Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011

Samankaltaiset tiedostot
Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Tietoturvan perusteet. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Salausmenetelmät (ei käsitellä tällä kurssilla)

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

OSI ja Protokollapino

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

1.1 Palomuuri suunnitelma

Turvallinen etäkäyttö Aaltoyliopistossa

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Linux palomuurina (iptables) sekä squid-proxy

Tietoturvallisuus. Kirja sivut

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

TIETOTURVALLISUUDESTA

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

T Tietokoneverkot kertaus

Hans Aalto/Neste Jacobs Oy

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Tietosuojaseloste. Trimedia Oy

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Identiteettipohjaiset verkkoja tietoturvapalvelut

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Tietoturva-kurssit: kryptografian perusteet IPSec

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2014

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Pilvipalvelujen tietoturvasta

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Directory Information Tree

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Kuva maailmasta Pakettiverkot (Luento 1)

Langattoman kotiverkon mahdollisuudet

Tietoturvan haasteet grideille

Kymenlaakson Kyläportaali

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

Yhteenveto / kertaus. Tuomas Aura T Johdatus Tietoliikenteeseen kevät 2013

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Tietoturva Helsingin yliopiston tietojenkäsittelytieteen laitoksella. Taustaa: Taustaa: Taustaa Periaatteita Fyysinen tietoturva Palomuurit

Pilvipalveluiden arvioinnin haasteet

0.1 Internet-verkon perustoiminta

T Yritysturvallisuuden seminaari

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2010

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

- ai miten niin?

Tutkimus web-palveluista (1996)

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Diplomityöseminaari Teknillinen Korkeakoulu

Liittymän vikadiagnosointi

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Tikon Ostolaskujenkäsittely versio SP1

Langaton Tampere yrityskäyttäjän asetukset

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

Tietoliikenteen perusteet. Langaton linkki

Tietoliikenteen perusteet. Langaton linkki

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä. Jorma Mellin Teknologiajohtaja TDC Oy

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Tietoliikenne I (muuntokoulutettaville) 2 ov Syksy 2002 Luennot Liisa Marttinen 11/6/2002 1

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

Tietojärjestelmät Metropoliassa Mikko Mäkelä & JHH

TW- EAV510 v2: WDS- TOIMINTO KAHDEN TW- EAV510 V2 LAITTEEN VÄLILLÄ

Option GlobeSurfer III pikakäyttöopas

Siirtyminen IPv6 yhteyskäytäntöön

Tietoturvapolitiikka turvallisuuden perusta

F-SECURE SAFE. Toukokuu 2017

FuturaPlan. Järjestelmävaatimukset

TW- EAV510 / TW- EAV510 AC: OpenVPN

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

Yhteenveto / kertaus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Transkriptio:

Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011

Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset palvelimet, etäkäyttö, langaton verkko 2. Tietoturvauhkien analyysi Case Oodi 2

RAJAVALVONTA: PALOMUURIT 3

Palomuuri Sisäverkko Internet Palomuuri suodattaa liikennettä turvallisen ja turvattoman vyöhykkeen välillä Sisäverkon ja Internetin välillä Tietokoneen ja tietoverkon välillä Palomuurin tarkoitus: Vähentää havoittuvuutta pienentämällä avoimia rajapintoja Toteuttaa tietoturvasääntöjä Perinteinen turvallisuuden malli: järjestelmä jaetaan vyöhykkeisiin ja liikennettä niiden rajojen yli valvotaan (perimeter security) 4

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 5

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 dst=2.3.4.5:80 src=10.0.0.2:3344 TCP SYN ACK 10.0.0.1 NAT 1.2.3.4 src=2.3.4.5:80 dst=1.2.3.4:4567 TCP SYN ACK Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 6

NAT palomuurina NAT suojaa verkkoa: Piilottaa sisäverkon osoitteet ja rakenteen Yhteys aloitettava (TCP SYN) sisäverkosta; Internetistä ei mahdollista luoda yhteyttä sisäverkkoon NAT tukee yleensä TCP ja UDP-protokollia, joskus myös ICMP:tä Ensimmäinen paketti lähetettävä aina ulospäin Q: Voiko hyökkääjä arvata porttinumeron ja lähettää väärennettyjä paketteja sisäverkon koneelle? 7

NAT palomuurina NAT voi sitoa yhteyden palvelimen IP-osoitteeseen ja porttiin Eri NAT-toteutukset muistavat yhteydestä eri tietoja Lisätieto tekee pakettien väärentämisen vaikeammaksi Ylläpitäjä voi avata NAT:iin pysyviä aukkoja 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet 2.3.4.5 3.4.5.6 Tyyppi Sisäinen IP-os. Portti Ulkoinen IP-os. Portti Palvelimen IP-os. Portti - 10.0.0.2 3344 1.2.3.4 4567 2.3.4.5 80... pysyvä... 10.0.0.3... 80... 1.2.3.4... 80... *... * 8

Palomuurisäännöt Entä jos verkossa ei ole NAT:ia? Reitin tai erillinen palomuuri voi silti pitää kirjaa yhteyksistä ja suodattaa niitä Palomuurisäännöillä verkon (tai koneen) ylläpitäjä estää ja sallii yhteyksiä Yhteydet ulospäin vain tiettyihin portteihin Yhteydet sisäänpäin tiettyihin koneisiin ja portteihin Esim: Suunta Protokolla Sisäinen IP-osoite Portti Ulkoinen IP-osoite Portti Toiminto Ulos TCP 10.0.0.0/24 1024 65535 * 22,80,443 Salli SSH,HTTP,HTTPS Ulos UDP 10.0.0.0/24 1024 65535 * 53 Salli DNS Sisään TCP 10.0.0.3 80,443 * 1024 65525 Salli Oma web-palvelin * * * * * * Estä Oletussääntö 9

Palomuurityypit A. Tilaton palomuuri Jokainen paketti käsitellään erikseen ja sallitaan tai estetään vertaamalla otsakkeita sääntöihin B. Tilallinen palomuuri (stateful packet inspection SPI) Tavallisin palomuurityyppi, esim. NAT Palomuuri pitää kirjaa avoimista yhteyksistä C. Sovellustason palomuuri Sovelluskerros, middleware Kuljetuskerros: TCP, UDP Verkkokerros: IPv4, IPv6 Linkkikerros 1. Pakettien syvätarkastus (deep packet inspection DPI) Palomuuri tutkii pakettien sisältöä tai rekonstruoi TCP-tavuvirran Esim. URL-suodatus, virustarkistus, Internet-sensuuri 2. Välityspalvelin (application proxy): Estetään palomuurisäännöillä postin välitys muiden kuin yhden SMTP-palvelimen kautta keskitetty sähköpostin virussuodatus Ohjataan ulos menevien HTTP-yhteyksien suodatus välityspalvelimella URL:n ja sisällön perusteella Palomuurina toimii yleensä reititin, sovellustasolla erillinen laite 10 C B A?

Palomuurien ongelmia Säännöt estävät sovellusten toimintaa Palvelimet eivät toimi NAT:in tai tilallisen palomuurin takana suora käyttäjien välinen kommunikaatio (esim. Internet-puhelut) vaikea toteuttaa Palomuurisäntöjen muuttaminen on vaikeaa, esim. miten web-palvelin omaan koneeseesi kampuksella? Sovellukset kiertävät palomuurin Alun perin palvelimen portti kertoi sovelluksen Nykyään kaikki liikenne porteissa 80,443 suodattaminen mahdotonta 11

Palomuuri ja julkiset palvelimet Sisäverkko Internet DMZ Kuuluvatko julkiset palvelimet (esim webpalvelin) palomuurin sisä- vai ulkopuolella? Tyypillisesti luodaan erillinen demilitarisoitu verkkovyöhyke (DMZ) julkisille palvelimille 13

Etäkäyttöyhteydet Sisäverkko Internet Virtuaaliverkkoyhteys (VPN): Tietokone voi kuulua loogisesti sisäverkkoon, vaikka on fyysisesti muualla Kaikki paketit koneesta ohjataan salatun ja todennetun tunnelin läpi sisäverkkoon Samoin useita sisäverkkoja voidaan yhdistää yhdeksi loogiseksi virtuaaliverkoksi Etäkäyttöyhteys suojataan kryptografialla IPsec, PPTP, SSL-VPN tai SSH Todennettu avaintenvaihto + datan salaus ja todennus käyttäjän koneen ja palomuurin välillä 14

Langaton lähiverkko Sisäverkko Internet Onko langaton lähiverkko sisäverkossa vain sen ulkopuolella? 1. Sisällä: WLAN-tietoturvaprotokolla (WPA2) suojaa langattoman linkin kryptografialla Todennettu avaintenvaihto + datan salaus ja todennus käyttäjän koneen ja tukiaseman välillä Yhtä turvallinen kuin sisäverkon lanka-ethernet 2. Ulkona: esim. Aalto Open 15

Palomuurien ongelmia 2 Edelleen reittejä palomuurin ohi: Kannettavat tietokoneet kulkevat sisään ja ulos lähiverkosta Windowsin palomuuria ja asetuksia voi hallita keskitetysti, mutta nykyään paljon eri järjestelmiä, puhelimia, sormitietokoneita jne. Mobiililaitteet ovat samaan aikaan yhteydessä sisäverkkoon ja langattomaan Internettiin 16

TIETOTURVAUHKIEN ANALYYSI 17

Kertaus: tietoturvan tavoitteet Tietoturvatavoitteita: (CIA = Confidentiality, Integrity, Availability) Tiedon luottamuksellisuus Tiedon eheys Tiedon ja palvelujen saatavuus Lisäksi pääsynvalvonta (access control) Vain valtuutut tahot saavat käyttää tietoa tai palvelua Esim. käyttäjän identiteetin todentaminen ja käyttöoikeuksien tarkistus Tällä kurssilla käsiteltyjä turvamekanismeja: Kryptografia todennettu avaintenvaihto, datan salaus ja todennus Turvavyöhykkeet ja rajavalvonta 18

Tietoturvan suunnittelu Organisaation tai järjestelmän tietoturvan suunnittelu: Tunnistetaan suojattava tieto-omaisuus Tunnistetaan uhkat: fyysiset, tietotekniset ja sosiaaliset mitä pahaa voi tapahtua? kuka? Tehdään riski-analyysi: vahinkojen suuruus ja todennäköisyys, uhkien priorisointi Päätetään suojauksen tavoitteet Päätetään suojauksen keinot: tekniset suojaukset, prosessit, vastuut ja resurssit Tietoturva on jatkuva prosessi: Turvatilannetta on valvottava; suojauksia päivitetään uhkien muuttuessa 19

Uhka-analyysi Esimerkki: opintorekisteri Mitä suojeltavaa tietoa? Mitä uhkia, kuka on hyökkääjä? Uhkien priorisointi? Käytitkö ensin CIA-mallia? Riittääkö se? Muistitko sisäpiirin uhkat? 20

Opintorekisteri Suojeltava omaisuus: Opintosuoritukset, opiskelijoiden henkilötiedot Uhkat: Henkilötietojen vuotaminen (julkisuuslain mukaan julkista!) Tiedon luvaton muokkaaminen, esim. väärennetyt suoritukset Luvaton pääsy tietokantaan ylläpitäjän tunnuksella Rekisterin ylläpitäjän salasanan kuuntelu Palvelinohjelmistojen heikkouksien hyväksikäyttö Sosiaalinen hakkerointi Ylläpitäjän rekisteriin siirtämän datan muokkaus verkossa Suoritustiedon tuhoutuminen Voiko ylläpitäjä poistaa tietoa? Palvelun saatavuuden häiriöt Keskeiset tavoitteet: 3. Harmillista ja todennököistä 1. Kriittistä vaikka harvinaista 3. Harmillista ja yleistä Huom! Tämä on vain yksi näkemys ja uhkakuvat voivat muuttua 1. Tärkeää ja todennäköistä 4. Melko epätodennäköistä Pääsynvalvonta etenkin tiedon poistolle ja kirjoittamiselle Rekisterin ylläpitäjien todentaminen, salasanan ja datan suojaus Opiskelijakäyttäjän todentaminen Ohjelmistojen luotettavuus 21

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute