kirjautuminen Moodleen ja työtilan valitseminen

ZA4981. Flash Eurobarometer 250 (Confidence in Information society) Country Specific Questionnaire Finland

Transkriptio:

DNSSec Turvallisen internetin puolesta

Mikä on DNSSec? 2 DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimenpiteillä on nyt varmistettu, että kyselyn lähettävä tietokone (esim. verkkoselain) pystyy näkemään, tuleeko internetosoitteeseen nimipalvelun kautta saatu vastaus siltä palvelimelta, joka on rekisteröity luotetuksi palvelimeksi. DNSSec varmistaa samalla, etteivät tiedot ole muuttuneet internetin kautta kulkiessaan. Lyhyesti sanottuna DNSSec on eräänlainen vakuutus, joka takaa, että internetin käyttäjät pääsevät juuri sille verkko sivulle, jolle heillä oli aikomus mennä. Salaustoimenpiteenä toimivat salatut allekirjoitukset, sillä varsinaisia tietoja ei salata. Kaikki tieto on edelleen julkisesti saatavilla, kuten nykyisessä nimipalvelu järjestelmässä.

Mihin DNSSec:iä tarvitaan? Tarkkaavaiset lukijat ovat jo varmasti huomanneet, että verkkoselaimet käyttävät jo tällä hetkellä tekniikkaa, jonka tarkoituksena on varmistaa, että käyttäjä saapuu oikealle sivustolle. Tämän tyyppiset sivustot on yleensä salattu SSL-tekniikalla (Secure Sockets Layer), mistä selain ilmoittaa avainsymbolilla. DNSSec:in tarkoituksena ei ole korvata SSL-salausta vaan täydentää sitä ja estää tilanteet, joissa käyttäjä joutuu väärälle palvelimelle jo ennen kuin yhteys on turvattu SSL-tekniikalla. 3

Kuinka nimipalvelujärjestelmä toimii? 4 Nykyisen internetin perustana on globaali nimipalvelujärjestelmä. Seuraavassa kerrotaan lyhyesti, kuinka se toimii. Nimipalvelua voidaan verrata koko maailman kattavaan puhelinluetteloon, jossa globaalisti ainutlaatuisille verkkotunnuksille (esim. www.dnssec.fi) on annettu omat ainutlaatuiset IP-osoitteensa (esim. 87.239.124.120). Internetosoitteita eli verkkotunnuksia käytetään siksi, että ne on helpompi muistaa. Nimipalvelujärjestelmä on rakenteeltaan hierarkkinen, millä varmistetaan, etteivät kaikki kyselyt päädy samalle palvelimelle. Nimiavaruus on jaettu niin sanottuihin vyöhykkeisiin. Verkkotunnuksessa www.dnssec.fi hierarkian ylätaso (eli juuri) jakautuu Suomen palvelimiin ( fi ) ja edelleen DNSSecpalvelimiin ( dnssec.fi ). Yksittäisten vyöhykkeiden tehtävät on jaettu eli delegoitu hierarkiassa. Kun käyttäjä haluaa siirtyä verkkosivustolle www.dnssec.fi, internetyhteyden tarjoajan nimipalvelin käy läpi kaikki hierarkian tasot yksi toisensa jälkeen. Taso, joka ei tiedä vastausta kohdeosoitteelle, lähettää ilmoituksen seuraavalle alemmalle tasolle, kunnes alimman tason palvelin löytää osoitteelle vastauksen.

Rakenteeltaan hierarkkisessa nimipalvelujärjestelmässä.fi-verkkotunnuksen nimipalvelimet välittävät pyynnöt.fi-loppuisista verkkotunnuksista (esim. dnssec.fi) automaattisesti oikeaan osoitteeseen. Juuri.fi.com.org 5 dnssec.fi ficora.fi iana.org

Mikä on DNSSec:in tarkoitus? 6 Oletetaan, että puhelinluettelon numerotietoja on väärennetty, ja luettelossa ilmoitettu fi-verkkotunnusten asiakaspalvelun numero on väärä. Tällaista luvatonta väärinkäyttöä on lähes mahdotonta havaita. Numerotietojen väärentäminen internetissä voi olla mahdollista, jos hyökkääjä muuttaa edellä kuvatun hierarkian. Jos hyökkääjä onnistuu esimerkiksi saastuttamaan internetyhteyden tarjoajan palvelimen väärillä tiedoilla (cache poisoning), verkkotunnus www.dnssec.fi vie väärälle verkkosivustolle. Seuraukset voivat olla vakavat, jos väärennetty verkkosivusto kuuluu esimerkiksi pankille tai jos yrityksesi uusin strategia päätyy yhteistyökumppanin väärennetylle postipalvelimelle. Internetiä käytetään nykyisin useisiin eri tarkoituksiin, joten hakkerien hyökkäyksillä voi olla kauaskantoisia seurauksia. DNSSec tarjoaa tehokkaan suojan verkkotunnusten väärentämistä ja muita hyökkäyksiä vastaan. DNSSec ei estä tietojen kalastelua eli phishingiä, mutta se suojaa tehokkaasti nimipalvelujärjestelmään kohdistuvilta hyökkäyksiltä. Juuri tämä on tärkeää, sillä valppaat internetin käyttäjät tunnistavat itse useimmat phishing-yritykset, mutta edes ammattilaiset eivät havaitse nimipalveluun kohdistuvia hyökkäyksiä.

Hierarkiaa voidaan muuttaa ns. cache poisoning -hyökkäyksellä. Juuri.fi 7 dnssec.fi muutettu hierarkia domain.fi dnssec.fi

DNSSec pähkinänkuoressa 8 Kuten edellä mainittiin, DNSSec:in perustana ovat salatut allekirjoitukset, joilla nimipalveluhaut allekirjoitetaan. Internetin verkkotunnuksesta vastaava taho voi suojata tietonsa DNSSec:illä. Kaikki internetpalveluntarjoajan vastuulla oleva tieto allekirjoitetaan palveluntarjoajan omalla avaimella, ja allekirjoitukset tallennetaan nimipalvelu järjestelmään RRSIGtietueina. Esimerkki DNSSec:in käytöstä: Internetyhteyden tarjoajan nimipalvelin noudattaa edellä esiteltyä hierarkiaa kyselyyn vastaamiseksi. DNSSec:in avulla se voi kuitenkin tarkistaa saatujen allekirjoitusten perusteella, tuleeko vastaus oikeasta lähteestä ja onko se muuttunut matkalla. Nimipalvelin vastaa ainoastaan, jos kaikki vaaditut tiedot ovat oikein. Kuinka kaikki allekirjoitukset voidaan varmentaa? Digitaalisen allekirjoituksen luomiseen tarvitaan avainpari, joista toinen on yksityinen ja toinen julkinen (epäsymmetrinen salausjärjestelmä). Kuten nimestä voi päätellä, yksityinen avain on salainen ja on ainoastaan omistajan hallussa. Julkinen avain taas julkaistaan nimipalvelimessa DNSKEY-tietueena. Allekirjoitus voidaan varmentaa yksityistä avainta vastaavalla julkisella avaimella. Julkiseen avaimeen on siis voitava luottaa ennen kuin allekirjoitus pystytään varmentamaan. Kaikkiin internetistä löytyviin avaimiin ei voi luottaa, joten apuna käytetään nimipalvelun hierarkian kaltaista avainhierarkiaa ( chain of trust eli luottamusketju). Toimintatapa vaikuttaa ensi näkemältä monimutkaiselta, mutta sen tarkoituksena on ainoastaan varmistaa, että kaikki allekirjoitukset voidaan varmentaa yhdellä julkisella avaimella.

DNSSec:in avulla internetyhteyden tarjoajan nimipalvelin pystyy tunnistamaan hierarkian, jota on muutettu cache poisoning -hyökkäyksellä. www.dnssec.fi? Juuri 3 www.dnssec.fi? 2 Vastaus kelpaa Internetyhteyden tarjoajan nimipalvelin www.dnssec.fi? HUOM! Vastaus ei kelpaa 3 1 9.fi Vastaus kelpaa domain.fi dnssec.fi dnssec.fi 4 www.dnssec.fi? Vastaus ei kelpaa Käyttäjä

Luottamusketju Julkinen avain lähetetään aina hierarkiassa seuraavalle ylemmälle tasolle. Ylempi taso tallettaa avaimen vyöhykkeelleen DS-tietueena ja takaa sen oikeellisuuden allekirjoittamalla sen. Sen jälkeen tämän tason julkinen avain lähetetään jälleen seuraavalle ylemmälle tasolle. Luottamusketjussa ylin taso (esim..fi-tunnuksen nimipalvelin) takaa alemmalta tasolta tulleen tiedon oikeellisuuden. 10 DNSKEY Julkinen juuriavain Juuri DNSKEY Julkinen.fi-avain LUOTTAMUSKETJU.fi DNSKEY Julkinen dnssec.fi-avain dnssec.fi fi. DS hash (DNSKEY) fi. RRSIG DS... Allekirjoitettu yksityisellä juuriavaimella dnssec.fi. DS hash (DNSKEY) dnssec.fi. RRSIG DS... Allekirjoitettu yksityisellä.fi-avaimella www.dnssec.fi A 87.239.124.120 dnssec.fi. RRSIG A Allekirjoitettu yksityisellä dnssec.fi-avaimella

Mitä tarvitaan DNSSec:in käyttöön? Internetin käyttäjältä ei edellytetä toimenpiteitä. Jos ADSL- tai kaapelimodeemiyhteyden tarjoaja tukee DNSSec:iä, kaikki allekirjoitusten varmennukset tapahtuvat tarjoajan nimipalvelimilla. Verkkotunnuksen haltijan tapauksessa verkko-operaattorin on otettava DNSSec käyttöön. On todennäköistä, että ennen kuin DNSSec:in käyttö yleistyy, sillä suojaavat verkkotunnuksensa alkuvaiheessa lähinnä suojausta tarvitsevat verkkosivujen ylläpitäjät (kuten pankit). 11 Esitteen teksti pohjautuu the Swiss education and research networkin (www.switch.ch) aineistoon.

Viestintävirasto Puhelin. 0295 390 200 (verkkotunnukset) Puhelin. 0295 390 100 (vaihde) Faksi 0295 390 270 PL 313 (Itämerenkatu 3 A) 00181 Helsinki Lisätietoja www.domain.fi www.viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute