Luennon aiheet. Verkkoyhteydet ja turvallisuus. Valintaiset yhteydet. Yhdistämistekniikat. Valintaiset yhteydet... Valintaiset yhteydet/isdn



Samankaltaiset tiedostot
Yhdistämistekniikat. Verkkoyhteydet ja turvallisuus. Luennon aiheet. Valintaiset yhteydet 6 7LHWROLLNHQQHYHUNRW 0DUNXV 3HXKNXUL

Standardiliitännät. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tiedonvälitystekniikka 1-3 ov. Kurssin sisältö ja tavoite

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Salausmenetelmät (ei käsitellä tällä kurssilla)

Kotitalouksien kiinteät internet - liittymät. Tero Karttunen Oy Mikrolog Ltd

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Kuva maailmasta Pakettiverkot (Luento 1)

S Tietoliikennetekniikan perusteet. Piirikytkentäinen evoluutio. Annukka Kiiski

SISÄLMYSLUETTELO QUO VADIS?... 9

TVP 2003 kevätkurssi. Kertaus Otto Alhava

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

(Puhelin)verkkokomponentit. Kytkentäiset verkot. Piirikytkentä. Kytkentäkenttä

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

S Teletekniikan perusteet

Internet Protocol version 6. IPv6

Mikä on internet, miten se toimii? Mauri Heinonen

OSI ja Protokollapino

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

1. Tietokoneverkot ja Internet

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

itää saada selville P-osoitetta vastaava erkko-osoite. leislähetyksenä ysely: Kenen IPsoite. IP-paketissa on vain vastaanottajan

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

TIES530 TIES530. Moniprosessorijärjestelmät. Moniprosessorijärjestelmät. Miksi moniprosessorijärjestelmä?

Elisa Oyj Palvelukuvaus 1 (5) Elisa Yrityskaista Yritysasiakkaat versio 2.1. Elisa Yrityskaista

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Macintosh (Mac OS X 10.2) Verkkoasetukset Elisa Laajakaista yhteyksille:

3. Kuljetuskerros 3.1. Kuljetuspalvelu

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja päätteet (=>-80-luvun alku) Keskuskone ja oheislaitteet

DNA LAAJAKAISTA TUOTEKUVAUS

Protokollien yleiset toiminnot

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

ERICSSON HM410DP ASENNUSOHJE

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Reititys. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL. Yhteyden jakaminen Reititys Kytkentä Internet-protokolla TCP, UDP

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

S ATM JA MULTIMEDIA SEMINAARI, KEVÄT -97. Frame relay-verkon liikenteenhallinta

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

TW- EAV510/TW- EAV510AC: L2TP- OHJEISTUS

TW- LTE REITITIN: GRE- OHJEISTUS

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Luennon sisältö. Protokolla eli yhteyskäytäntö (1) Verkon topologia

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja päätteet (=>-80-luvun alku) Keskuskone ja oheislaitteet

S Tietoliikennetekniikan perusteet. Piirikytkentäinen evoluutio

Nimi: Op.numero: Yritän arvosanan korotusta, olen läpäissyt IVT:n tentin

Jos A:lla ei ole tietoa ARP-taulussaan, niin A lähettää ARP-kysely yleislähetyksenä

1. FRAME RELAY: RUUHKANHALLINTA

Työasema- ja palvelinarkkitehtuurit IC Tallennusjärjestelmät. Tallennusjärjestelmät. 5 opintopistettä.

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Tietoliikenteen perusteet. Langaton linkki

Luennon aiheet. S Tietoliikenneverkot. Kurssimateriaali. Kurssin suorittaminen. Kurssiohjelma. Tavoitteet -RKGDQWR

VALOKUITU PALVELUKUVAUS

Tikon ostolaskujen käsittely

Langattomien verkkojen tietosuojapalvelut

1. Tietokoneverkot ja Internet Tietokoneesta tietoverkkoon. Keskuskone ja oheislaitteet. Keskuskone ja päätteet (=>-80-luvun alku)

Antti Vähälummukka 2010

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

TW-EAV510AC-LTE OpenVPN ohjeistus

Tietoliikenteen perusteet. Langaton linkki

Tikon ostolaskujen käsittely

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

xdsl Operaattorihinnasto

T Verkkomedian perusteet. Tietoliikennekäsitteitä Tiedonsiirron perusteet

1 YLEISKUVAUS Laajakaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Linux palomuurina (iptables) sekä squid-proxy

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

OpenVPN LAN to LAN - yhteys kahden laitteen välille

Sivu 1/13. Vakka-Suomen Puhelin Oy:n Yhteyshinnasto operaattoreille

Pikaviestinnän tietoturva

1 YLEISKUVAUS Valokaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

1 ISDN, B-ISDN & INTERNET

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

TW- EAV510 / TW- EAV510 AC: OpenVPN

Pikaohje IPv6-ominaisuuksiin FreeBSD-järjestelmässä Päivitetty Niko Suominen

Sisällysluettelo KIINTEIDEN YHTEYKSIEN HINNASTO OPERAATTOREILLE 1 TILAAJA- JA KIINTEÄT YHTEYDET OPERAATTORILAAJAKAISTA DATAYHTEYDET...

Regulointi, standardointi, veloitus. Yhteenveto

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

TK Palvelinympäristö

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

KAIKKI LAITTEET KÄYNNISTETÄÄN UUDELLEEN ENNEN TARKISTUSTA

Directory Information Tree

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Transkriptio:

Luennon aiheet Verkkoyhteydet ja turvallisuus 67LHWROLLNHQQHYHUNRW 0DUNXV3HXKNXUL Etäyhteydet WWW-palvelimet OVT-yhteydet Järjestelmien suojaus ongelmat ratkaisukeinot 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 2 Yhdistämistekniikat Valintaiset yhteydet POTS (0,3 56 kbit/s) Datex (1,2 9,6 kbit/s) Diginet (1,2 64 kbit/s) ISDN (BRI: 64; 128 kbit/s PRI: n*64 kbit/s; n<=30) radioverkot (0,3 14,4 kbit/s) Kiinteät yhteydet galvaaninen yhteys (19,2 2048 kbit/s) piirikytkentäinenyhteys (n*64 kbit/s) pakettiverkko [x.25/x.32] (1,2 kbit/s 2048 kbit/s) kehysvälitteinen verkko (64 kbit/s 2 Mbit/s) soluvälitteinen verkko (2 Mbit/s ) 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 3 Valintaiset yhteydet Puhelinverkko (0,3 56 kbit/s) tarjoaa 3,1 khz:n (300 3400 Hz) taajuuskaistan datasiirtoon käytettävä modeemia» maksimissaan 33 kbit/s molempiin suuntiin» riippuva yhteyden laadusta voidaan tehostaa pakkauksella (1,5-2 x) yhteydenotto ei 100 % luotettava kytkentäaika pitkähkö (15 30 s) saatavissa kaikkialle, maailmanlaajuiset yhteydet peruskustannukset edulliset käyttökustannus yhteysajan perusteella 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 4 Valintaiset yhteydet... Datex (1,2 9,6 kbit/s) nopea kytkentä, pohjoismainen aloitusmaksu + kk-maksu + yhteyden luominen + yhteysaika Diginet (1,2 64 kbit/s) digitaalisen puhelinverkon avulla toteutettu datasiirtopalvelu kehitetty ISDN:ää odotellessa 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 5 Valintaiset yhteydet/isdn Integrated Services Digital Network perusliittymä (2B+D, Basic Rate Interface)» 2*64 kbit/s data, 16 kbit/s merkinanto järjestelmäliittymä (30B+D, Primary Rate Interface)» 30*64 kbit/s data, 64 kbit/s merkinanto tukee eri palveluja (esim 3.1 khz puhe ja 64 kbit/s digitaalinen yhteys) tieto tyypistä (puhe/data) välittyy verkossa:» modeemien kättelyvaihe jää pois» kytkeytyminen nopeaa (0,3 3 s)» mahdollistaa paremmin tarvemukaisen yhteyden muodostuksen 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 6 1

ISDN useita yhteyksiä voidaan ryhmittää nopeammaksi yhteydeksi peruskustannuksiltaan POTS:a kalliimpi» liittymismaksu ja kk-maksu suurempia» päätelaitteet merkittävästi kalliimpia data-liikennöinti kalliimpaa» ulkomaanyhteydet 5-20 % kalliimpia Valintaiset yhteydet.../radioverkot analogiset verkot (NMT, ARP, VHF-verkot) puheen siirtoon tarkoitetuissa verkoissa voidaan käyttää valintaisen puheliverkon modeemeja radiotien häiriöt poikkeavat langallisista yhteyksistä virheenkorjauskehyksen oltava pienempi [MNP10] DMS-modeemi NMT-verkossa (600 bit/s) NMT-yhteydet toimivat noin 7200 bit/s tiedon pakkaus ja salaus 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 7 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 8 Radioverkot digitaaliset verkot (GSM) läpinäkyvä/ei-läpinäkyvä siirto nopeus maksimissaan 9,6 kbit/s [12 kbit/s] analogisiin modeemeihin modeemipankin kautta ISDN-yhteydet V.110-sovituksella Kiinteät yhteydet Galvaaninen yhteys (19,2 2048 kbit/s) rakennetaan itse tai vuokrataan kaapeliyhteys käytetään kantataajuusmodeemeja, pitkillä yhteyksillä kantoaaltomodemeja nopeus laskee etäisyyden kasvaessa yleensä mahdollista vain saman keskuksen alueella (max 10 km) radiolinkit vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 9 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 10 Ky / piirikytkentäinen Piirikytkentäinen yhteys (n*64 kbit/s) yhteys asiakkaalta kantataajuusmodeemilla (kuten gy) tai nopeammissa yhteyksissä kuidulla pisteeseen, jossa data liitetään PCM-yhteyksiin puhelinverkossa on varattu kiinteät PCM-aikavälit yhteyttä varten kapasiteetti on varattuna vaikkei liikennettä olisikaan viive pieni kuten galvaaninen yhteys, mutta laajemmalle alueelle vaatii linkkitason protokollan käyttöä asennusmaksu+kk-hinta Ky / pakettiverkko Pakettiverkko (1,2 kbit/s 2048 kbit/s) yhteys asiakkalta lähimpään X.25-solmuun piirikytkentäinen jokainen solmu vastaa paketin välittämisestä eteenpäin» vaatii muistia solmuissa» aiheuttaa viivettä x.32: valintainen yhteys kansainväliset yhteydet laajalle asennusmaksu + kk-hinta + yhteysaika + siirretty tietomäärä 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 11 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 12 2

Verkkojen vaihtoehdot Modeemilinjat puhelinverkossa + yhteydet kaikilta-kaikkiin kaistanleveys, kiinteä kaista, hallinta puutteelline Kiinteät vuokralinjat + eri linjanopeuksia, hallinta eri tasoilla kiinteä kaista (vajaakäyttö), kahden pisteen välinen PCM (E1) multiplexerillä + suuri siirtonopeus (1,5-2Mb/s), useita yhteyksiä samassa liittymässä, hallinta kiinteä kaista, kahden pisteen välinen Verkkojen vaihtoehdot ISDN / kytkentäinen data (64k-2Mb/s) + kaistanleveys haluttaessa, eri yhteydet kutsutasolla kiinteä kaista kutsutasolla, huono saatavuus X.25 + pakettipohjaisuus hyödyntää kaistanleveyden, yhteydet kaikilta-kaikkiin, virheenkorjaus raskas protokolla hidastaa (< 256 kb/s (2Mb/s )) ja lisää kustannuksia 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 13 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 14 Frame Relay FR-kehys Pakettivälitys (-kehys) tilastollinen kanavointi yhteyksillä tukee purskeista liikennettä Virtuaaliyhteydet luotavissa verkonhallinnalla (PVC) / valintaisesti (SVC) kehyksessä yhteystunniste DLCI Määrittelee ANSI: T1.602, T1.606, T1.607-1990, T1S1/91-659, T1.617, T1.618 ITU: I.122, Q-922, Q.933 pohjautuu ISDN-määrittelyihin Rajapintamäärittely LAPD-kehystys lippu osoitekenttä datakenttä tarkistussumma lippu 01111110 16 bittiä 1-1600 oktettia 16 bittiä 01111110 alkueroitin» bitstuffing 8 7 6 5 4 3 2 1 8 7 6 5 4 3 2 1 osoitekenttä»osoite(dlci)» käsky/vastaus» lisäosoitebitti» ruuhkailmaisu eteenja taakse» hylkäysprioriteetti datakenttä tarkiste loppueroitin Osoite CR EA Osoite FECN BECN DE EA 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 15 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 16 Liikenne verkossa Solmut välittävät DLCI-arvojen perusteella paikallisia Kehys on vioittunut ei alku- tai loppueroitinta tai alle 5 oktettia välissä ei tasamäärää oktetteja (bittejä 8*N) tarkistevirhe osoitekenttä virheellinen tai arvoa ei tueta koko liian suuri (sopimukseen nähden) Vioittunut kehys hylätään ei indikaatiota lähettäjälle / vastaanottajalle Verkon toiminta Määritelty rajapinta verkon sisäinen toteutus voi olla erilainen paikallinen hallinta (DLCI=0) Solmussa tarvittaessa hylkääminen ei muutosta käyttäjädataan muutetaan DLCI:t DLCI Käyttö LMI: paikallinen hallinta (linjan 0 testaus & kutsut) 1-15 tulevaisuutta varten 16-991 virtuaaliyhteyksien käytössä 992-1007 kerroksen 2 hallinta 1008-1022 tulevaisuutta varten hallintaa varten (ylemmät 1023 kerrokset) 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 17 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 18 3

Liikenteen sääntely Ruuhkan hallinta Solmut voivat ruuhkatilanteissa hukata kehyksiä ensin DE-bitillä varustetut Ilmoitus myös päätelaitteelle FECN: tässä suunnassa ruuhkaa» esimerkiksi hidasta kuittausta BECN: vastasuunnassa ruuhkaa» vähennä lähetysnopeutta ei velvoita päätelaitetta Liikennesopimus CIR <= linjanopeus [bit/s] CIR = B c / T c B c + B e = sallittava purske»b c :n ylittävät kehykset merkitään DE»B c + B e :n ylittävät: hylätään tai DE tavumäärä 1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 0 1 hylätään? DE=1 linjanopeus B e B c aika 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 19 T c 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 20 Kiint.../kehys... Soluvälitteinen verkko [ATM] (2 Mbit/s ) asiakas-asiakas -yhteys ATM-tasolla» lähiverkkoemulointi, MPOA, sama tekniikka kuin lähiverkossa tehokas kaistanleveyden käyttö tulevaisuuden tekniikkaa FR-toteutuksia ATM:n päällä Lähiverkkojen yhdistäminen Siltaamalla yksinkertaisempi toimii kaikilla protokollilla enemän liikennettä Reittittämällä toimii reititettävillä protokollilla liikenteen suodatus levitysviestit eivät leviä (kuin hallitusti) varayhteydet ja kuormanjako helpompaa laajoissa verkoissa ainoa vaihtoehto 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 21 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 22 WWW-palvelinvaihtoehdot Oma palvelin vaatii kiinteän yhteyden oma ylläpito liitettävyys yrityksen tietojärjestelmiin» sekä sisäinen että ulkoinen tiedotus» myyntipalvelu, helpdesk Palvelun osto joko palvelintilan vuokraus tai täyspaketti liitettävyys tietojärjestelmään huono (staattinen tieto) turvallinen vaihtoehto pieni panostus, jos tutkitaan mahdollisuuksia 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 23 Yhteydet liikekumppaneihin OVT/EDI kauppa (erit. tukku-) edelläkäviänä, kuljetus ja teollisuus imussa pankkiyhteydet merkittävin (2/3 tilisiirroista konekielisiä) oman toiminan tehostaminen ja asiakassuhteiden kehittäminen» tiedonhallinnan parantaminen ja asiakastyytyväisyys» uudet toimintamahdollisuudet, virheiden väheneminen EDIFACT-muunnin oma tai palveluntarjoajan hallinnassa 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 24 4

Yhteydet liikekumppaneihin Reititinverkot X.25 Kiinteät yhteydet Internet joustavin tietoturvaongelmat ovatko muutkaan viestinvälitysjärjestelmät turvallisia? Miksi järjestelmän suojaaminen 80 % havaitusta yrityksistä pääsee järjestelmään Keitä te ootte teinejä, joilla on modeemi (lähinnä elokuvissa)» ilkivaltaa, tageja omat työntekijät palkkakräkkerit tietokauppiaat kilpailijat tiedustelupalvelut 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 25 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 26 Millä suojataan Jokainen kone turvallinen käytännössä mahdoton heterogeenisessa ympäristössä Osa koneista turvallisia liikenne tietyille/ltä koneilta estetään Verkon eristäminen kaikki liikenne yhdyskäytävän kautta Miksi suojataan Haavoittuvat TCP/IP -palvelut suunniteltu käytettäväksi turvatussa ympäristössä: luottaminen tiettyihin osoitteisiin NIS, NFS, SNMP, r-unix Salakuuntelun helppous suurin osa liikenteestä salaamatonta Suojauspolitiikan puute pääsy liian avoin Asetusten monimutkaisuus virheet yleisiä 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 27 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 28 TCP/IP: ongelmat IP Source Routing testaustarkotuksiin luotu TCP Sequence Number guess useat koneet luovat eri TCP-yhteysten sarjanumerot determinisesti: helpottaa yhteyden kaappausta UDP ei yhteyden luontia: hankalampi seurata ICMP redirect reitityksen muuttaminen eri koneelle 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 29 Ohjelmistot: ongelmat Logiikkavirheet puskurin ylivuotoja, väärää konfiguraatiota oletuksena Troijan hevoset suositussa ftp-palvelinohjelmassa virhe vapaa ohjelma <=> kaupallinen ohjelma Salakuuntelu usein helppoa pysyvät salasanat: kerran kuunneltu käytettävissä myöhmmin Autentikointi huonot / salakuunnellut salasanat useissa palveluissa koneen tarkkuudella: tietty IPosoite 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 30 5

Ohjelmistot: ongelmat Tekeytymisen helppous IP source routing yhteyksien kaappaus koneiden sammuttaminen ei autentikointia: SMTP, NNTP LAN-palvelut, toisiinsa luottavat koneet ylläpidon helpottaminen: NIS, NFS käytön helpottaminen: rlogin Vaikeat konfiguraatio järjestelmät usein konfiguroitu maksimaalisen salliviksi Konepohjainen turvallisuus ei skaalaudu 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 31 Puskurin ylivuoto fd=get_config(). FILE *get_config_file(void) { char buf[bz], *p; if (p=getenv( MY_CONFIG )){ strcpy(p, buf); } else { p= /etc/my.config ; } return fopen(p, r ); } PC MY_CONFIG buf[bs] egg 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 32 p exec( /bin/sh, -sh ); ICMP redirect Reititin ilmoittaa sopivamman reitittimen tietylle koneelle ICMP redirect E useimmat uskovat mitä vain Saadaan lähettämään kaikki k.o. koneelle menevä liikenne toisen koneen S kautta Suojautuminen: ei sallita verkon sisään C vain k.o. reitin reitittmeltä vain eri verkossa olevalle kohteelle 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 33 Palomuuri Ei vain joku purkki Turvallisuuspolitiikka määrittää palvelut ja pääsyn niihin yleensä erottaa turvallisen ja turvattoman osan Perusteet käyttöön haavoittuvien palvelujen suojaaminen hallittu pääsy järjestelmiin keskitetty turvallisuus parempi yksityisyys loki ja tilastot politiikan täytäntöönpano 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 34 Palomuurityypit Pakettisuodin» estää esimerkiksi sisäänsuuntautuvat SYN&!ACKpaketit» tietyt protokollat / portit suorituskykyinen ei piilota verkon rakennetta helposti kierrettävissä» pitävä konfigurointi vaikeaa Yhteystason suodin TCP-yhteydet luodaan verkon sisälle ja ulos yhteystason valvonta» kierrettävissä: esimerkiksi irc-yhteydet tunneloidaan telnet-yhteyksille 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 35 Palomuurityypit... Sovellustason palomuuri jokaiselle sovellukselle oma yhdyskäytävä» estää sovellusten käytön toisella porttinumerolla» läpinäkyvä sovelluksille palvelimet verkon sisään suuntautuvalle liikenteelle piilottaa verkon sisäisen rakenteen» rekisteröimättämien osoitteiden käyttö mahdollistaa lisäpalvelut» virussuoja, surffausestot kiertotiet: modeemit, sähköpostiviestit, web-sivut sovellus(versio)riippuva 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 36 6

Yhteydenotot palomuurin sisään Pääte- tai webyhteydet kertakäyttöiset tai haaste-vastaussalasanat» lista tai PIN-suojattu älykortti» ei suojaa yhteyden kaappaamiselta => salatut yhteydet Tiedostojen siirto Modeemiyhteydet takaisinsoitto autentikoinnin lisäksi Yleiset palvelut mielummin palomuurin ulkopuolelle Palomuuri Ongelmat vaikeuttaa haluttujen palvelujen käyttöön» sovellusyhdyskäytäviä ei välttämättä kaikille takaovet olemassa» modeemit pieni suoja organisaation sisältä» osastojen väliset palomuurit 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 37 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 38 Pakettisuodin-palomuuri Valvottu kone 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 39 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 40 Valvottu aliverkko Verkkojen yhdistäminen Salattu yhteys palomuurista toiseen toimii vain saman valmistajan laitteiden välillä verkkoon X suuntautuva liikenne ohjataan tunneliin mahdollistaa epäluottettavan verkon käyttämisen yhdistämiseen Etäyhteydet salattuina 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 41 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 42 7

Yhteenveto Ulkoiset liitännät lisäävät verkon arvoa lisäävät turvallisuusriskejä Verkon turvallisuus on yhtä huono kuin huonoin lenkki yhden koneen murtaminen avaa usein pääsyn muihin koneisiin Perussäännöt verkon kriittisten osien ja palveluiden eristäminen varmuuskopiointi pääsylistojen päivitys ja tarkistus, minimipalvelut ohjelmistojen päivitys salauksen käyttö 3.12.1997 Markus Peuhkuri / TKK Teletekniikka 43 8

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute