Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Samankaltaiset tiedostot
Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Tietoturvan perusteet. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Yhteenveto / kertaus. Tuomas Aura T Johdatus Tietoliikenteeseen kevät 2013

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Salausmenetelmät (ei käsitellä tällä kurssilla)

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Yhteenveto / kertaus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Yhteenveto / kertaus. Tuomas Aura T Johdatus Tietoliikenteeseen kevät 2012

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

OSI ja Protokollapino

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

T Tietokoneverkot kertaus

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Linux palomuurina (iptables) sekä squid-proxy

DNA LAAJAKAISTA TUOTEKUVAUS

ELEC-C7241 Tietokoneverkot Sovelluskerros

Tietoliikenne II (2 ov)

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Tietosuojaseloste. Trimedia Oy

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Kymenlaakson Kyläportaali

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Opinnäytetyön loppuseminaari

1.1 Palomuuri suunnitelma

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Tietoturva Helsingin yliopiston tietojenkäsittelytieteen laitoksella. Taustaa: Taustaa: Taustaa Periaatteita Fyysinen tietoturva Palomuurit

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Tutkimus web-palveluista (1996)

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2014

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

Siirtyminen IPv6 yhteyskäytäntöön

ELEC-C7241 Tietokoneverkot Multimedia, tietoturva, jne.

Tietoliikenne I (muuntokoulutettaville) 2 ov Syksy 2002 Luennot Liisa Marttinen 11/6/2002 1

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

WWW:n tietoturva. Nixu Ltd.

T Yritysturvallisuuden seminaari

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Tietoliikenne I 2 ov kevät 2003

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Harjoitustyö. Jukka Larja T Tietokoneverkot

Tietoturvallisuus. Kirja sivut

Turvallinen etäkäyttö Aaltoyliopistossa

Muokkaa otsikon perustyyliä napsauttamalla

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Kertausluento. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Tietoliikenne II (2 ov)

Tietoliikenne I 2 ov kevät 2004

Tietoliikenne I 2 ov kevät 2004

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

Tietoliikenne I (muuntokoulutettaville) 2 ov syksy 2003 Luennot Liisa Marttinen

Tietoliikenne I (muuntokoulutettaville) 2 ov syksy 2003 Luennot Liisa Marttinen

WL54AP2. Langattoman verkon laajennusohje WDS

Tietoliikenteen perusteet. Tietoturvasta

Tietoliikenteen perusteet

Tamico Yrityssähköposti

KUSTANNUSTEHOKAS, TURVALLINEN JA VERKOTTUNUT VESIHUOLLON TIETOTEKNIIKKA MYYTTI VAI MAHDOLLISUUS

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Salaus ja tietoturva teollisen internetin ratkaisuissa

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Kytkimet, reitittimet, palomuurit

Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä. Jorma Mellin Teknologiajohtaja TDC Oy

- ai miten niin?

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Transkriptio:

Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2013

Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys 2. Tietoturvauhkien analyysi Case Oodi 2

RAJAVALVONTA: PALOMUURIT 3

Palomuuri Sisäverkko Internet Palomuuri suodattaa liikennettä turvallisen ja turvattoman vyöhykkeen välillä Sisäverkon ja Internetin välillä; tietokoneen ja tietoverkon välillä Palomuurin tarkoitus: Vähentää havoittuvuutta pienentämällä avoimia rajapintoja Toteuttaa tietoturvasääntöjä Perinteinen turvallisuuden malli: järjestelmä jaetaan alueisiin ja liikennettä niiden rajojen yli valvotaan (perimeter security) 5

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 6

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 src=2.3.4.5:80 dst=10.0.0.2:3344 TCP SYN ACK 10.0.0.1 NAT 1.2.3.4 src=2.3.4.5:80 dst=1.2.3.4:4567 TCP SYN ACK Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 7

NAT palomuurina NAT suojaa verkkoa: Yhteys aloitettava (TCP SYN) sisäverkosta; Internetistä ei mahdollista luoda yhteyttä sisäverkkoon Piilottaa sisäverkon osoitteet ja rakenteen NAT tukee yleensä TCP ja UDPprotokollia, joskus myös ICMP:tä Ensimmäinen paketti lähetettävä aina ulospäin Q: Voiko hyökkääjä arvata porttinumeron ja lähettää IP-paketteja sisäverkon koneelle? 8

NAT palomuurina NAT-toteutuksissa on paljon eroja Mitä enemmän tietoa NAT muistaa yhteydestä, sitä vaikeampaa hyökkääjän on lähettää paketteja sen läpi Ylläpitäjä voi avata NAT:iin pysyviä aukkoja 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet 2.3.4.5 3.4.5.6 Tyyppi Sisäinen IP-os. Portti Ulkoinen IP-os. Portti Palvelimen IP-os. Portti - 10.0.0.2 3344 1.2.3.4 4567 2.3.4.5 80... pysyvä... 10.0.0.3... 80... 1.2.3.4... 80... *... * 9

Palomuurisäännöt Entä jos verkossa ei ole NAT:ia? Reitin tai erillinen palomuuri voi silti pitää kirjaa yhteyksistä ja suodattaa niitä Palomuurisäännöillä verkon (tai koneen) ylläpitäjä estää ja sallii yhteyksiä Yhteydet ulospäin vain tiettyihin porttinumeroihin Yhteydet sisäänpäin tiettyihin koneisiin ja portteihin Esim: Yhteyden suunta Protokolla Sisäinen IP-osoite Ulos TCP 1.2.3.0/24 Ulos UDP 1.2.3.0/24 Portti 1024 65535 1024 65535 Ulkoinen IP-osoite Sisään TCP 1.2.3.101 80,443 * Portti Toiminto * 22,80,443 Salli SSH,HTTP, HTTPS * 53 Salli DNS 1024 65525 Salli Oma webpalvelin * * * * * * Estä Oletussääntö 10

Palomuurityypit A. Tilaton palomuuri Jokainen paketti käsitellään erikseen ja sallitaan tai estetään vertaamalla otsakkeita sääntöihin B. Tilallinen palomuuri (stateful packet inspection) Tavallisin palomuurityyppi, esim. NAT Palomuuri pitää kirjaa avoimista yhteyksistä C. Sovellustason palomuuri 1. Pakettien syvätarkastus (deep packet inspection) Palomuuri tutkii pakettien sisältöä tai rekonstruoi TCP-tavuvirran Esim. URL-suodatus, virustarkistus, Internet-sensuuri 2. Välityspalvelin (application proxy): Esim. ohjataan ulos menevät HTTP-yhteydet välityspalvelimelle ja suodatetaan URL:n ja sisällön perusteella Esim. estetään palomuurisäännöillä sähköpostin välitys muiden kuin yhden SMTP-palvelimen kautta, jossa virustarkistus Palomuurina toimii yleensä reititin, sovellustasolla erillinen palomuurilaite Verkojen looginen eristäminen tapahtuu linkkikerroksessa: VLAN, WPA2, NAP/NAC C B A? Sovelluskerros, middleware Kuljetuskerros: TCP, UDP Verkkokerros: IPv4, IPv6 Linkkikerros 11

Etäkäyttöyhteydet Sisäverkko Internet Virtuaaliverkkoyhteys (VPN): Liikkuvat tietokone kuuluu loogisesti sisäverkkoon IP-paketit koneesta ohjataan suojattua tunnelia sisäverkkoon VPN voi myös yhdistää useita sisäverkkoja yhdeksi loogiseksi virtuaaliverkoksi VPN-tunneli suojataan kryptografialla SSL-VPN, PPTP, SSH tai IPsec Todennettu avaintenvaihto + datan salaus ja todennus mobiililaitteen ja palomuurin tai erillisen VPN-palvelimen välillä 12

TIETOTURVAUHKIEN ANALYYSI 14

Tietoturvan suunnittelu Organisaation tai järjestelmän tietoturvan suunnittelu: Ymmärretään järjestelmän rakenne ja toiminta Tunnistetaan suojattava tieto-omaisuus Tunnistetaan uhkat: fyysiset, tietotekniset ja sosiaaliset mitä pahaa voi tapahtua? kuka? miksi? Tehdään riski-analyysi: vahinkojen suuruus ja todennäköisyys, uhkien priorisointi Päätetään suojauksen tavoitteet Päätetään suojauksen keinot: tekniset suojaukset, prosessit, vastuut ja resurssit Tietoturva on jatkuva prosessi: Turvatilannetta on valvottava; suojauksia päivitetään uhkien muuttuessa 15

Kertaus: tietoturvan tavoitteet Tietoturvatavoitteita: (CIA = Confidentiality, Integrity, Availability) Tiedon luottamuksellisuus Tiedon eheys Tiedon ja palvelujen saatavuus Lisäksi pääsynvalvonta (access control) Vain valtuutut tahot saavat käyttää tietoa tai palvelua Esim. käyttäjän identiteetin todentaminen ja käyttöoikeuksien tarkistus 16

Uhka-analyysi: limuautomaatti Limuautomaatti hyväksyy maksun tekstiviestillä (SMS) 1. Käyttäjä lähettää tekstiviestin maksulliseen numeroon automaatin kyljessä olevan ohjeen mukaan 2. Pullo putoaa altaaseen 3. Käyttäjää laskutetaan seuraavassa puhelinlaskussa 4. Puhelinyhtiö ja automaatin omistaja jakavat rahat Juoman ostaminen: Lähetä tekstiviesti enjoy 1 numeroon 0503081702. Hinta 3 /viesti. Photo: The Coca-Cola Company 17

Suojattava omaisuus Juomat Raha (juomista maksaminen, laskutus, tilitykset) Puhelin, SIM-kortti, laskutettava asiakastili Myyntiautomaatti Tietojärjestelmän tekniset osat: Internet-yhteydet Tekstiviestit Ohjekyltti automaatissa Myyjän palvelin Puhelinyhtiön järjestelmä Sähkö- ja tietoliikennekaapelit Käyttäjien henkilötiedot Juomien brändi 18

Mahdollisia hyökkääjiä + motivaatio Käyttäjä / asiakas: juomat, rahan säästö Puhelinvaras tai lainaaja, kaverit Myyjä / automaatin omistaja: raha Myyjän työntekijät (sisäpiirin hyökkääjä!): raha, juomat Puhelinoperaattori(?) : raha Puhelinoperaattorin työntekijät: raha, juomat Internet-hyökkääjät: vandalismi, mielenosoitus, (raha, juomat, data) 19

Uhkia ja hyökkäyksiä 1 Puhelimen luvaton käyttö: varastetut ja lainatut puhelimet, kaverit Ohjekylttiä muokkaavat hyökkäykset: Vaihda toinen, kalliimpi numero Vaihda numerot kahden automaatin välillä ja kerää juomat Laita oma puhelinnumero ja kerää tietoa, kuka yrittää ostaa juomia Väärennetty/nettisivulta lähetetty tekstiviesti: voiko sellaisella välttää laskutuksen tai vierittää laskun toiselle henkilölle? Kiistat, kuka käyttäjistä maksoi automaatista pudonneen juoman 20

Uhkia ja hyökkäyksiä 2 Automaatin hakkerointi Internetistä tai lähiverkon tai verkkoliittimen kautta Ohjelmiston testaus: mitä tapahtuu, jos tekstaan enjoy 2 tai enjoy 1000? Hyökkäykset Internet-yhteyksiä vastaan: salakuuntelu, viestin väärentäminen, MitM Prepaid-liittymän saldo nollilla tai maksamaton puhelinlasku Fyysinen murtautuminen automaattiin (onneksi ei kolikoita varastettavaksi) Sähkötöpselin tai tietoliikennekaapelin irrottaminen Myyjän työntekijä varastaa juomia 21

Uhka-analyysi: opintorekisteri Esimerkki: Oodi Mitä suojeltavaa tietoa? Mitä tietojärjestelmän osia? Mitä uhkia, hyökkääjiä? Uhkien priorisointi? Tarkastellaan aina koko järjestelmää, ei vain tietoliikennettä Käytitkö ensin CIA-mallia? Riittääkö se? Muistitko sisäpiirin uhkat? 22

Kurssin luennot 1. Aloitus: Miten Internet toimii, Tuomas Aura 2. Web 2.0 ja uudet sovellustekniikat, Otto Seppälä 3. Sovelluskerros: WWW, email, socket API, Miika Komu 4. Salaustekniikat, SSL, Tuomas Aura 5. Kuljetuskerros, TCP, Matti Siekkinen 6. Verkkokerros, IP, Matti Siekkinen 7. Linkkikerros: Ethernet ja WLAN, Matti Siekkinen 8. Tietoverkkojen turvallisuus, Tuomas Aura 9. Tiedonsiirron perusteet ja optiset verkot, Jouko Kurki 10. Matkapuhelinverkot, Jukka K. Nurminen 11. Tiedonsiirto matkapuhelinverkoissa, Jukka K. Nurminen 12. Tele- ja tietoverkon laskutus, Sakari Luukkainen 13. Liiketoiminta verkkoympäristössä, Sakari Luukkainen 14. TBA 15. Kertaus, Tuomas Aura 23

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute