Yhdistämistekniikat. Verkkoyhteydet ja turvallisuus. Luennon aiheet. Valintaiset yhteydet 6 7LHWROLLNHQQHYHUNRW 0DUNXV 3HXKNXUL

Samankaltaiset tiedostot
Luennon aiheet. Verkkoyhteydet ja turvallisuus. Valintaiset yhteydet. Yhdistämistekniikat. Valintaiset yhteydet... Valintaiset yhteydet/isdn

Standardiliitännät. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL

Tiedonvälitystekniikka 1-3 ov. Kurssin sisältö ja tavoite

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Salausmenetelmät (ei käsitellä tällä kurssilla)

(Puhelin)verkkokomponentit. Kytkentäiset verkot. Piirikytkentä. Kytkentäkenttä

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Mikä on internet, miten se toimii? Mauri Heinonen

Kotitalouksien kiinteät internet - liittymät. Tero Karttunen Oy Mikrolog Ltd

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

SISÄLMYSLUETTELO QUO VADIS?... 9

TVP 2003 kevätkurssi. Kertaus Otto Alhava

Kuva maailmasta Pakettiverkot (Luento 1)

S Teletekniikan perusteet

S Tietoliikennetekniikan perusteet. Piirikytkentäinen evoluutio. Annukka Kiiski

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

OSI ja Protokollapino

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Internet Protocol version 6. IPv6

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

1. Tietokoneverkot ja Internet

itää saada selville P-osoitetta vastaava erkko-osoite. leislähetyksenä ysely: Kenen IPsoite. IP-paketissa on vain vastaanottajan

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Langattomien verkkojen tietosuojapalvelut

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Luennon sisältö. Protokolla eli yhteyskäytäntö (1) Verkon topologia

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

Elisa Oyj Palvelukuvaus 1 (5) Elisa Yrityskaista Yritysasiakkaat versio 2.1. Elisa Yrityskaista

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja päätteet (=>-80-luvun alku) Keskuskone ja oheislaitteet

S Tietoliikennetekniikan perusteet. Piirikytkentäinen evoluutio

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Macintosh (Mac OS X 10.2) Verkkoasetukset Elisa Laajakaista yhteyksille:

3. Kuljetuskerros 3.1. Kuljetuspalvelu

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

Työasema- ja palvelinarkkitehtuurit IC Tallennusjärjestelmät. Tallennusjärjestelmät. 5 opintopistettä.

Luennon aiheet. S Tietoliikenneverkot. Kurssimateriaali. Kurssin suorittaminen. Kurssiohjelma. Tavoitteet -RKGDQWR

3. IP-kerroksen muita protokollia ja

Reititys. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL. Yhteyden jakaminen Reititys Kytkentä Internet-protokolla TCP, UDP

DNA LAAJAKAISTA TUOTEKUVAUS

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

ERICSSON HM410DP ASENNUSOHJE

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja päätteet (=>-80-luvun alku) Keskuskone ja oheislaitteet

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Jos A:lla ei ole tietoa ARP-taulussaan, niin A lähettää ARP-kysely yleislähetyksenä

(Puhelin)verkkokomponentit. Kytkentäiset verkot. Piirikytkentä. Kytkentäkenttä

S ATM JA MULTIMEDIA SEMINAARI, KEVÄT -97. Frame relay-verkon liikenteenhallinta

1.4. Tietoliikenneohjelmistot eli protokollat

1.4. Tietoliikenneohjelmistot eli protokollat

1.4. Tietoliikenneohjelmistot eli protokollat. Protokollien kerrosrakenne. Mitä monimutkaisuutta?

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja oheislaitteet. Keskuskone ja päätteet (=>-80-luvun alku)

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Tikon ostolaskujen käsittely

TW- LTE REITITIN: GRE- OHJEISTUS

Linux palomuurina (iptables) sekä squid-proxy

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Nykyaikainen IP pohjainen provisiointi operaattorin verkkoon

1. FRAME RELAY: RUUHKANHALLINTA

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

1 ISDN, B-ISDN & INTERNET

T Verkkomedian perusteet. Tietoliikennekäsitteitä Tiedonsiirron perusteet

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Pikaviestinnän tietoturva

Service Level Agreement. Service Level Agreement. IP verkkopalvelu. S Verkkopalvelujen tuotanto Luento 1: Service Level Agreement

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

VALOKUITU PALVELUKUVAUS

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Tikon ostolaskujen käsittely

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

TW-EAV510AC-LTE OpenVPN ohjeistus

Tietoliikenne I (muuntokoulutettaville) 2 ov Syksy 2002 Luennot Liisa Marttinen 11/6/2002 1

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

OpenVPN LAN to LAN - yhteys kahden laitteen välille

Työasema- ja palvelinarkkitehtuurit IC Storage. Storage - trendit. 5 opintopistettä. Petri Nuutinen

TK Palvelinympäristö

Antti Vähälummukka 2010

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Järjestelmäarkkitehtuuri (TK081702) Lähtökohta. Integroinnin tavoitteet

Kohina (Noise) 1.4. Tietoliikenneohjelmistot eli protokollat. Signaalin vahvistaminen

1 YLEISKUVAUS Laajakaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Regulointi, standardointi, veloitus. Yhteenveto

WL54AP2. Langattoman verkon laajennusohje WDS

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

METROETHERNET PALVELUKUVAUS JA HINNASTO ALKAEN

PPTP LAN to LAN - yhteys kahden laitteen välille

Transkriptio:

Yhdistämistekniikat Verkkoyhteydet ja turvallisuus 6 7LHWROLLNHQQHYHUNRW 0DUNXV 3HXKNXUL Valintaiset yhteydet POTS (0,3 56 kbit/s) Datex (1,2 9,6 kbit/s) Diginet (1,2 64 kbit/s) ISDN (BRI: 64; 128 kbit/s PRI: n*64 kbit/s; n<=30) radioverkot (0,3 14,4 kbit/s) Kiinteät yhteydet galvaaninen yhteys (19,2 2048 kbit/s) piirikytkentäinenyhteys (n*64 kbit/s) pakettiverkko [x.25/x.32] (1,2 kbit/s 2048 kbit/s) kehysvälitteinen verkko (64 kbit/s 2 Mbit/s) soluvälitteinen verkko (2 Mbit/s ) 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 3 Luennon aiheet Etäyhteydet WWW-palvelimet OVT-yhteydet Järjestelmien suojaus ongelmat ratkaisukeinot 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 2 Valintaiset yhteydet Puhelinverkko (0,3 56 kbit/s) tarjoaa 3,1 khz:n (300 3400 Hz) taajuuskaistan datasiirtoon käytettävä modeemia» maksimissaan 33 kbit/s molempiin suuntiin» riippuva yhteyden laadusta voidaan tehostaa pakkauksella (1,5-2 x) yhteydenotto ei 100 % luotettava kytkentäaika pitkähkö (15 30 s) saatavissa kaikkialle, maailmanlaajuiset yhteydet peruskustannukset edulliset käyttökustannus yhteysajan perusteella 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 4 1 2

Valintaiset yhteydet... Datex (1,2 9,6 kbit/s) nopea kytkentä, pohjoismainen aloitusmaksu + kk-maksu + yhteyden luominen + yhteysaika Diginet (1,2 64 kbit/s) digitaalisen puhelinverkon avulla toteutettu datasiirtopalvelu kehitetty ISDN:ää odotellessa ISDN useita yhteyksiä voidaan ryhmittää nopeammaksi yhteydeksi peruskustannuksiltaan POTS:a kalliimpi» liittymismaksu ja kk-maksu suurempia» päätelaitteet merkittävästi kalliimpia data-liikennöinti kalliimpaa»ulkomaanyhteydet 5-20 % kalliimpia 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 5 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 7 Valintaiset yhteydet/isdn Integrated Services Digital Network perusliittymä (2B+D, Basic Rate Interface)» 2*64 kbit/s data, 16 kbit/s merkinanto järjestelmäliittymä (30B+D, Primary Rate Interface)» 30*64 kbit/s data, 64 kbit/s merkinanto tukee eri palveluja (esim 3.1 khz puhe ja 64 kbit/s digitaalinen yhteys) tieto tyypistä (puhe/data) välittyy verkossa:» modeemien kättelyvaihe jää pois»kytkeytyminen nopeaa (0,3 3 s)» mahdollistaa paremmin tarvemukaisen yhteyden muodostuksen 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 6 Valintaiset yhteydet.../radioverkot analogiset verkot (NMT, ARP, VHF-verkot) puheen siirtoon tarkoitetuissa verkoissa voidaan käyttää valintaisen puheliverkon modeemeja radiotien häiriöt poikkeavat langallisista yhteyksistä virheenkorjauskehyksen oltava pienempi [MNP10] DMS-modeemi NMT-verkossa (600 bit/s) NMT-yhteydet toimivat noin 7200 bit/s tiedon pakkaus ja salaus 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 8 3 4

Radioverkot Ky / piirikytkentäinen digitaaliset verkot (GSM) läpinäkyvä/ei-läpinäkyvä siirto nopeus 9,6 kbit/s [14.4 kbit/s]» tulossa n*14,4 kbps» GPRS: pakettidata analogisiin modeemeihin modeemipankin kautta ISDN-yhteydet V.110- sovituksella UMTS? Piirikytkentäinen yhteys (n*64 kbit/s) yhteys asiakkaalta kantataajuusmodeemilla (kuten gy) tai nopeammissa yhteyksissä kuidulla pisteeseen, jossa data liitetään PCM-yhteyksiin puhelinverkossa on varattu kiinteät PCM-aikavälit yhteyttä varten kapasiteetti on varattuna vaikkei liikennettä olisikaan viive pieni kuten galvaaninen yhteys, mutta laajemmalle alueelle vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 9 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 11 Kiinteät yhteydet Galvaaninen yhteys (19,2 2048 kbit/s) rakennetaan itse tai vuokrataan kaapeliyhteys käytetään kantataajuusmodeemeja, pitkillä yhteyksillä kantoaaltomodemeja nopeus laskee etäisyyden kasvaessa yleensä mahdollista vain saman keskuksen alueella (max 10 km) radiolinkit vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta Ky / pakettiverkko Pakettiverkko (1,2 kbit/s 2048 kbit/s) yhteys asiakkalta lähimpään X.25-solmuun piirikytkentäinen jokainen solmu vastaa paketin välittämisestä eteenpäin» vaatii muistia solmuissa» aiheuttaa viivettä x.32: valintainen yhteys kansainväliset yhteydet laajalle asennusmaksu + kk-hinta + yhteysaika + siirretty tietomäärä 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 10 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 12 5 6

Verkkojen vaihtoehdot Modeemilinjat puhelinverkossa + yhteydet kaikilta-kaikkiin kaistanleveys, kiinteä kaista, hallinta puutteelline Kiinteät vuokralinjat + eri linjanopeuksia, hallinta eri tasoilla kiinteä kaista (vajaakäyttö), kahden pisteen välinen PCM (E1) multiplexerillä + suuri siirtonopeus (1,5-2Mb/s), useita yhteyksiä samassa liittymässä, hallinta kiinteä kaista, kahden pisteen välinen Frame Relay Pakettivälitys (-kehys) tilastollinen kanavointi yhteyksillä tukee purskeista liikennettä Virtuaaliyhteydet luotavissa verkonhallinnalla (PVC) / valintaisesti (SVC) kehyksessä yhteystunniste DLCI Määrittelee ANSI: T1.602, T1.606, T1.607-1990, T1S1/91-659, T1.617, T1.618 ITU: I.122, Q-922, Q.933 pohjautuu ISDN-määrittelyihin Rajapintamäärittely 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 13 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 15 Verkkojen vaihtoehdot FR-kehys ISDN / kytkentäinen data (64k-2Mb/s) + kaistanleveys haluttaessa, eri yhteydet kutsutasolla kiinteä kaista kutsutasolla, huono saatavuus X.25 + pakettipohjaisuus hyödyntää kaistanleveyden, yhteydet kaikilta-kaikkiin, virheenkorjaus raskas protokolla hidastaa (< 256 kb/s (2Mb/s )) ja lisää kustannuksia LAPD-kehystys lippu osoitekenttä datakenttä tarkistussumma lippu alkueroitin 01111110 16 bittiä 1-1600 oktettia 16 bittiä 01111110» bitstuffing 8 7 6 5 4 3 2 1 8 7 6 5 4 3 2 1 osoitekenttä»osoite(dlci)»käsky/vastaus» lisäosoitebitti» ruuhkailmaisu eteenja taakse»hylkäysprioriteetti datakenttä tarkiste loppueroitin Osoite CR EA Osoite FECN BECN DE EA 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 14 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 16 7 8

Liikenne verkossa Solmut välittävät DLCI-arvojen perusteella paikallisia Kehys on vioittunut ei alku- tai loppueroitinta tai alle 5 oktettia välissä ei tasamäärää oktetteja (bittejä 8*N) tarkistevirhe osoitekenttä virheellinen tai arvoa ei tueta koko liian suuri (sopimukseen nähden) Vioittunut kehys hylätään ei indikaatiota lähettäjälle / vastaanottajalle Liikenteen sääntely Solmut voivat ruuhkatilanteissa hukata kehyksiä ensin DE-bitillä varustetut Ilmoitus myös päätelaitteelle FECN: tässä suunnassa ruuhkaa» esimerkiksi hidasta kuittausta BECN: vastasuunnassa ruuhkaa» vähennä lähetysnopeutta ei velvoita päätelaitetta 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 17 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 19 Verkon toiminta Ruuhkan hallinta Määritelty rajapinta verkon sisäinen toteutus voi olla erilainen paikallinen hallinta (DLCI=0) Solmussa tarvittaessa hylkääminen ei muutosta käyttäjädataan muutetaan DLCI:t DLCI Käyttö 0 LMI: paikallinen hallinta (linjan testaus & kutsut) 1-15 tulevaisuutta varten 16-991 virtuaaliyhteyksien käytössä 992-1007 kerroksen 2 hallinta 1008-1022 tulevaisuutta varten 1023 hallintaa varten (ylemmät kerrokset) Liikennesopimus CIR <= linjanopeus [bit/s] CIR = B c / T c B c + B e = sallittava purske»b c :n ylittävät kehykset merkitään DE»B c + B e :n ylittävät: hylätään tai DE tavumäärä 1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 0 1 hylätään? DE=1 linjanopeus B e B c aika 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 18 T c 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 20 9 10

Kiint.../kehys... Soluvälitteinen verkko [ATM] (2 Mbit/s ) asiakas-asiakas -yhteys ATM-tasolla» lähiverkkoemulointi, MPOA, sama tekniikka kuin lähiverkossa tehokas kaistanleveyden käyttö tulevaisuuden tekniikkaa FR-toteutuksia ATM:n päällä 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 21 WWW-palvelinvaihtoehdot Oma palvelin vaatii kiinteän yhteyden oma ylläpito liitettävyys yrityksen tietojärjestelmiin» sekä sisäinen että ulkoinen tiedotus» myyntipalvelu, helpdesk Palvelun osto joko palvelintilan vuokraus tai täyspaketti liitettävyys tietojärjestelmään huono (staattinen tieto) turvallinen vaihtoehto pieni panostus, jos tutkitaan mahdollisuuksia 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 23 Lähiverkkojen yhdistäminen Siltaamalla yksinkertaisempi toimii kaikilla protokollilla enemän liikennettä Reittittämällä toimii reititettävillä protokollilla liikenteen suodatus levitysviestit eivät leviä (kuin hallitusti) varayhteydet ja kuormanjako helpompaa laajoissa verkoissa ainoa vaihtoehto 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 22 Yhteydet liikekumppaneihin OVT/EDI kauppa (erit. tukku-) edelläkäviänä, kuljetus ja teollisuus imussa pankkiyhteydet merkittävin (2/3 tilisiirroista konekielisiä) oman toiminan tehostaminen ja asiakassuhteiden kehittäminen» tiedonhallinnan parantaminen ja asiakastyytyväisyys» uudet toimintamahdollisuudet, virheiden väheneminen EDIFACT-muunnin oma tai palveluntarjoajan hallinnassa 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 24 11 12

Yhteydet liikekumppaneihin Reititinverkot X.25 Kiinteät yhteydet Internet joustavin tietoturvaongelmat ovatko muutkaan viestinvälitysjärjestelmät turvallisia? Millä suojataan Jokainen kone turvallinen käytännössä mahdoton heterogeenisessa ympäristössä Osa koneista turvallisia liikenne tietyille/ltä koneilta estetään Verkon eristäminen kaikki liikenne yhdyskäytävän kautta 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 25 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 27 Miksi järjestelmän suojaaminen 80 % havaitusta yrityksistä pääsee järjestelmään Keitä te ootte teinejä, joilla on modeemi (lähinnä elokuvissa)» ilkivaltaa, tageja omat työntekijät palkkakräkkerit tietokauppiaat kilpailijat tiedustelupalvelut Miksi suojataan Haavoittuvat TCP/IP -palvelut suunniteltu käytettäväksi turvatussa ympäristössä: luottaminen tiettyihin osoitteisiin NIS, NFS, SNMP, r-unix Salakuuntelun helppous suurin osa liikenteestä salaamatonta Suojauspolitiikan puute pääsy liian avoin Asetusten monimutkaisuus virheet yleisiä 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 26 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 28 13 14

TCP/IP: ongelmat Ohjelmistot: ongelmat IP Source Routing testaustarkotuksiin luotu TCP Sequence Number guess useat koneet luovat eri TCP-yhteysten sarjanumerot determinisesti: helpottaa yhteyden kaappausta UDP ei yhteyden luontia: hankalampi seurata ICMP redirect reitityksen muuttaminen eri koneelle 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 29 Tekeytymisen helppous IP source routing yhteyksien kaappaus koneiden sammuttaminen ei autentikointia: SMTP, NNTP LAN-palvelut, toisiinsa luottavat koneet ylläpidon helpottaminen: NIS, NFS käytön helpottaminen: rlogin Vaikeat konfiguraatio järjestelmät usein konfiguroitu maksimaalisen salliviksi Konepohjainen turvallisuus ei skaalaudu 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 31 Ohjelmistot: ongelmat Puskurin ylivuoto Logiikkavirheet puskurin ylivuotoja, väärää konfiguraatiota oletuksena Troijan hevoset suositussa ftp-palvelinohjelmassa virhe vapaa ohjelma <=> kaupallinen ohjelma Salakuuntelu usein helppoa pysyvät salasanat: kerran kuunneltu käytettävissä myöhmmin Autentikointi huonot / salakuunnellut salasanat useissa palveluissa koneen tarkkuudella: tietty IPosoite fd=get_config(). FILE *get_config_file(void) { char buf[bz], *p; if (p=getenv( MY_CONFIG )){ strcpy(p, buf); } else { p= /etc/my.config ; } return fopen(p, r ); } PC MY_CONFIG buf[bs] egg p exec( /bin/sh, -sh ); 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 30 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 32 15 16

ICMP redirect Reititin ilmoittaa sopivamman reitittimen tietylle koneelle useimmat uskovat mitä vain Saadaan lähettämään kaikki k.o. koneelle menevä liikenne toisen koneen kautta Suojautuminen: ei sallita verkon sisään vain k.o. reitin reitittmeltä vain eri verkossa olevalle kohteelle ICMP redirect 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 33 S C E Palomuurityypit Pakettisuodin» estää esimerkiksi sisäänsuuntautuvat SYN&!ACKpaketit» tietyt protokollat / portit suorituskykyinen ei piilota verkon rakennetta helposti kierrettävissä» pitävä konfigurointi vaikeaa Yhteystason suodin TCP-yhteydet luodaan verkon sisälle ja ulos yhteystason valvonta» kierrettävissä: esimerkiksi irc-yhteydet tunneloidaan telnet-yhteyksille 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 35 Palomuuri Ei vain joku purkki Turvallisuuspolitiikka määrittää palvelut ja pääsyn niihin yleensä erottaa turvallisen ja turvattoman osan Perusteet käyttöön haavoittuvien palvelujen suojaaminen hallittu pääsy järjestelmiin keskitetty turvallisuus parempi yksityisyys loki ja tilastot politiikan täytäntöönpano 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 34 Palomuurityypit... Sovellustason palomuuri jokaiselle sovellukselle oma yhdyskäytävä» estää sovellusten käytön toisella porttinumerolla»läpinäkyvä sovelluksille palvelimet verkon sisään suuntautuvalle liikenteelle piilottaa verkon sisäisen rakenteen» rekisteröimättämien osoitteiden käyttö mahdollistaa lisäpalvelut» virussuoja, surffausestot kiertotiet: modeemit, sähköpostiviestit, web-sivut sovellus(versio)riippuva 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 36 17 18

Yhteydenotot palomuurin sisään Pakettisuodin-palomuuri Pääte- tai webyhteydet kertakäyttöiset tai haaste-vastaussalasanat» lista tai PIN-suojattu älykortti» ei suojaa yhteyden kaappaamiselta => salatut yhteydet Tiedostojen siirto Modeemiyhteydet takaisinsoitto autentikoinnin lisäksi Yleiset palvelut mielummin palomuurin ulkopuolelle 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 37 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 39 Palomuuri Valvottu kone Ongelmat vaikeuttaa haluttujen palvelujen käyttöön» sovellusyhdyskäytäviä ei välttämättä kaikille takaovet olemassa» modeemit pieni suoja organisaation sisältä» osastojen väliset palomuurit 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 38 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 40 19 20

Valvottu aliverkko Yhteenveto Ulkoiset liitännät lisäävät verkon arvoa lisäävät turvallisuusriskejä Verkon turvallisuus on yhtä huono kuin huonoin lenkki yhden koneen murtaminen avaa usein pääsyn muihin koneisiin Perussäännöt verkon kriittisten osien ja palveluiden eristäminen varmuuskopiointi pääsylistojen päivitys ja tarkistus, minimipalvelut ohjelmistojen päivitys salauksen käyttö 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 41 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 43 Verkkojen yhdistäminen Salattu yhteys palomuurista toiseen toimii vain saman valmistajan laitteiden välillä verkkoon X suuntautuva liikenne ohjataan tunneliin mahdollistaa epäluottettavan verkon käyttämisen yhdistämiseen Etäyhteydet salattuina 25.11.1998 Markus Peuhkuri / TKK Teletekniikka 42 21 22

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute