Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012



Samankaltaiset tiedostot
Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

Tietoturvan perusteet. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Salausmenetelmät (ei käsitellä tällä kurssilla)

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

Miten Internet toimii. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

OSI ja Protokollapino

Tietoturvallisuus. Kirja sivut

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Tietosuojaseloste. Trimedia Oy

Kymenlaakson Kyläportaali

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Tietoturva-kurssit: kryptografian perusteet IPSec

Miksi? Miksi? Miten? S Verkkopalvelujen tuotanto Luento 2: Verkko osoitteiden manipulaatiopalvelut. Internet

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

T Tietokoneverkot kertaus

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

Yhteenveto / kertaus. Tuomas Aura T Johdatus Tietoliikenteeseen kevät 2013

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

1.1 Palomuuri suunnitelma

- ai miten niin?

Linux palomuurina (iptables) sekä squid-proxy

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Kuljetus- ja verkkokerrokset. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2011

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

T Yritysturvallisuuden seminaari

Osoitemanipulaation syitä. Osoitemanipulaation syitä. Miten? S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2014

Pilvipalveluiden arvioinnin haasteet

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Osoitemanipulaation syitä. Miten? Vaihtoehtoja. S Verkkopalvelujen tuotanto Luento 4: Verkko osoitteiden manipulaatiopalvelut.

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Tutkimus web-palveluista (1996)

3. Kuljetuskerros 3.1. Kuljetuspalvelu

0.1 Internet-verkon perustoiminta

TIETOTURVALLISUUDESTA

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Yhteenveto / kertaus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Tietoturva. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2010

Yhteenveto / kertaus. Tuomas Aura T Johdatus Tietoliikenteeseen kevät 2012

Diplomityöseminaari Teknillinen Korkeakoulu

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Tietoturvan haasteet grideille

ELEC-C7241 Tietokoneverkot Sovelluskerros

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Tietoliikenteen perusteet. Tietoturvasta

TCP/IP-protokollat ja DNS

1. Tietokonejärjestelmien turvauhat

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Sisällys. Johdanto. Ohjeet. Tarkistuslista ennen asennusta. Tiedostopäätteet ja URLit, jotka verkon/palomuurin tulee sallia

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

PK-yrityksen tietoturvasuunnitelman laatiminen

Linkkikerros, tiedonsiirron perusteet. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2013

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Palomuurin asennus ja käyttöönotto

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2012

Tikon Ostolaskujenkäsittely versio SP1

Teleyrityksen mahdollisuudet rajoittaa verkkohyökkäyksiä. Jorma Mellin Teknologiajohtaja TDC Oy

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Turvallinen etäkäyttö Aaltoyliopistossa

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

koostuu toimenpiteistä, joilla varmistetaan televerkoissa välitettävän tietojen luottamuksellisuus, eheys ja käytettävyys.

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

ELEC-C7241 Tietokoneverkot Kuljetuskerros

Kytkimet, reitittimet, palomuurit

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

Tietoliikenteen perusteet. Tietoturvasta. Kurose, Ross: Ch 1.6, Ch 8.1, Ch Tietoliikenteen perusteet /2009/ Liisa Marttinen 1

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Tietoturva Helsingin yliopiston tietojenkäsittelytieteen laitoksella. Taustaa: Taustaa: Taustaa Periaatteita Fyysinen tietoturva Palomuurit

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Directory Information Tree

Siirtyminen IPv6 yhteyskäytäntöön

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Muokkaa otsikon perustyyliä napsauttamalla

Pertti Pennanen OSI 1 (4) EDUPOLI ICTPro

Kertaus. Jyry Suvilehto T Johdatus tietoliikenteeseen ja multimediatekniikkaan kevät 2014

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

S Teletekniikan perusteet

CT30A3500 Tietoturvan Perusteet : Verkon turva

DNA LAAJAKAISTA TUOTEKUVAUS

Tulevaisuuden Internet. Sasu Tarkoma

Transkriptio:

Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012

Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys 2. Tietoturvauhkien analyysi Case Oodi 2

RAJAVALVONTA: PALOMUURIT 3

Palomuuri Sisäverkko Internet Palomuuri suodattaa liikennettä turvallisen ja turvattoman vyöhykkeen välillä Sisäverkon ja Internetin välillä; tietokoneen ja tietoverkon välillä Palomuurin tarkoitus: Vähentää havoittuvuutta pienentämällä avoimia rajapintoja Toteuttaa tietoturvasääntöjä Perinteinen turvallisuuden malli: järjestelmä jaetaan alueisiin ja liikennettä niiden rajojen yli valvotaan (perimeter security) 4

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 5

NAT palomuurina NAT tekee muunnoksen verkon sisäisten ja ulkoisten osoitteiden välillä 10.0.0.2 10.0.0.3 src=2.3.4.5:80 dst=10.0.0.2:3344 TCP SYN ACK 10.0.0.1 NAT 1.2.3.4 src=2.3.4.5:80 dst=1.2.3.4:4567 TCP SYN ACK Internet Sisäinen IP-os. Portti Ulkoinen IP-os. Portti 10.0.0.2 3344 1.2.3.4 4567... 2.3.4.5 3.4.5.6 yksityiset IP-osoitteet sisäverkossa julkinen Internet 6

NAT palomuurina NAT suojaa verkkoa: Yhteys aloitettava (TCP SYN) sisäverkosta; Internetistä ei mahdollista luoda yhteyttä sisäverkkoon Piilottaa sisäverkon osoitteet ja rakenteen NAT tukee yleensä TCP ja UDPprotokollia, joskus myös ICMP:tä Ensimmäinen paketti lähetettävä aina ulospäin Q: Voiko hyökkääjä arvata porttinumeron ja lähettää IP-paketteja sisäverkon koneelle? 7

NAT palomuurina NAT-toteutuksissa on paljon eroja Mitä enemmän tietoa NAT muistaa yhteydestä, sitä vaikeampaa hyökkääjän on lähettää paketteja sen läpi Ylläpitäjä voi avata NAT:iin pysyviä aukkoja 10.0.0.2 10.0.0.3 src=10.0.0.2:3344 dst=2.3.4.5:80 TCP SYN 10.0.0.1 NAT 1.2.3.4 src=1.2.3.4:4567 dst=2.3.4.5:80 TCP SYN Internet 2.3.4.5 3.4.5.6 Tyyppi Sisäinen IP-os. Portti Ulkoinen IP-os. Portti Palvelimen IP-os. Portti - 10.0.0.2 3344 1.2.3.4 4567 2.3.4.5 80... pysyvä... 10.0.0.3... 80... 1.2.3.4... 80... *... * 8

Palomuurisäännöt Entä jos verkossa ei ole NAT:ia? Reitin tai erillinen palomuuri voi silti pitää kirjaa yhteyksistä ja suodattaa niitä Palomuurisäännöillä verkon (tai koneen) ylläpitäjä estää ja sallii yhteyksiä Yhteydet ulospäin vain tiettyihin porttinumeroihin Yhteydet sisäänpäin tiettyihin koneisiin ja portteihin Esim: Yhteyde n suunta Protokolla Sisäinen IP-osoite Ulos TCP 1.2.3.0/24 Ulos UDP 1.2.3.0/24 Portti 1024 65535 1024 65535 Ulkoinen IP-osoite Sisään TCP 1.2.3.101 80,443 * Portti Toiminto * 22,80,443 Salli SSH,HTTP, HTTPS * 53 Salli DNS 1024 65525 Salli Oma webpalvelin * * * * * * Estä Oletussääntö 9

Palomuurityypit A. Tilaton palomuuri Jokainen paketti käsitellään erikseen ja sallitaan tai estetään vertaamalla otsakkeita sääntöihin B. Tilallinen palomuuri (stateful packet inspection) Tavallisin palomuurityyppi, esim. NAT Palomuuri pitää kirjaa avoimista yhteyksistä C. Sovellustason palomuuri 1. Pakettien syvätarkastus (deep packet inspection) Palomuuri tutkii pakettien sisältöä tai rekonstruoi TCP-tavuvirran Esim. URL-suodatus, virustarkistus, Internet-sensuuri 2. Välityspalvelin (application proxy): Esim. ohjataan ulos menevät HTTP-yhteydet välityspalvelimelle ja suodatetaan URL:n ja sisällön perusteella Esim. estetään palomuurisäännöillä sähköpostin välitys muiden kuin yhden SMTP-palvelimen kautta, jossa virustarkistus Palomuurina toimii yleensä reititin, sovellustasolla erillinen palomuurilaite C B A? Sovelluskerros, middleware Kuljetuskerros: TCP, UDP Verkkokerros: IPv4, IPv6 Linkkikerros 10

Etäkäyttöyhteydet Sisäverkko Internet Virtuaaliverkkoyhteys (VPN): Liikkuvat tietokone kuuluu loogisesti sisäverkkoon IP-paketit koneesta ohjataan suojattua tunnelia sisäverkkoon VPN voi myös yhdistää useita sisäverkkoja yhdeksi loogiseksi virtuaaliverkoksi VPN-tunneli suojataan kryptografialla SSL-VPN, PPTP, SSH tai IPsec Todennettu avaintenvaihto + datan salaus ja todennus mobiililaitteen ja palomuurin tai erillisen VPN-palvelimen välillä 11

TIETOTURVAUHKIEN ANALYYSI 12

Tietoturvan suunnittelu Organisaation tai järjestelmän tietoturvan suunnittelu: Tunnistetaan suojattava tieto-omaisuus Tunnistetaan uhkat: fyysiset, tietotekniset ja sosiaaliset mitä pahaa voi tapahtua? kuka? Tehdään riski-analyysi: vahinkojen suuruus ja todennäköisyys, uhkien priorisointi Päätetään suojauksen tavoitteet Päätetään suojauksen keinot: tekniset suojaukset, prosessit, vastuut ja resurssit Tietoturva on jatkuva prosessi: Turvatilannetta on valvottava; suojauksia päivitetään uhkien muuttuessa 13

Kertaus: tietoturvan tavoitteet Tietoturvatavoitteita: (CIA = Confidentiality, Integrity, Availability) Tiedon luottamuksellisuus Tiedon eheys Tiedon ja palvelujen saatavuus Lisäksi pääsynvalvonta (access control) Vain valtuutut tahot saavat käyttää tietoa tai palvelua Esim. käyttäjän identiteetin todentaminen ja käyttöoikeuksien tarkistus 14

Uhka-analyysi Esimerkki: opintorekisteri Mitä suojeltavaa tietoa? Mitä tietojärjestelmän osia? Mitä uhkia, hyökkääjiä? Uhkien priorisointi? Tarkastellaan aina koko järjestelmää, ei vain tietoliikennettä Käytitkö ensin CIA-mallia? Riittääkö se? Muistitko sisäpiirin uhkat? 15

Opintorekisteri Suojeltava omaisuus: Opintosuoritukset, opiskelijoiden henkilötiedot Uhkat: Henkilötietojen vuotaminen (julkisuuslain mukaan julkista!) Tiedon luvaton muokkaaminen, esim. väärennetyt suoritukset Luvaton pääsy tietokantaan ylläpitäjän tunnuksella Rekisterin ylläpitäjän salasanan kuuntelu Palvelinohjelmistojen heikkouksien hyväksikäyttö Sosiaalinen hakkerointi Ylläpitäjän rekisteriin siirtämän datan muokkaus verkossa Suoritustiedon tuhoutuminen Voiko ylläpitäjä poistaa tietoa? 3. Harmillista ja todennäköistä 1. Kriittistä vaikka harvinaista 1. Tärkeää ja todennäköistä Palvelun saatavuuden tilapäiset häiriöt Keskeiset tietoturvatavoitteet: Pääsynvalvonta etenkin tiedon poistolle ja kirjoittamiselle 3. Harmillista ja yleistä Huom! Tämä on vain yksi näkemys ja uhkakuvat voivat muuttua 4. Melko epätodennäköistä Rekisterin ylläpitäjien todentaminen, salasanan ja datan suojaus Opiskelijakäyttäjän todentaminen Ohjelmistojen luotettavuus 16

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute