koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys.



Samankaltaiset tiedostot
Salausmenetelmät (ei käsitellä tällä kurssilla)

S Teletekniikan perusteet

T Tietokoneverkot kertaus

Tietoturvan peruskurssi

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

OSI ja Protokollapino

Tietoliikenne II (2 ov)

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Internet Protocol version 6. IPv6

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Antti Vähälummukka 2010

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Protokollien yleiset toiminnot

Netemul -ohjelma Tietojenkäsittelyn koulutusohjelma

1.4. Tietoliikenneohjelmistot eli protokollat

1.4. Tietoliikenneohjelmistot eli protokollat

1.4. Tietoliikenneohjelmistot eli protokollat. Protokollien kerrosrakenne. Mitä monimutkaisuutta?

Tietoliikenne II (2 ov)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Kohina (Noise) 1.4. Tietoliikenneohjelmistot eli protokollat. Signaalin vahvistaminen

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Turvallisuus verkkokerroksella

Turvallisuus verkkokerroksella

AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Tämän luennon aiheet. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. TLS:n turvaama HTTP. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kohina (Noise) Signaalia häiritsee kohina. aina taustalla esiintyvää sähkömagneettista aaltoliikettä terminen kohina. elektronien liikkeestä johtuva,

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) ja Secure Shell (SSH)

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Kuljetuskerroksen protokollat. Luotettava vai epäluotettava? Kuljetuskerroksen tarkoitus. Tietosähkeen kapselointi. Portit ja (de)multipleksaus

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Kuljetuskerroksen protokollat

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Kuljetus/Sovelluskerroksen tietoturvaratkaisut

Reititys. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL. Yhteyden jakaminen Reititys Kytkentä Internet-protokolla TCP, UDP

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

Kytkentäosa. Ulosmenoportit. Jonotus reitittimessä 001..

Salaus ja tietoturva teollisen internetin ratkaisuissa

S Tietoliikennetekniikan perusteet. Piirikytkentäinen evoluutio. Annukka Kiiski

WWW-sivu. Miten Internet toimii? World Wide Web. HTML-koodi. HTTP-istunto URL <#>

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Tietoturva P 5 op

Tietoliikenteen perusteet

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

ELEC-C7241 Tietokoneverkot Sovelluskerros

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Chapter 3 Transport Layer. Kuljetuskerros

IPsec-SA:n perustaminen. Kuljetus/Sovelluskerroksen tietoturvaratkaisut. Luottamuksenhallinta. Arkkitehtuuri Internetin turvallisuudelle

3. IP-kerroksen muita protokollia ja

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

3. Kuljetuskerros 3.1. Kuljetuspalvelu End- to- end

IHTE 1900 Seittiviestintä (syksy 2007) VERKKOTEKNIIKKAA. Mikä on protokolla, IP osoite, nimipalvelu jne ja mihin näitä tarvitaan?

Kuljetuskerroksen protokollat. Kuljetuskerroksen tarkoitus. Luotettava vai epäluotettava?

Kuljetuskerroksen protokollat

Sisäilmaston mittaus hyödyntää langatonta anturiteknologiaa:

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

IPv6. IPv6. IPv6-otsake. Otsakekentät. 16 tavun osoitteet => rajaton määrä osoitteita

CIDR on kikkailua, ei ratkaise IP:n perusongelmia tavoitteita:

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Tehtävä 2: Tietoliikenneprotokolla

Kuva maailmasta Pakettiverkot (Luento 1)

Kuljetuskerroksen protokollat

Tietoliikenteen perusteet: Kokeeseen tulevista asioista

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Monimutkaisempi stop and wait -protokolla

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Tietoliikenteen perusteet. Tietoturvasta

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

SSH Secure Shell & SSH File Transfer

Tietoliikenneohjelmointi. v. 0.01

Kymenlaakson Kyläportaali

Yhteenveto. CSE-C2400 Tietokoneverkot

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

3. Kuljetuskerros 3.1.

Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

001.. Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

itää saada selville P-osoitetta vastaava erkko-osoite. leislähetyksenä ysely: Kenen IPsoite. IP-paketissa on vain vastaanottajan

T Cryptography and Data Security

Turvallinen etäkäyttö Aaltoyliopistossa

OSI-malli. S Tietoliikenneverkot. Miksi kytketään. Välitys ja kytkeminen OSI-mallissa. /XHQWR.\WNHQWlMDUHLWLW\V

Transkriptio:

1 Kommunikoinnin turvallisuus Uhkatekijöistä (käsitelty aikaisemmin) Verkon monitorointi (1) Yhteyden kaappaaminen (2) Reititysmäärityksiä (3) Nimipalvelija (4) Palvelun kieltäminen (5) Piirrä kaaviokuva! TUNNILLA PIIRRETTY KAAVIOKUVIA... TÄSSÄ YHTEYDESSÄ NIITÄ EI ESITETÄ. Tietoliikenneturvallisuus koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys. Päämääränä on varmistaa : 1. Viestin alkuperäisyys, koskemattomuus ja luottamuksellisuus 2. Lähettäjä ja vastaanottaja sekä todentaa heidät 3. Tietoliikennelaitteiden fyysinen turvallisuus 4. Väärinreitityksen estäminen Tietoliikenneturvallisuuteen vaikutetaan: 1. Käytettävän tiedonsiirtovälineet 2. Tiedonsiirtoprotokollat 3. Tietoverkkotopologiat 4. Tietoturvatuotteet, kuten turvasillat ja turvareitittimet 5. Salausvälineet ja salausalgoritmit Ongelmana: nopeasti uusiutuva tekniikka

2 OSI:n eri kerrosten tietoturva OSI määrittelee tietoliikennetoiminnot seitsemään eri kerrokseen. Miten määritellään kyseiset kerrokset? Miten määritellään IP- kerrokset? Tietoturva OSI:n tasolla 1 OSI:n taso 1 (fyysinen yhteys) huolehtii siitä, että sähköksi tai valoksi muutetut bitit siirtyvät siirtotien yli. Tässä kerroksessa on määritelty kaapeloinnit, liittimet, toistimet, lähettimet ja erilaiset liityntästandardit. Kerros sisältää fyysisiä, konkreettisia asioita. Muut kerrokset ovat enemmän tai vähemmän ohjelmistostandardeja. Tietoturvaongelmat: 1. Ei sallittu kytkeytyminen siirtotiehen tai laitteeseen 2. Tiedon sieppaaminen siirtotiestä magneettisesti, optisesti sähkömagneettisesti linkistä ym. 3. Virheellisesti tehty siirtotie tai sen kytkentä 4. Siirtotien tuhoutuminen kaivinkoneen, salamaniskusta, tuhotyöstä ym. seurauksena Siirtotie toteutetaan hyvin monella tekniikalla. Tyypillisiä ovat seuraavat: 1. Koakseli- tai parikaapeli 2. Valokaapeli 3. Linkkiyhteys 4. Matkapuhelimet Tietoturva OSI:n tasolla 2 OSI:n taso 2 (siirtoyhteys) huolehtii tiedon luotettavasta siirtämisestä fyysistä siirtotietä pitkin Tällä kerroksella data on paketoitu ja paketteihin lisätty erilaisia tarkistuskoodeja. Siirtotason tietoturvaongelmia ovat mm. seuraavat: Virheellisten bittien pääseminen läpi ilman, että virheentarkistus paljastaa sen. Mitä pienempi on virhesuhde sen vähemmän on virheellisiä bittejä, mutta sen helpommin data on siepattavissa.

3 Tyypillinen virhesuhde 1:10 000 1:100 000 datapakein tai sen osan sieppaaminen. Ethernet-paketista voidaan poimia haluttu tieto, koska periaatteet ovat julkisia ja hyvin määriteltyjä. Tietoturva OSI:n tasolla 3 OSI:n taso 3 eli verkkokerros huolehtii paketin reitittämisestä erilaisten verkkojen yli oikeaan aliverkko-osoitteeseen. Internetin tietoturvaongelmat ovat pääosin verkkokerroksessa tapahtuvia. Olennaisena osana tässä kerroksessa ovat verkko-osoitteet ja niiden oikeellisuus. Tietoturvaongelmat ovat: 1. Paketin joutuminen väärään osoitteeseen. Tähän voi olla useita erilaisia syitä: tahaton, satunnainen virhe tai tahallisesti tehty virhe 2. Paketin häviäminen tai tuplautuminen 3. Paketin liian hidas kulkeutuminen Voidaanko verkko-osoite salata? Tietoturva OSI:n tasolla 4 OSI:n neljäs kerros eli kuljetuskerros tarjoaa suoran yhteyden liikennöivien järjestelmien välillä. Kuljetuskerros häivyttää alla olevat erilaiset siirtojärjestelmät ja tästä ylöspäin palvelut ovat suunnilleen samanlaisia kuin paikallisessa koneessa olevat palvelut. Kuljetusprotokollat sisältävät yleensä virheen korjauksen ja uudelleen lähetyksen. Kuljetuskerroksen tietoturvaongelmat liittyvät siirtovirheisiin eli tiedon varmaan kuljetukseen lähdeosoitteesta kohdeosoitteeseen. Tietoturva OSI:n tasolla 5 OSI:n taso viisi eli yhteysjaksokerros muodostaa ja purkaa yhteydet liikennöivien sovellutusten välille. Tällä kerroksella myös jaksotetaan liikenne yhteyden aikana loogisiin osiin.

4 Tietoturvaongelmia yhteysjaksokerroksessa ovat muun muassa, että yhteys voidaan luoda eri sovellutuksella kuin mitä on tarkoitettu ja näin voidaan päästä käsiksi arkaluontoisiin tietoihin Tietoturva OSI:n tasolla 6 OSI:n taso kuusi eli esitystapakerros määrittelee siirron aikana käytettävän esitystavan ja miten siitä neuvotellaan. Tietoturva OSI:n tasolla 7 OSI:n sovellutuskerros määrittelee sovellutukset ja niiden rajapinnat, joita varten koko yhteys on itse asiassa luotu Sovellutuksia ovat mm. sähköposti, tiedostosiirto, päätekäyttö, tietokantatoiminnot jne. Käyttäjän omat sovellutukset kuten tekstin käsittely ja taulukkolaskenta, voivat käyttää tällä kerroksella olevia sovellutuksia hyödyksi Tietoturvaongelmia ovat mm. 1. Käytetään sellaisia sovellutuksia, jota tiedon haltija ei ole sallinut, joilla päästään käsiksi arkaluontoisin tietoihin 2. Luodaan yhteys eri sovellutuksella kuin mihin yhteyttä käytetään. Näin voidaan saada suuremmat käyttöoikeudet kuin mitä on ollut tarkoitus. Sovellutuskerrokseen ei siis itsessään kuulu mitään tietoturvaongelmia, vaan ne johtuvat ihmisten käyttäytymisestä.

5 Internet- protokollista - verkko on internet-tyyppiä - käyttää kuljetuskerroksessa TCP- tai UDP-protokollaa - käyttää verkkokerroksessa Internet-protokollaa (IP) informaation siirtämiseksi verkon yli. - em. protokollat ovat Internetin ydinosa; turvaominaisuudet puuttuvat niistä kokonaan. Viesti: tietokokonaisuus, joka kuljetetaan lähettäjältä vastaanottajalle. Paketti: yksikkö, joihin viesti pilkotaan ja jotka siirretään verkon solmusta toiseen. IP-protokolla Verkkokerros (IP-protokollaa käyttäen) jakaa viestin ns. IP - paketteihin, jotka se sitten reitittää ja lähettää verkon poikki vastaanottajalle. IP on ns. epäluotettava ja yhteydetön protokolla: se ei takaa pakettien perillemenoa eikä (ainakaan välttämättä) ilmoita lähettävälle koneelle mikäli välitys ei onnistu. Verkko on dynaaminen kokonaisuus; on mahdollista että samasta lähteestä samaan kohteeseen osoitetut paketit kulkevat eri reittejä. Verkossa on lisäksi viiveitä, joten ei ole varmaa, että paketit saapuvat perille alkuperäisessä järjestyksessä. Kahden eri IP - paketin välillä ei ole tilatietoja: IP on yhteydetön. IP - protokollan versiomerkintöjä: IPv4 ja IPv6. IP - paketti jakaantuu osoiteosaan ja dataosaan

6 Kuljetusprotokollat Kuljetuskerroksen protokollat: TCP (Transport Control Protocol) ja UDP (User Datagram Protocol). Verkkokerros välittää tietoja isäntäkoneiden välillä, kuljetuskerros sovellusten välillä. TCP on yhteyspohjainen protokolla, joka käyttää luotettavaa tavuvirtapalvelua tietojen lähettämiseen ja vastaanottamiseen, se tarjoaa virtuaalisen piirin verkkokommunikointia varten. Esim. FTP ja e-mail UDP on epäluotettava, yhteydetön protokolla, joka käyttää tietopaketteja viestien lähettämiseen ja vastaanottamiseen. Yksinkertaiset sovellukset käyttävät UDP:tä. Kuljetusprotokollat tallentavat lähde- ja kohdeportin numerot. Koska ne ovat kuljetuskerroksen protokollia, ne toimivat verkkokerroksen päällä. TCP käyttää luotettavuuden saavuttamiseksi järjestysnumeroja, hyväksymisnumeroja, kolminkertaista kädenpuristusta ja ajastimia. TCP - yhteys tunnistetaan neliköstä: (lähdeportti, lähteen IP-osoite, kohteen IP-osoite, kohdeportti). TCP - yhteyden katsotaan alkavan portista ja päättyvän porttiin. TCP käyttää kolminkertaista kädenpuristusta yhteyden perustamiseen ja lopettamiseen. Yhteyden perustaminen lähteestä A kohteeseen B: 1. A -> B: SYN 2. B -> A: SYN + ACK 3. A -> B: ACK Yhteyden lopettaminen: 1. A -> B: FIN 2. B -> A: FIN + ACK 3. A -> B: ACK TCP-ajastimet: CET (Connection Establishment Timer) FIN-WAIT TIME-WAIT KEEP-ALIVE TCP/IP protokollapinoa perustettaessa ja suunniteltaessa turvallisuus ei ollut ensisijainen vaatimus.

7 TCP/IP - protokollapinon haavoittuvuuksia SYN-hyökkäykset Kun A lähettää SYN-viestin B:lle, B pitää kirjaa osittain avatusta yhteydestä ainakin 75 sekunnin ajan. Jos SYN-viestejä tulee paljon, eikä B:n lähettämiin SYN+ACK -vastausviesteihin tule kuittausta, B:n puskuri täyttyy, eikä se enää kirjaa uusia yhteyksiä. IP-huijaus Hyökkääjä väärentää IP - paketin lähdeosoitteen. Järjestysnumeron arvaus Jos hyökkääjä tuntee systeemin järjestysnumerongenerointimekanismia, hän kykenee arvaamaan viestin ISN-numeron. Lähdereititys Hyökkääjä väärentää IP - paketin lähdereitityksen ja saa sen kulkemaan itselleen edullista reittiä. Yhteyden kaappaus Hyökkääjä asettuu kommunikoivien osapuolten väliin, saattaa nämä epätasapainoon ja lähettää liikenteeseen väärennettyjä paketteja. RIP-hyökkäys (RIP Routing Information Protocol) RIP-protokollaa käytetään reititystietojen lähettämiseen verkkojen sisällä ja välillä. Hyökkääjä väärentää RIP - paketteja ja saa viestin kulkemaan haluamaansa reittiä. ICMP-hyökkäys Internet Control Message -protokollaa käytetään ilmoitustyyppisten viestien lähettämiseen kohdejärjestelmälle. Autentikoinnin puuttuessa lukuisten ICMP-viestien lähetys saattaa johtaa kohdejärjestelmän tukkeutumiseen ja palvelunkieltäminen (denial of service) - tyyppiseen tilanteeseen. DNS-hyökkäys Domain Name Service on protokolla, joka liittää IP-osoitteet isäntäkoneiden nimiin ja päinvastoin. Jos hyökkääjä kykenee murtautumaan DNS-serverille, hän voi ohjata IPpaketit haluamaansa osoitteeseen.

8 Verkkotason tietoturva - ei riipu sovellutuksesta eikä käyttäjästä - sisältää tavanomaiset turvapalvelut - tunnetaan myös nimellä IP turvallisuus - sama kuin IPSec protokolla IPSecin sovellutuksia: - VPN rakenteet (Virtual Private Network) - etäyhteys järjestelmään - yritysten välinen yhteys verkon yli - sähköinen kaupankäynti Turvajärjestelmä on toteutettu IP-otsikoiden lisäotsikkoina, jotka ovat AH (Authentication Header) autentikointia varten ja ESP (Encapsulating Security Payload) salausta varten. AH-protokollasta: - takaa IP-pakettien eheyden ja alkuperän - autentikoi käyttäjän ja/tai sovellutuksen - ehkäisee toistohyökkäyksiä - käyttää datan autentikoinnissa MAC-koodia ESP-protokollasta: - takaa IP-paketin sisällön luottamuksellisuuden - ehkäisee osittain tietoliikennelaskennan - sisältää tarvittaessa autentikointioption Kuljetuskerroksen tietoturva Työasemakohtainen salaus sijoittuu verkko-, kuljetus- tai sovelluskerroksiin. Pyrkimys on kaikilla tasoilla standardoituihin turvaprotokolliin. Jos suojaus on alemmalla tasolla, se on käyttäjälle ja sovellutukselle näkymätöntä ja kokonaisvaltaista. Jos suojaus on ylemmällä, menetelmien räätälöinti on mahdollista. Tietoturvan sijoituskerroksen ratkaisee tarve ja sovellusympäristö: - millaisia palveluja - mitä vastaan - mihin sovelluksiin - missä teknillisessä ympäristössä Kuljetuskerroksen tietoturvaprotokollat: - tukevat yhteyspohjaisia kuljetuspalveluja (TCP/IP) - eivät tue yhteydettömiä kuljetuspalveluja (UDP/IP)

9 - eivät automaattisesti toimi sovellusyhdyskäytävässä - suunniteltu turvaamaan asiakkaan ja palvelimenvälisen kommunikoinnin Eri protokollia: SSH, SSL ja TLS SSH (Secure Shell) - suojaa pääteyhteyksiä: palvelimen tai työaseman etäkäyttö (kirjautuminen, käskyjen anto, tiedonsiirto), pankkipalvelut, sähköposti - suomalainen kehittäjä: Tatu Ylönen - käyttää eurooppalaista kryptotekniikkaa - on suhteellisen yksinkertainen - soveltaa vahvaa salausta ja autentikointia (käyttäjä/työasema, data) - sisältää pakkausoption ja tunnelointimahdollisuuden - korvaa turvattomat telnet- ja ftp-yhteydet (sekä UNIXin r-komennot) - vain autentikointi -vaihto (AOE) - on Internet-standardi - alunperin kaksi versiota: julkinen (1995) ja kaupallinen (F-Secure SSH) - manuaalinen (julkisten) avainten jakelu SSH suojaa mm. seuraavilta hyökkäyksiltä: - IP-huijaus - IP-lähdereitityksen väärentäminen - DNS-väärentäminen - salasanojen kaappaus - datan muuntaminen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute