Salausmenetelmät (ei käsitellä tällä kurssilla)

Samankaltaiset tiedostot
Tietoliikenteen perusteet. Tietoturvasta

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2010 1

Tietoliikenteen perusteet

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Luento 13: Tietoliikenteen turvallisuus: Palomuurit. Syksy 2014, Tiina Niklander

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

OSI ja Protokollapino

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä. Jorma Mellin Teknologiajohtaja TDC Oy

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Luku V: Verkkojen tietoturva I

Luento 11: Tietoturvasta ja kertausta

Luento 11: Tietoturvasta ja kertausta

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Tietoliikenne II (2 ov)

Monimutkaisempi stop and wait -protokolla

Tietoturva-kurssit: kryptografian perusteet IPSec

Verkkoliikennettä Java[ssa lla] Jouni Smed

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Monimutkaisempi stop and wait -protokolla

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys.

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

TeleWell TW /100 Mbps laajakaistareititin palomuuri, hakkerisuoja DHCP palvelin/reititin

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Monimutkaisempi stop and wait -protokolla

DDoS oikeastiko ongelma? Sami J. Mäkinen

S Teletekniikan perusteet

Diplomityöseminaari

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

Kuljetuskerros. Tietokoneverkot. Matti Siekkinen Pasi Sarolahti

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

0.1 Internet-verkon perustoiminta

Tehtävä 2: Tietoliikenneprotokolla

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Tietoturvan haasteet grideille

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

1.1 Palomuuri suunnitelma

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Luku V: Verkkojen tietoturva I

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Tyypillisen hyökkäyksen eteneminen verkossa

Olet tehnyt hyvän valinnan hankkiessasi kotimaisen StorageIT varmuuskopiointipalvelun.

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Tietokoneet ja verkot. Kilpailupäivä 1, keskiviikko Kilpailijan numero. Server 2003 Administrator. XP pro Järjestelmänvalvojan

Kytkimet, reitittimet, palomuurit

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Tietoliikenne II (2 ov)

Verkkokerros ja Internet Protocol. kirja sivut

TeleWell TW /100 Mbps laajakaistareititin palomuuri, hakkerisuoja DHCP palvelin ja reititin. Ohjekirja. Versio 3 Copyright Easytel Oy Finland

Kuljetuskerros. Kirja sivut: ,

TCP/IP-protokollat ja DNS

Tietoturvan haasteet grideille

Esa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

Tekninen kuvaus Aineistosiirrot Interaktiiviset yhteydet iftp-yhteydet

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Johdanto Internetin reititykseen

Internet perusteet. Analyysin tasot

Protokollien yleiset toiminnot

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

PALVELUNESTOHYÖKKÄYKSILTÄ SUOJAUTUMINEN JA NIIDEN TORJUMI- NEN

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

TCP/IP-protokollapino. Kuljetuskerros. Tämän luennon jälkeen. Sisältö. Matti Siekkinen. Ymmärrätte:

Palvelunestohyökkäyksen havaitseminen ja torjuminen

Miten selain muodostaa TCP- tai UDP-yhteyden? TCP-osoite = IP-osoite + porttinumero ( tässä 80) SOCKET BIND (80) LISTEN ACCEPT. Connection Request

Intrusion Detection Systems

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

6. Erilaisia verkkoja. LAN, MAN ja WAN

6. Erilaisia verkkoja

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Transkriptio:

6. Internetin turvattomuus ja palomuuri Internetin turvaongelmia Tietojen keruu turva-aukkojen löytämiseksi ja koneen valtaaminen Internetissä kulkevan tiedon tutkiminen IP-osoitteen väärentäminen Palvelunestohyökkäykset (DOS-hyökkäykset) Yhteyden kaappaaminen Palomuuri Paketteja suodattava palomuuri Sovelluskerroksen yhdyskäytävä Salausmenetelmät (ei käsitellä tällä kurssilla) 2/26/2004 1

Tietojen keruu eli kartoitus (mapping) Tavoitteena on saada tietoja IP-osoitteista käyttöjärjestelmistä käytetyistä ohjelmista ja sitten hyödyntää eri järjestelmien turva-aukkoja. Ping Lähetetään ping-kyselyjä eri osoitteisiin, vastaajat ilmoittavat oman IP-osoitteensa Porttiselaus (port scanning) = systemaattisesti otetaan TCP- tai UDP-yhteyksiä jonkin koneen porttinumeroihin ja vastauksista saadaan selville tarjotut palvelut 2/26/2004 2

Pakettien tutkiminen (packet sniffing) Passiivisesti kuunnellaan linkkikerroksen liikennettä ja tutkitaan kehysten sisältöä Ethernetissä sovitinkortti tutkii kaikki kehykset Valikoimattomassa moodissa (promiscuous) toimiva sovitinkortti kopioi kaikki kehykset itselleen Valmiita ohjelmia, joilla paketit puretaan Hyödyllinen väline verkon valvojalle, mutta vaarallinen vihamielisissä käsissä Hyökkääjä etsii erityisesti salasanoja Salasanat syytä aina salakirjoittaa 2/26/2004 3

IP-osoitteen väärentäminen (spoofing) Jokainen, joka kontrolloi koneen ohjelmistoa (erityisesti käyttöjärjestelmää) voi väärentää IP-osoitteen datagrammin lähdekenttään! Teknisesti helppo havaita ja estää Jokainen verkon reunareititin tarkistaa, että lähettäjän IP-osoite tulee oikeasta liitännästä = minne sille lähetetäänkin Ei voi tehdä pakolliseksi! 2/26/2004 4

Palvelunestohyökkäys (DoS = Denial of Service) Kuormitetaan palvelua niin, etteivät oikeat käyttäjät pääse sitä lainkaan käyttämään SYN-tulvitus = käyttäen eri IP-osoitteita aloitetaan suuri määrä yhteyksiä lähettämällä 1. SYNsegmentti, mutta ei koskaan päätetä yhteydenmuodostusta ACK:lla; uhrilta loppuu muisti IP-paloittelu = lähetetään IP-pakettien osia, jotka vastaanottaja puskuroi odottamaan puuttuvia paloja, joita ei koskaan tule => muisti loppuu Smurf-hyökkäys = monelle koneelle uhrin IPosoitteella varustettuja ICMP Echo-requestpaketteja; ECHO-vastaukset tukkivat uhrin koneen 2/26/2004 5

Hajautettu DoS-hyökkäys (DDoS) Hyökkääjä ottaa ensin haltuunsa ison joukon muita koneita niiden käyttäjien sitä huomaamatta ( orjakoneita ) hyökkäysohjelma, joka vain odottaa käskyä Kaikki vallatut koneet aloittavat samaan aikaan DDoS-hyökkäyksen uhrin kimppuun. Vaikea estää: milloin SYN on oikea yhteyspyyntö, milloin osa hyökkäystä? 2/26/2004 6

Yhteyden kaappaus (hijacking) Kolmas osapuoli C kaappaa itselleen A:n ja B:n välisen yhteyden poistaa B:n pelistä palvelunestohyökkäyksellä tekeytyy itse B:ksi (tuntee jo tavujen numeroinnin) C A B 2/26/2004 7

Palomuuri (firewall) Ohjelmisto + laitteisto, jolla valvotaan pääsyä yrityksen oman verkon ja julkisen Internetin välillä. Julkinen Internet yrityksen oma verkko palomuuri, jonka kautta kaikki liikenne kulkee, sijaitsee oman verkon reunareitittimessä 2/26/2004 8

Kaksi erilaista palomuuria: Paketteja suodattava palomuuri Toimii verkkotasolla Tutkii pakettien IP- ja TCP/UDP-otsakkeita Karkea lajittelu Sovellustason yhdyskäytävä (gateway) Toimii sovellustasolla Tutkii sovellusdataa Hienojakoisempi lajittelu 2/26/2004 9

Pakettien suodatus Reunareitittimessä (palomuurissa) Datagrammin otsakkeet tutkitaan Päätökset ( = sallitaanko vai kielletäänkö paketin lähettäminen) tehdään ennalta annettujen sääntöjen pohjalta. Säännöt pohjaavat otsakekenttien tietoihin: Lähettäjän ja vastaanottajan IP-osoitteisiin TCP- ja UDP-portteihin Kontrollisanoman (ICMP) tyyppiin kättelysanomiin Esim. Kielletään UDP-paketit ja Telnetyhteydet tai Telnet-yhteydet vain tietyistä IPosoitteista 2/26/2004 10

kieltämällä kaikki paketit, joissa ACK-bitti on 0, estetään ulkoapäin tulevat yhteydenmuodostuspyynnöt (SYN, ACK=0) säännöillä on hankala toteuttaa monimutkaisia estopoliitikoita sääntöjä tarvitaan helposti paljon (jopa tuhansia) niitä käydään läpi jossakin järjestyksessä => väärä järjestys voi aiheuttaa ongelmia eli virheitä pakettien käsittelyssä 2/26/2004 11

Sovellusyhdyskäytävä (Application Gateway) Pakettien suodatus ei riitä, jos halutaan hienojakoisempaa suodatusta: Esim. Telnet-yhteyden salliminen tietyille käyttäjille, joiden on ensin todennettava henkilöllisyytensä. Sovellusyhdyskäytävä tekee päätökset sovellusprotokollan datasta eri sovelluksilla (esim. SMTP, HTTP) oma yhdyskäytävä => useita erilaisia prosesseja 2/26/2004 12

yrityksen oma verkko L sovellusyhdyskäytävä Telnet-yhteys K Julkinen Internet paketteja suodattava palomuuri sallii Telnetyhteydet vain sovellusyhdyskäytävän koneesta Kun kone L haluaa Telnet-yhteyden koneseen K, sen on ensi otettava Telnet-yhteys sovellusyhdyskäytävään, joka autentikoi käyttäjäm ja tarkistaa käyttöoikeuden. Jos kaikki ok, niin yhdyskäytävä muodostaa Telnet-yhteyden koneeseen K. 2/26/2004 13

Ongelmia: jokaiselle sovellukselle oltava oma yhdyskäytävä yhdyskäytävä välittää kaiken datan asiakkaan on osattava ottaa yhteys yhdyskäytävään ja pystyttävä viestimään sen kanssa eri ratkaise kaikkia turvaongelmia IP-osoitteiden ja porttinumeroiden väärentäminen yhdyskäytäväohjelmissa voi olla turva-aukkoja langattomat yhteydet ja soittoyhteydet 2/26/2004 14

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute