Tietoturva Helsingin yliopiston tietojenkäsittelytieteen laitoksella Petri Kutvonen Tietojenkäsittelytieteen laitos Helsingin yliopisto 25.4.2003 Sisältö Taustaa Periaatteita Fyysinen tietoturva Palomuurit Päivitysjärjestelmät Virustorjunta Sähköpostin suojaus Ei-toivottu viestintä Varmistukset Tietoturvan seuranta Ongelmia ja haasteita Taustaa: Tietojenkäsittelytieteen laitos 150 työntekijää 3000 opiskelijaa 1500 aktiivista käyttäjää viikoittain 500 työasematietokonetta 130 kannettavaa 20 palvelinta 8 henkilöä tietotekniikkapalveluissa Taustaa: käyttöjärjestelmät Työasemissa 99% Linux Useimmat dual-boot Linux Windows 2000/XP Palvelimissa pääosin Linux Windows 2000 server, 1 Solaris Tiedostopalvelimia, sovelluspalvelimia esim. 1 Tbyte RAID + nauhakirjasto www-palvelimia postipalvelimia nimipalvelimia Linux-klusteri
Periaatteita: järjestelmien ylläpito yleisesti Yhdenmukaisuus Vakiointi - uniformiteetti - ortogonaalisuus Järjestelmän osien automaattinen tunnistus Sekä laitteisto että ohjelmisto Mahdollistaa automatisoinnin Kaiken automatisointi Automatisointiin käytetty 10-kertainen työ kannattaa Keskitetty hallinta Periaatteita: tietoturva Tietojenkäsittelytieteen laitoksen tarjoaman tietoturvan on oltava hyvällä tasolla Tietoturva ei ole mikään add-on -piirre Tietoturvatoimenpiteiden tulee olla suhteessa todennäköisiin uhkakuviin Tietojenkäsittelytieteen laitoksen turvauhkien profiili ei ole aivan tyypillinen Periaatteita: lisää tietoturvaperiaatteita Runsas lokien käyttö (lain puitteissa) Useimmiten toteutamme vain hidasteita, emme esteitä ja myönnämme sen Ei security through obscurity Toisaalta: ihan kaikkea ei tarvitse kertoa Fyysinen tietoturva: yleistä Palvelimet lukituissa tiloissa Verkon aktiivilaitteet lukituissa tiloissa Julkisissa tiloissa olevat työasemat ankkuroitu ja lukittu Laitoksen verkko on fyysisesti erillinen, ei ainoastaan VLAN Kaapelihyllyille on paikoitellen pääsy, mutta se herättäisi huomiota Palvelinhuoneessa mm. lämpötilavalvonta
Fyysinen tietoturva: verkko Kytkimillä toteutettu tähtiverkko Kytkimien väliset yhteydet optisia (tai backplane) Kytkimet tuntevat julkisissa tiloissa rasioihin kytkettyjen laitteiden MAC-osoitteet Aktiivinen MAC-IP -osoiteparien seuranta hälytykset muutoksista Fyysinen tietoturva: langaton verkko IEEE 802.11b 11 Mbit/s -verkko 15 tukiasemaa Hyväksyy yhteydet vain rekisteröidyiltä verkkokorteilta Suositus käyttää vain ylemmällä tasolla suojattuja protokollia (ssh, imaps,...) WEP-suojausta voitaisiin periaatteessa käyttää Palomuurit: yleistä Tarvitaan melko vapaa ympäristö Kolme palomuuria: Yliopiston palomuuri Myös hallinnollinen palveluiden vastuuhenkilöt Saapuvan liikenteen valvonta Laitoksen palomuuri Kaksisuuntainen Vierailijaverkon palomuuri Hyvin tiukat säännöt Pakettisuodattimia + hieman muuta Palomuurit: laitoksen palomuuri Normaali Linux-kone, pakettisuodatin Vain IP- ja ARP-liikenne Normaali protokolliin ja lähtö- ja tulopään osoitteisiin ja porttinumeroihin perustuva suodatus Tilatietoa esim. lisenssinohjelmistoja varten Tiettyjen palvelunestohyökkäysten tunnistus ja torjunta Rajoituksia myös ulospäin
Päivitysjärjestelmät Virustorjunta Tietoturva ei ole pysähtynyt tila vaan jatkuva prosessi Uhkakuvat vaihtelevat turva-aukkoja löytyy Pystyttävä nopeaan reagointiin Pystyttävä päivittämään yli 500 koneen Linux- ja Windows-ympäristöt Molemmat päivitysjärjestelmät paikallisesti kehitettyjä Yliopiston laajuinen lisenssi virustorjuntaohjelmistoille: F-Secure Anti-Virus Automatisoidut päivitykset Jatkuva seuranta Windows-ympäristössä Ajoittainen seuranta palvelimilla Päivittäinen seuranta myös Linux-työasemilla Saapuvan sähköpostin virustarkistus Sähköpostin suojaus Sähköposti on erityisessä suojeluksessa TKTL:n ainoa täysin kahdennettu järjestelmä Warm standby, synkronointi kerran tunnissa Postit RAID1 (peilaus) -levyllä Journaloiva tiedostojärjestelmä Palomuurin ulkopuolelta vain saapuva SMTP ja IMAPS (tai IMAP+STARTTLS) Yhteyspyyntömäärien rajoitus Palvelunestohyökkäysten esto Ylläpitohenkilökunnallakin rajoitettu pääsy Ei-toivottu viestintä roskaposti spam DNS -mustat listat Sekä avoimet releet että avoimet proxyt relays.ordb.org relays.osirusoft.com proxies.relays.monkeys.com Tilastolliseen tekstianalyysiin perustuva bogofilter Luokittelee viestit niiden sisällön perusteella Opetukseen käytetty noin ennalta 20000 luokiteltua viestiä Aiemmin käytössä myös muita menetelmiä
Varmistukset Tiedostopalvelimet varustettu RAID-levyillä Tiedostopalvelimet varmistetaan päivittäin nauhoille nauharobotilla Nauhat paloturvakaapissa Yksi sukupolvi pankkiholvissa Yksi sukupolvi muualla kuin Helsingissä Henkilökohtaiset työasemat varmistetaan peilaamalla tiedostot toiselle levylle päivittäin Kannettavien tiedostoista voidaan tehdä kopio työasemalle Tietoturvan seuranta Aktiivinen järjestelmän monitorointi Työkaluna Netsaint Kaikki koneet ja palvelut Ilmoitukset sähköpostina ja tekstiviesteinä Myös muita seurantavälineitä Aktiivinen tietoturvaongelmista tiedottavien listojen seuranta cert-advisory@cert.org bugtraq@securityfocus.com monet sovelluskohtaiset listat Ongelmia ja haasteita Ongelmia ja haasteita Tiedostopalveluprotokolla NFS Salaamaton Oikea ratkaisu ehkä AFS Käyttöoikeuksien hallinta Omatekoinen järjestelmä Näkyy käyttäjälle passwd-komentona Linux (MD5) ja Windows-salasanat Oikea ratkaisu ehkä LDAP+Kerberos Kannettavien laitteiden yleistyminen Myös kämmenkoneet ja älykkäät puhelimet Langaton tiedonsiirto Vapaampi verkkoon liittyminen Grid-sovellukset Verkon kautta tavoitettavien tavallisten työasemien laskentakapasiteetti käyttöön Miten hallinnoidaan?
Tietoturva Helsingin yliopistossa http://www.helsinki.fi/tietoturva/tietoturva_hy.htm