Tietoliikenteen perusteet

Samankaltaiset tiedostot
Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2010 1

Luento 13: Tietoliikenteen turvallisuus: Palomuurit. Syksy 2014, Tiina Niklander

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

Tietoturva-kurssit: kryptografian perusteet IPSec

OSI ja Protokollapino

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Luento 11: Tietoturvasta ja kertausta

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Tietoliikenteen perusteet

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Luento 11: Tietoturvasta ja kertausta

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

ITKP104 Tietoverkot - Teoria 3

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Tietoliikenteen perusteet. Langaton linkki

Tietoliikenteen perusteet. Langaton linkki

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Diplomityöseminaari

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Tietoliikenne II (2 ov)

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Langaton linkki. Langaton verkko. Tietoliikenteen perusteet. Sisältö. Linkkikerros. Langattoman verkon komponentit. Langattoman linkin ominaisuuksia

Tietoliikenteen perusteet. Langaton linkki. Kurose, Ross: Ch 6.1, 6.2, 6.3. (ei: 6.2.1, ja 6.3.5)

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Tietoliikenne II (2 ov)

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Luento 7: Verkkokerros

Luento 7: Verkkokerros verkkokerroksen tehtävät, IP-protokolla, reititin. Syksy 2014, Tiina Niklander

S Teletekniikan perusteet

Monimutkaisempi stop and wait -protokolla

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Tietoliikenteen perusteet

kynnysarvo (threshold)

kynnysarvo (threshold)

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

kynnysarvo (threshold) varoitusarvo = tästä lähtien syytä varoa ruuhkaa aluksi 64 K RTT

Security server v6 installation requirements

Kuljetuskerros. Tietokoneverkot. Matti Siekkinen Pasi Sarolahti

100 % Kaisu Keskinen Diat

Tietoliikenteen perusteet

3. Kuljetuskerros 3.1.

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Chapter 1 Introduction

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

3. Kuljetuskerros 3.1. Kuljetuspalvelu End- to- end

T Tietokoneverkot kertaus

Internet perusteet. Analyysin tasot

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Monimutkaisempi stop and wait -protokolla

Yhteydensaantiongelmien ja muiden ongelmien ratkaisuita

Tietoliikenteen perusteet

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Kuva maailmasta Pakettiverkot (Luento 1)

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

Linux palomuurina (iptables) sekä squid-proxy

Johdanto Internetin reititykseen

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Luento 10: Kaikki yhteen ja langaton linkki

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

1.1 Palomuuri suunnitelma

Monimutkaisempi stop and wait -protokolla

Luento 10: Kaikki yhteen ja langaton linkki

1 (22) LAAJAKAISTA ASENNUS- JA KÄYTTÖÖNOTTO-OPAS ADSL-, KAAPELIMODEEMI JA KUITUPÄÄTE

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Tietokoneiden ja mobiililaitteiden suojaus

Kymenlaakson Kyläportaali

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Tietoliikenteen perusteet. Langaton linkki. Kurose, Ross: Ch 6.1, 6.2, 6.3. (ei: 6.2.1, ja 6.3.5)

Transkriptio:

Tietoliikenteen perusteet Luento 13: Tietoliikenteen turvallisuus: Palomuurit. Lisäksi koealueesta. Syksy 2015, Timo Karvi Kurose&Ross: Ch 8 Pääasiallisesti kuvien J.F Kurose and K.W. Ross, All Rights Reserved Tietoliikenteen perusteet, syksy 2015 Timo Karvi 16.2.2005

sanoma segmentti paketti tai H datagrammi, n kehys H l H n H t H t H t M M M M Lähettäjä (source) Sovellusk. Kuljetusk. Verkkok. Linkkik. Fyysinen k. Luennon sisältöä linkki fyysinen Kytkin (switch) message segment datagram frame H l Vastaanottaja (destination) H n H n H t H t H t M M M M application transport network link physical H l H n H n H t H t M M network link physical H n H t M Reititin (router) Tietoliikenteen perusteet, syksy 2015 Timo Karvi 2

Sisältö Uhkia ja vastatoimia Palomuuri Tunkeutumisen havaitseminen (IDS) WEP (torstain luennolta) Oppimistavoitteet: - Osata kuvailla tietoliikenteeseen kohdistuvat riskitekijät ja turvallisuusuhat - Osata selittää, kuinka palomuuri toimii - Ymmärtää tietoturvasta sen verran, että osaa huolehtia oman koneen turvallisuudesta Tietoliikenteen perusteet, syksy 2015 Timo Karvi 3

UHKIA Ch 1.6 Tietoliikenteen perusteet, syksy 2015 Timo Karvi 4

Hyökkääjän toimia? Koputtelee koneen portteja (mapping) Turva-aukkojen löytämiseksi ja koneen valtaamiseksi Salakuuntelee (eavesdropping, sniffing) Sieppaa sanoman matkalla ja tutkii sisällön Väärentää, peukaloi, tekeytyy (impersonation, spoofing) Vaihtaa paketin tietoja, esim. IP-osoitteen Tekeytyy toiseksi osapuoleksi Tehtailee sanomia, satuilee (fabrication) Tekee ja lisää liikenteeseen ylimääräisiä sanomia Kaappaa yhteyden (hijacking) Vaihtaa oman IPosoitteen lähettäjän / vastaanottajan tilalle Estää palvelun (DoS, Denial of Service) Kuormittaa palvelinta, jotta se ei ehdi palvella oikeita käyttäjiä Tietoliikenteen perusteet, syksy 2015 Timo Karvi 5

Koputtelu ja kartoitus (mapping) Kaivelee ensin taustatietoja IP-osoitteista, käyttöjärjestelmistä, verkko-ohjelmista Hyödyntää sitten tunnettuja turva-aukkoja Ping Lähettää kyselyjä valittuihin verkon IP-osoitteisiin Hengissä olevat koneet vastaavat Tietoliikenteen perusteet, syksy 2015 Timo Karvi 6

Koputtelu ja kartoitus (mapping) Porttiselaus (port scanning) Kokeilee systemaattisesti TCP/UDP-yhteyttä koneen portteihin Vastauksista saa selville tarjotut palvelut Onko niissä tunnettuja turva-aukoja? Firefox-selain 27.3.08, Facebook 25.3.08, Sampo Pankki, Applen Quicktime Player, FlashPlayer turva-aukkojen paikkausta Internet Explorer 7, DNS, BGP, Linux-päivityksen turva-aukko => laitoksen salasanojen vaihto (muutama vuosi sitten) Tietoliikenteen perusteet, syksy 2015 Timo Karvi 7

Salakuuntelu (packet sniffing) Tutkii linkkikerroksen kehysten sisältöä A Yleislähetys: kaikki kuulevat kaikki kehykset Valikoimattomassa moodissa (promiscuous) toimiva sovitinkortti kopioi kaikki kehykset itselleen Kuuntelevan koneen oltava samassa LAN:ssa C Ohjelmia, joilla paketit voidaan purkaa tekstimuotoon Hyödyllisiä verkon valvojalle, mutta... Hyökkääjä etsii erityisesti salasanoja Salasanat verkkoon vain salakirjoitettuina Älä käytä telnet:iä etäyhteyksiin, käytä ssh:ta (leap of faith security) src:b dest:a payload Tietoliikenteen perusteet, syksy 2015 Timo Karvi 8 B

Väärentäminen (spoofing) Vastaanottaja ei voi tietää, kuka on todellinen lähettäjä Jokainen, joka kontrolloi koneensa ohjelmistoa (erityisesti KJ:tä) voi väärentää mm. IP-osoitteen Sovellus voi tehdä itse IP-paketin ja ohittaa KJ:n pakettia lähettäessä ('raw' mode) A C src:b dest:a payload B Tietoliikenteen perusteet, syksy 2015 Timo Karvi 9

Palvelunestohyökkäys (DoS) Kuormittaa palvelua, jotta oikeat käyttäjät eivät pääse lainkaan käyttämään SYN-tulvitus Pakottaa uhrin suuriin määriin TCP-yhteydenmuodostuksia Lähettää SYN-segmenttejä, mutta ei ACK-segmenttejä Uhri varaa puskuritilaa, muisti voi loppua Väärentää lähteen IP-osoitteen A SYN SYN SYN SYN SYN SYN SYN Tietoliikenteen perusteet, syksy 2015 Timo Karvi 10 C B

Palvelunestohyökkäys (jatkuu) IPv4-paloittelu Lähettää runsaasti IP-pakettien osia (M=1), mutta ei lainkaan sitä viimeistä palaa (M=0). Vastaanottaja puskuroi ja jää odottamaan puuttuvia paloja Muisti loppuu Smurf-hyökkäys Lähettää suurelle määrälle koneita uhrin IP-osoitteella varustettuja ICMP Echo request -paketteja ja niihin tulevat vastaukset tukkivat uhrin koneen. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 11

Hajautettu DoS-hyökkäys (DDoS) Hyökkääjä ottaa ensin haltuun ison joukon koneita niiden omistajien huomaamatta Koputtelee ja löytää turva-aukot Asentaa hyökkäysohjelman, joka vain odottelee käskyä/kellonaikaa Kaapatut koneet aloittavat samaan aikaan hyökkäyksen uhrin kimppuun hajautetusti IP-osoitteet peukaloituja (harvoin) Fig 1.25 [KR12] Tietoliikenteen perusteet, syksy 2015 Timo Karvi 12

Yhteyden kaappaus (hijacking) Hyökkääjä C kaappaa itselleen A:n ja B:n välisen yhteyden Kuuntelee ensin yhteyttä ja selvittää mm. tavunumeroinnin, kuittausnumeroinnin, ikkunan koon,... Poistaa B:n pelistä palvelunestohyökkäyksellä Tekeytyy itse B:ksi Oltava fyysisesti kytkettynä linkkiin C A B Tietoliikenteen perusteet, syksy 2015 Timo Karvi 13

Haittaohjelma (malware) (1) Itseään monistava: kun on saastuttanut yhden koneen, pyrkii levittämään kopioitaan muihin koneisiin Virus Tarvitsee isännän levitäkseen ja vaatii yleensä käyttäjän toimintoa Sähköpostin liitetiedosto, joka avataan Mato Tulee tietoturva-aukosta ja leviää automaattisesti (Sasser) Slammer (2003 kaatoi 5 nimipalvelijaa)) Levinneimmät madot kulkivat sähköpostin liitetiedostoina Morrisin mato (1988), Melissa (1999), Nimda (2001),Sobig (2003), ILoveYou, Downadup (2007-2008): hyödyntää Microsoftin Windows-käyttöjärjestelmässä löytynyttä turvareikää, arvaa admin salasanoja ja tartuttaa USB-muistitikkuja Tietoliikenteen perusteet, syksy 2015 Timo Karvi 14

Haittaohjelma (2) Troijalainen on ohjelma, joka sisältää myös jotakin muuta kuin käyttäjä uskoo sen sisältävän. Suorittaa kyllä jonkun hyödyllisen toiminnon Mutta lisäksi se voi käynnistää viruksen, madon, avata takaportin tai muun haavoittuvuuden tietojärjestelmään tehdä tiedonhakua, tietojen tuhoamista tai vastaavaa jopa jättämättä mitään jälkiä. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 15

Koputtelu Käytä palomuuria Vastatoimet? (1) Seuraa liikennettä, reagoi, jos normaalista poikkeavaa Seuraa aktiviteettia (IP-osoite, porttien koputtelu) Salakuuntelu Käytä kaksipisteyhteyksiä; Ethernet-kytkin keskittimen sijasta Salakirjoitus Tarkista, ettei verkkokortti ole promiscuous-moodissa IP-osoitteen väärentäminen Lähetysverkossa helppo havaita ja estää Yhdyskäytäväreititin voi tarkistaa, että lähettäjän IP-osoite kuuluu lähettävään verkkoon (ingress filtering) Tutkimista ei voi tehdä pakolliseksi Pidä KJ:n turvapäivitykset ajan tasalla! Tietoliikenteen perusteet, syksy 2015 Timo Karvi 16

Palvelunesto Vaikea todeta / estää Vastatoimet (2) Miloin SYN on oikea yhteyspyyntö, millloin osa hyökkäystä? Hyökkäyksen havaitsemis- ja estämisjärjestelmät SYN cookie ISP Hotline Haittaohjelmat Turva-aukkopäivitysten asentaminen heti Varovaisuus sähköpostiliitteiden kanssa Älä asenna tai käytä tuntemattomia ohjelmia Käytä palomuuria ja virustorjuntaohjelmia HYVÄ TIETOLÄHDE: www.cert.org Tietoliikenteen perusteet, syksy 2015 Timo Karvi 17

PALOMUURI Ch 8.9.1 Tietoliikenteen perusteet, syksy 2015 Timo Karvi 18

Palomuuri Palomuuri (firewall) Suodattaa (filter) liikennettä organisaation oman verkon (intranet) ja julkisen Internetin välillä. Päästää osan liikenteestä sisäverkkoon ja estää loput. administered network trusted good guys firewall public Internet Fig 8.33 [KR12] untrusted bad guys Tietoliikenteen perusteet, syksy 2015 Timo Karvi 19

Miksi palomuureja? Suojaa palvelunestohyökkäyksiltä: SYN tulvituksessa hyökkääjä yrittää luoda paljon vaillinaisia TCPyhteyksiä, jolloin resursseja ei jää oikeille yhteyksille Estää luvattoman sisäverkon tietojen lukemisen/muuttamisen esim. Hyökkääjä vaihtaa organisaation kotisivun sisällön Sallii vain oikeiden käyttäjien pääsyn sisäverkkoon joukko tunnistettuja käyttäjiä / palvelimia Kaksi (tai kolme) palomuurityyppiä: Paketteja suodattava palomuuri (packet filtering) Tilaton (stateless) Tilallinen (stateful) Sovellustason yhdyskäytävä (application-level gateway) Tietoliikenteen perusteet, syksy 2015 Timo Karvi 20

Palomuurityypit Paketteja suodattava palomuuri (packet filtering firewall) Toimii verkkotasolla (reititys) Tutkii pakettien IP- ja TCP/UDP-otsakkeita Karkea suodatus Sovellustason yhdyskäytävä (application-level gateway) Toimii sovelluskerroksella välittäjänä (relay) Tutkii sovellusdataa Hienojakoisempi suodatus Should arriving packet be allowed in? Departing packet let out? Tietoliikenteen perusteet, syksy 2015 Timo Karvi 21

Tilaton pakettien suodatus Should arriving packet be allowed in? Departing packet let out? Sisäverkko yhdistetty internetiin reitittimen ja palomuurin yhdistelmällä (router firewall) Reititin suodattaa paketin kerrallaan, sallii etenemisen tai pudottaa paketin Ennalta määritellyt säännöt Tietoliikenteen perusteet, syksy 2015 Timo Karvi 22

Suodatussäännöistä Ennalta annetut säännöt suodatukselle Salliiko vai kieltääkö paketin etenemisen Säännöt otsakekenttien perusteella Lähettäjän ja vastaanottajan IP-osoite Protokollan tyyppi TCP- ja UDP-porttinumerot Kontrollisanoman (ICMP) tyyppi TCP:n kättelysegmenttien SYN / ACK-bitit Eri säännöt lähteville ja tuleville paketeille Eri säännöt eri linkeille Tietoliikenteen perusteet, syksy 2015 Timo Karvi 23

Esimerkkejä säännöistä Esim 1: Estä IP-pakettien liikenne (sisään/ulos), jos protokolla = 17 tai portti = 23 Palomuuri hävittää kaikki UDP-paketit ja estää telnet-yhteydet Esim 2: Estä sellaisten tulevien TCP-pakettien liikenne, joissa ACK = 0 Vain ensimmäisessä segmentissä SYN = 1, ACK = 0 Palomuuri hävittää kaikki ulkoa tulevat TCPyhteyspyyntöpaketit Oman verkon koneet voivat silti ottaa yhteyttä organisaation ulkopuolisiin palveluihin Tietoliikenteen perusteet, syksy 2015 Timo Karvi 24

Lisää esimerkkejä (tilaton suodatus) Policy No outside Web access. No incoming TCP connections, except those for institution s public Web server only. Prevent Web-radios from eating up the available bandwidth. Prevent your network from being used for a smurf DoS attack. Prevent your network from being tracerouted Firewall Setting Drop all outgoing packets to any IP address, port 80 Drop all incoming TCP SYN packets to any IP except 130.207.244.203, port 80 Drop all incoming UDP packets - except DNS and router broadcasts. Drop all ICMP packets going to a broadcast address (e.g. 130.207.255.255). Drop all outgoing ICMP TTL expired traffic Tietoliikenteen perusteet, syksy 2015 Timo Karvi 25

Pääsynvalvontalistat (Access Control Lists, ACL) Taulukollinen sääntöjä (toimenpide+ehdot), joita sovelletaan järjestyksessä alusta loppuun. Esimerkkitaulu saapuville paketeille action source address dest address protocol source port dest port flag bit allow 222.22/16 outside of 222.22/16 TCP > 1023 80 any allow outside of 222.22/16 222.22/16 TCP 80 > 1023 ACK allow 222.22/16 outside of 222.22/16 UDP > 1023 53 --- allow outside of 222.22/16 222.22/16 UDP 53 > 1023 ---- deny all all all all all all Tietoliikenteen perusteet, syksy 2015 Timo Karvi 26

Tilallinen pakettien suodatus (Stateful packet filter) Säännöillä on hankala toteuttaa monimutkaisia estopolitiikkoja Sääntöjä tarvitaan helposti paljon, jopa tuhansia Niitä käydään läpi jossain järjestyksessä => väärä järjestys voi aiheuttaa ongelmia / virheitä paketin käsittelyssä Suodatus kohdistuu yksittäiseen pakettiin Päästää tarpeettomasti läpi paketin porttiin 80, jossa ACK, silloinkin kun todellisuudessa TCP-yhteys puuttuu action source address dest address protocol source port dest port flag bit allow outside of 222.22/16 222.22/16 TCP 80 > 1023 ACK Tietoliikenteen perusteet, syksy 2015 Timo Karvi 27

Tilallinen pakettien suodatus (Stateful packet filter) Tilallinen pakettien suodatus(stateful packet filter): pitää kirjaa kaikkien TCP-yhteyksien tilasta Suodatin tietää, mitkä TCP-yhteydet ovat käytössä Taulukko voimassa olevista TCP-yhteyksistä SYN, SYNACK ja ACK => yhteys muodostetaan FIN-paketit => yhteys puretaan / poistetaan, Purku myös ajastimella, jos ei käytetä (60 s) Esim. intranetistä lähetetty web-kysely => päästetään vastaus läpi Tietoliikenteen perusteet, syksy 2015 Timo Karvi 28

Tilallinen pakettien suodatus Pääsynvalvontalistoihin (ACL) mukaan myös tieto pitääkö yhteyksien tilataulu (connection state table) tarkistaa ennen paketin hyväksymistä action source address dest address proto source port dest port flag bit check conxion allow 222.22/16 outside of 222.22/16 TCP > 1023 80 any allow outside of 222.22/16 222.22/16 TCP 80 > 1023 ACK x allow 222.22/16 outside of 222.22/16 UDP > 1023 53 --- allow outside of 222.22/16 222.22/16 UDP 53 > 1023 ---- x deny all all all all all all Tietoliikenteen perusteet, syksy 2015 Timo Karvi 29

Sovellustason yhdyskäytävä (Application gateway) Kun halutaan hienojakoisempaa suodatusta Esim. Telnet-yhteyden salliminen tunnetuille käyttäjille, mutta näiden identiteetti on ensin todennettava Tähän pelkkä IP/TCP/UDP-otsakkeiden tutkiminen ei riitä Toimii välittävänä koneena (relay) sisäverkon ja Internetin välissä Fig 8.34 [KR12] Eri sovelluksilla oma yhdyskäytävä Esim. IMAP, SMTP, HTTP Ulkoa yhteys ensin yhdyskäytäväkoneeseen Todennus tarvittaessa Muodostaa yhteyden sisäverkon koneeseen (palomuuri sallii vain sille) Välittää sanomat sisään/ulos host-to-gateway telnet session application gateway gateway-to-remote host telnet session router and filter Tietoliikenteen perusteet, syksy 2015 Timo Karvi 30

Sovellustason yhdyskäytävä Suodattaa paketteja sekä sovellusprotokollan että IP/TCP/UDP kenttien avulla. Esim: sallii valikoitujen sisäisten käyttäjien telnet- yhteydet ulos. host-to-gateway telnet session application gateway router and filter gateway-to-remote host telnet session 1. Vaatii kaikkia telnet-käyttäjiä käyttämään yhdyskäytävää. 2. Oikeutetuille käyttäjille muodostaa telnet-yhteyden kohdekoneelle. Yhdyskäytävä välittää tietoa näiden päätepisteiden välillä. 3. Reititin/palomuuri estää kaikki ulospäin menevät telnetyhteydet, jotka eivät tule yhdyskäytäväkoneelta. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 31

Palomuuri / Yhdyskäytävä Yhteyttä haluavan on osattava ottaa yhteyttä yhdyskäytävään Esim. Web-selaajalle on kerrottava proxy-palvelimen osoite Ei auta kaikkiin turvaongelmiin IP-osoitteiden ja porttinumeroiden väärentäminen Yhdyskäytäväohjelmissa voi olla turva-aukkoja Langattomat yhteydet ja soittoyhteydet Myös hyvin ylläpidetyt järjestelmät kärsivät hyökkäyksistä! Tasapainoilua tietoturvan tason ja ulkoisten yhteyksien määrän välillä Tietoliikenteen perusteet, syksy 2015 Timo Karvi 32

Tunkeilijan havaitsemisjärjestelmät (intrusion detection systems, IDS) Tavoitteena havaita alkaneita hyökkäyksiä Lähinnä kerää tietoa verkon liikenteestä Tunkeilijan havaitsemisjärjestelmä (IDS) Pakettien sisällöllinen analysointi: Tutkii paketin datasisältöä, esim. etsii tunnettujen virusten tai hyökkäysten sormenjälkiä yms muita etukäteen tunnettuja malleja (pattern) Tutkii korrelaatioita. Useiden pakettien suhteita, esiintymistä, yms. Etsii tilastollisia poikkeamia normaalista liikenteestä Koputtelu, porttiskannaus (port scanning) Verkon rakenteen selvitys (network mapping) Palvelunestohyökkäys (DoS attack) Tietoliikenteen perusteet, syksy 2015 Timo Karvi 33

Tunkeilijan havaitsemisjärjestelmä Paljon erilaisia IDS-toteutuksia. Snort avoimen lähdekoodin toteutus internal network firewall Fig 8.36 [KR12] Internet IDS sensors Web server FTP server DNS server demilitarized zone Tietoliikenteen perusteet, syksy 2015 Timo Karvi 34

Uusi kone Käytännön ohjeita Älä kytke verkkoon ennenkuin olet ottanut palomuurin käyttöön Päivitä käyttöjärjestelmä heti Yliopiston lisenssillä saat koneellesi F-Securen ja Symantecin virustorjunta- ja palomuuriohjelmat https://ohjelmistojakelu.helsinki.fi -antivirus Muitakin ilmaisia ohjelmia löytyy Käytä palomuuria Huolehdi KJ:n päivityksistä Käytä virustorjuntaa Hävitä haittaohjelmat Viestintäviraston kyberturvallisuuskeskus: Seuraa tiedotuksia: https://www.viestintavirasto.fi/tietoturva.html Myös www.tietoturvaopas.fi vie samalle sivulle Tietoliikenteen perusteet, syksy 2015 Timo Karvi 35

Koealueesta Kurssikoe 16.12. 9-12 A111 (2h 30 min) Uusinta- ja erilliskoe 29.1. 16-20 B123 (3h 30 min) Seuraavassa luettelo asioista, joista kokeen kysymykset valitaan. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 36

Luento 1 Palvelumallit: asiakas/palvelija, vertaistoimija Yhteydellinen, yhteydetön kommunikointi Pakettikytkentä, piirikytkentä Jonotus, tasainen nopeus Viiveet: prosessointi, siirto, eteneminen, jonotus; delay= d-proc + d-queue + d-trans + d-prop Yksinkertaisia viive- ja läpäisylaskuja. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 37

Luento 2 Yleistä pääsytekniikoista ja siirtoteistä. Internetin ja ISOn protokollapino. Internetin tietoturvaheikkouksia. Internetin rakenne (verkkojen verkko). Tietoliikenteen perusteet, syksy 2015 Timo Karvi 38

Luento 3 Pistokkeen käsite. (Conditional) GET, POST, evästeet ja niiden vaarat tai haitat. Verkkovälimuistin käsite. XSS ja CSRF ja niiden torjunta. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 39

Luento 4 Nimipalvelimien hierarkia. Iteratiivinen ja rekursiivinen nimikysely. Välimuistin myrkyttäminen ja sen vaikeuttaminen. Sähköpostin komponentit ja protokollat. Bittorrentin toiminta: hajautettu hajautustaulu, circular DHT, vertaisten tuleminen ja poistuminen. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 40

Luento 5 TCP:n tehtävät. UDP:n tehtävät. TCP:n segmentin oleelliset tiedot. Vuorottelevan bitin protokolla ja sen tehokkuus. Liukuvan ikkunan protokolla: lähetys- ja vastaanottoikkuna, go back N, selective repeat. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 41

Luento 6 TCP:n järjestysnumero ja tavunumerointi. Kuittausten säännöt. Nopea uudelleenlähetys. TCP:n vuonvalvonta. TCP-kättely, yhteyden purku. Ruuhkanhallinta: Reno (ei ajastinkaavoja). UDP-tarkistussumma. SYN-tulva ja sen torjumiskeinoja. Optimistinen hyökkäys. Istunnon kaappaus ja sen torjunta. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 42

Luento 7 Virtuaalipiiriverkon käsite. Kytkentätavat. IP-paketin rakenne. IPv4 IPv6 tunnelointi. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 43

Luento 8 IPv4-osoitteet, aliverkkomaski. Aliverkon käsite. Mihin osoitteet osoittavat. DHCP. NAT. Dijkstra. Etäisyysvektorireititys. RIP, OSPF, BGP: missä käytetään. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 44

Luento 9 Linkkikerroksen tehtävät. CRC. Kanavatyypit. Lähetysvuorojen jakelu. Aloha ja viipaloitu Aloha. CSMA, CSMA/CD. MAC-osoitteet. ARP. Lähettäminen toiseen verkkoon. Keskitin kytkin. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 45

Luku 10 Skenaario: Käyttäjä yhdistää koneensa langattomaan verkkoon ja pyytää www-sivua: mitä protokollia tarvitaan missäkin vaiheessa ja mitä ne tekevät. WLAN: CSMA/CA, osoitteiden käyttö. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 46

Luento 11 Tietoturvan käsitteet. Hyökkääjän mahdolliset toimenpiteet. Symmetrinen ja epäsymmetrinen salaus. Salalohkojen ketjutus. RSA:n käyttöalueet. Digitaalinen allekirjoitus. Varmenteet: mitä ne ovat, mitä tietoja ne sisältävät, miten ja mihin niitä käytetään. Tiivistefunktiot. MAC (message authentication code): tiiviste salaisen avaimen avulla laskettuna. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 47

Luento 12 SSL-kättely. Ipsec: tunnelointi ja kuljetusmoodi, turvayhteys (SPI), turvayhteyskanta (SAD), turvapolitiikkakanta (SPD). IKE. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 48

Luento 13 Koputtelu ja kartoitus. Salakuuntelu, väärentäminen. Esimerkkejä palvelunestohyökkäyksistä. Vastatoimia. Palomuurityypit. Suodatussääntöjä. Pääsynvalvontalistat. Tilaton vs. tilallinen suodatus. Käytännön ohjeita. Tietoliikenteen perusteet, syksy 2015 Timo Karvi 49

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute