Haluaisin kiittää työni ohjaajia Timo Paajasta sekä Marianne Matilaista.

VERKONHALLINTA LAHDEN AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma Tietoliikennetekniikan suuntautumisvaihtoehto Opinnäytetyö Kevät 2006 Mikko Hotti

ALKUSANAT Tässä opinnäytetyössä käyn läpi TCP/IP -verkkojenhallintaa sekä tutustun verkkojenhallintaan käytettäviin verkonhallintatyökaluihin. Opinnäytetyön alussa käsittelen verkonhallintaa ja SNMP-protokollaa, joka on tällä hetkellä verkonhallintatyökalujen yleisimmin käyttämä protokolla. Verkonhallintatyökaluja, joihin työssä tutustun, ovat verkonvalvontajärjestelmä Infinistream i1610, verkonanalysointisovellukset Ethereal, TCPDump ja Windump sekä verkon suorituskyvyn mittaukseen käytettävä Iperf ja verkonlaitteiden valvontaan käytettävä Getif -sovellus. Haluaisin kiittää työni ohjaajia Timo Paajasta sekä Marianne Matilaista. Vantaalla 29. huhtikuuta 2006 Mikko Hotti

Lahden ammattikorkeakoulu Tietoliikennetekniikan koulutusohjelma HOTTI, MIKKO: Verkonhallinta Tietoliikennetekniikan opinnäytetyö, 56 sivua Kevät 2006 TIIVISTELMÄ Opinnäytetyö käsittelee TCP/IP verkkojen verkonhallintaa sekä SNMP -protokollan toimintaa. Verkonhallinta jaetaan usein sekä verkonvalvontaan että verkonhallintaan. Tällöin verkonvalvonnalla tarkoitetaan vikojen, käytön, ja suorituskyvyn hallintaa ja verkonhallinnalla kokoonpanon ja turvallisuuden hallintaa. SNMP -protokolla on tällä hetkellä verkonhallintatyökalujen pääasiassa käyttämä verkonhallintaprotokolla, joka mahdollistaa verkonlaitteiden valvonnan ja hallinnan hallinta-asemalta. SNMP:ssä hallittavaa tietokantaa nimitetään MIB:ksi (Management Information Base). Tietokanta sisältää muuttujat hallittavista tai tarkkailtavista kohteista, esimerkiksi portin tai laitteen tilan tiedoista. Verkon ongelmien selvittämistä tai analysointia voidaan toteuttaa verkonliikennettä valvomalla. Liikenteen valvontaa voidaan toteuttaa esimerkiksi kaappaamalla verkonliikennettä kytkimien tai keskittimien avulla verkon analysointilaitteelle. Työssä tutkitaan erilaisia verkonhallinta työkaluja sekä verrataan verkon valvontaan käytettävää Infinistream -järjestelmää muihin verkon valvontatyökaluihin, joita ovat Ethereal, TCPDump ja WinDump. Infinistream -järjestelmä mahdollistaa verkon ongelmien tai tietoturvaloukkauksien todistamisen jopa kuukauden tapahtuman jälkeen. Ethereal-, TCPDump- ja WinDump -sovellukset on tarkoitettu lähinnä reaaliaikaiseen vianhallintaan. Muita tutkittuja verkonhallintatyökaluja ovat verkonsuorituskyvyn mittaukseen tarkoitettu Iperf sekä verkonlaitteiden valvontaan käytettävä Getif. Infinistream -järjestelmä soveltuu verkon liikenteen tallentamisen ansiosta parhaiten sellaisiin verkkoihin, joissa verkon liikenne on erittäin arkaluontoista. Yritysmaailmassa verkonhallinnan tärkeys tulee jatkossa korostumaan entisestään. Tulevaisuudessa verkot ovat yhä tärkeämpiä yritysten toiminnan kannalta, ja katkoksien merkitys tulee kasvamaan, sillä katkokset merkitsevät tulojen menetystä. Nämä verkon ongelmatilanteet voidaan minimoida hyvin hoidetun verkonhallinnan avulla. Avainsanat: verkonhallinta, verkonvalvonta, SNMP, MIB

Lahti University of Applied Sciences Faculty of Technology HOTTI, MIKKO: Network management Bachelor s Thesis in Telecommunications Technology, 56 pages Spring 2006 ABSTRACT The objective of this thesis was to clarify what network management in TCP/IP networks means and how the SNMP protocol works. Network management includes the management of faults, accounting, configuration, performance and security. The SNMP protocol is nowadays the most popular network management protocol, which can be used the monitoring and management of the devices in the network. The database of SNMP is called MIB. MIB includes variables of the objects which can be controlled and monitored. Problems in the network can be solved and analysed by monitoring the network traffic. The monitoring can be implemented by capturing the network traffic to the network analyzer with hubs or switches. In this thesis different network management devices were observed and different network monitoring systems were compared. The devices and systems that were observed and compared were Infinistream, Ethereal, TCPDump, WinDump, IPerf and Getif. The result of the study was that Infinistream is the best analyzer system because it enables the storing of the network traffic. This makes it possible to solve problems in the network afterwards. In the future the importance of network management will be increase. The networks will be more and more important to the corporations, and blackouts in the networks should be minimized. This can be done with good network management. Key words: network management, network monitoring, SNMP, MIB

SISÄLLYS 1 JOHDANTO... 1 1.1 Työn tausta... 1 1.2 Työn tavoitteet... 2 2 VERKONHALLINTA... 3 2.1 Yleistä verkonhallinnasta... 3 2.1 Vikojen hallinta... 4 2.2 Käytönhallinta... 4 2.3 Kokoonpanon hallinta... 5 2.4 Suorituskyvyn hallinta... 5 2.5 Turvallisuuden hallinta.... 6 3 SNMP... 7 3.1 Yleistä SNMP:stä... 7 3.1 SNMP:n esittely... 8 3.1.1 SNMP-viestit... 9 3.1.2 SNMP:n turvallisuus... 10 3.1.3 SNMPv2... 10 3.1.4 SNMPv3... 11 3.2 MIB... 11 4 VERKONVALVONTA... 14 4.1 Yleistä verkonvalvonnasta... 14 5 VERKON LIIKENTEEN VALVONTA... 16 5.1 Yleistä... 16 5.2 Ciscon Catalyst -sarja... 17 5.2.1 Ciscon CatOS -versio... 18 5.2.2 Ciscon IOS -versio... 19 6 INFINISTREAM I1610... 21 6.1 Yleistä... 21 6.3 Console -ohjelmiston asennus... 28 6.4 Infinistream Console -ohjelman käyttö... 29 6.5 Yhteenveto... 32 7 ETHEREAL... 34 7.1 Yleistä... 34 7.2 Käyttö... 34 7.4 Yhteenveto... 36 8 TCPDUMP... 37 8.1 Yleistä... 37 8.2 Asennus... 38

8.3 Käyttö... 39 8.4 WinDump... 40 8.5 Windump:n Käyttö... 41 8.3 Yhteenveto... 42 9 MUITA VERKONHALLINTAOHJELMISTOJA... 44 9.1 Iperf... 44 9.1.1 Käyttö... 44 9.1.2 Yhteenveto... 46 9.2 GETIF... 47 9.2.1 Asennus... 47 9.2.2 Käyttö... 48 9.2.3 Yhteenveto... 49 10 VERKONVALVONTAJÄRJESTELMIEN/OHJELMISTOJEN VERTAILU.. 50 11 PÄÄTÄNTÄ... 52 LÄHTEET... 54

LYHENNELUETTELO BER Basic Encoding Rules Yksinkertainen koodaus CatOS Catalyst Operating Systems Ciscon Catalyst -sarjan käyttöjärjestelmä DSS Distributed Sniffer Systems Jaettu Sniffer -järjestelmä DNS Domain Name Server Nimipalvelin HTTP Hyper Text Transfer Protocol Protokolla, jota käytetään internetissä ICMP Internet Control Message Protocol TCP/IP-pinon kontrolliprotokolla ISO International Organization for Standardization Kansainvälinen standardisoimisjärjestö IP Internet Protocol TCP/IP -protokollan ydin IOS Internetwork Operating Systems Ciscon-laitteiden käyttöjärjestelmä MAC Media Access Control Verkkolaitteiden yksilöllinen osoite MIB Management Information Base Tietokanta, laitteiden hallintaan NTP Network Time Protocol Protokolla aikatiedon välittämiseen OSI Open Systems Interconnections Tiedonsiirtoprotokolla pino POP3 Post Office Protocol Sähköpostin välittämis-protokolla RAID Redudant Array of Independent Disk Järjestelmä tiedon tallentamisesta kovalevylle RFC Request for Comments Internetin käytäntöjä kuvaavia asiakirjoja RSPAN Remote SPAN Monitorointi portti etävalvontaan SMI Structure and identification of Management Information Määrittelee säännöt MIB-olioiden luomiseen SMTP Simple Mail Transfer Protocol - Sähköpostin välittämisprotokolla SNMP Simple Network Management Protocol Protokolla verkonhallintaan SNMP PDU SNMP Protocol Data Unit Kuvaa SNMP:n eri viestejä SPAN Switched Port Analyzer Monitorointi portti SSH Secure Shell Protokolla turvalliseen tiedonsiirtoon TCP Transmission Control Protocol Tietoliikenneprotokolla

TCP/IP Transmission Control Protocol/Internet Protocol Tietoverkkoprotokollien yhdistelmä UDP User Datagram Protocol Tietoliikenneprotokolla VLAN Virtual Local Area Network Tekniikka, jolla fyysinen tietoliikenneverkko voidaan jakaa loogisesti osiin

1 JOHDANTO 1.1 Työn tausta Nykypäivänä lähes jokainen yritys tai organisaatio käsittää jonkinlaisen tietoverkon. Nämä tietoverkot voivat olla joko yrityksen tai organisaation sisäisiä verkkoja tai sitten verkkoja, jotka on yhdistetty maailmanlaajuiseen tietoverkkoon eli Internetiin. Myös monet yksityishenkilöiden kotikoneet ovat yhdistetty Internetiin. Näiden jokaisen pienenkin tietoverkon rakentamiseen ja ylläpitoon käytetään jossakin määrin erilaisia verkonhallintatyökaluja. Mitä suuremmasta tietoverkosta on kyse, sitä tärkeämpiä nämä verkonhallintatyökalut ovat verkon toiminnan kannalta. Verkonhallintatyökalujen tarkoitus on helpottaa ja parantaa suurien ja monimutkaisten verkkojen ylläpitoa ja -hallintaa. Pelkillä manuaalisilla verkonhallintatyökaluilla ei suurien tietoverkkojen hallinta ole enää mahdollista. Tässä opinnäytetyössä käydään läpi, mitä tarkoitetaan verkonhallinnalla. Työssä käydään myös läpi SNMP (Simple Network Management Protocol) -protokollan toimintaa. SNMP on TCP/IP (Transmission Control Protocol/Internet Protocol) - verkkojen hallintaan suunniteltu verkonhallintaprotokolla, ja se on tällä hetkellä kaikkein yleisin verkonhallintatyökalujen käyttämä protokolla. Perinteinen verkonhallinta koostuu sekä verkonvalvonnasta että verkonhallinnasta. Verkonhallintatyökaluilla tarkoitetaankin yleensä sekä verkonvalvonta- että verkonhallintatyökaluja.

2 1.2 Työn tavoitteet Opinnäytetyön tavoitteena on ymmärtää, mitä verkonhallinnalla tarkoitetaan sekä selvittää tärkeimmän verkonhallintaprotokollan eli SNMP:n toiminta. SNMP on verkonhallintatyökalujen yleisimmin käyttämä protokolla, ja siksi sen toiminnan ymmärtäminen on hyvin tärkeää. Opinnäytetyön tavoitteena on myös käydä läpi verkonvalvontaan käytettävän Infinistream i1610 -järjestelmän asentaminen sekä tutkia järjestelmästä saatavat hyödyt verrattuna muihin verkonvalvonta -järjestelmiin tai -sovelluksiin. Lisäksi tarkoitus on myös tutkia muita saatavilla olevia verkonhallintatyökaluja ja niiden soveltuvuutta eri tarkoituksiin. Työssä ei ole kuitenkaan tarkoitus tutustua työasemien- ja palvelinten -hallintaan tarkoitettuihin työkaluihin, vaan työssä on tarkoitus perehtyä verkonhallintaan, lähinnä verkon aktiivilaitteiden kannalta. Verkonhallinta on valittu päättötyön aiheeksi, koska se on yksi tärkeä osa toimivan tietoliikenneverkon rakentamisessa sekä toiminnallisuuden ylläpitämisessä. Päättötyössä tutustutaan erilaisiin verkonhallintatyökaluihin, koska nykyään niitä on saatavilla paljon erilaisia, ja näistä työkaluista jokaisen yrityksen-, organisaation- tai minkä tahansa muun verkon -ylläpitäjän täytyisi osata valita itselleen parhaiten sopivat verkonhallintatyökalut.

3 2 VERKONHALLINTA 2.1 Yleistä verkonhallinnasta Tänä päivänä lähes jokaisella yrityksellä tai organisaatiolla on jonkinlainen tietoverkko. Nämä verkot ovat nykyään yrityksen tai organisaation toiminnan kannalta yhä tarpeellisempia. Tällaisten verkkojen toimimattomuus tai huono suorituskyky voi aiheuttaa yritykselle tai organisaatiolle korvaamatonta haittaa. Tällaista haittaa on esimerkiksi tuotannon tai toiminnan viivästyminen tai jopa keskeytys, joista voi seurata tulojen menetystä. (Stallings 1996, 1.) Erilaisten verkkojen lisääntyessä ja laajentuessa myös verkkoja käyttävät järjestelmät sekä käyttäjämäärät ovat lisääntyneet. Siksi nämä eri yritysten ja organisaatioiden verkot ovat yhä monimutkaisempia, ja näiden verkkojen rakentamiseen sekä hallintaan tarvitaan yhä parempia verkonhallintatyökaluja. Pelkillä manuaalisilla verkonhallintatyökaluilla hyvä verkonhallinta on nykyään täysin mahdotonta. (Stallings 1996, 1.) Verkonhallinnan tarkoitus on suunnitella ja rakentaa verkko siten, että se ja sen palvelut toimivat mahdollisimman luotettavasti ja tehokkaasti. Verkonhallinnasta saatavan tiedon avulla on myös tarkoitus vähentää vikatilanteista toipumiseen kuluvaa aikaa tai parhaimmillaan saada vikatilanteet korjattua, ennen kuin siitä seuraa haittaa verkon käyttäjille. Myös verkon ylläpitokustannukset voivat laskea jopa 25 prosenttia hyvin toteutetun verkonhallinnan avulla. (Simoneau P 1999, 4.) Verkonhallinta koostuu ISO (International Organization for Standardization) IEEE 802.1-määrittelemän standardin mukaan viidestä osa-alueesta. Nämä ovat vikojen, käytön, kokoonpanon, suorituskyvyn ja turvallisuuden hallinta. (Stallings W 1996, 3.)

4 Verkonhallinta jaetaan usein vielä erikseen verkonhallintaan sekä verkonvalvontaan. Tällöin verkonhallinnalla tarkoitetaan myös kokoonpanon ja turvallisuuden hallintaa, ja verkonvalvonnalla tarkoitetaan vikojen, käytön ja suorituskyvyn hallintaa. (Stallings W 1996, 57.) 2.1 Vikojen hallinta Vikojen hallinnalla tarkoitetaan sitä, että jokainen olennainen verkkolaite on toimintakunnossa. Jos verkossa havaitaan vikaantuminen, on ensiksi pystyttävä paikallistamaan vikakohta, ja muu verkko on eristettävä vian aiheuttamilta häiriöiltä. Tämän jälkeen vian vaikutukset muuhun verkon toimintaan on pystyttävä minimoimaan laitteiden asetuksia tai verkon loogista rakennetta muuttamalla. Lopuksi vika on korjattava vaihtamalla vikaantuneet laitteet tai komponentit, ja näin palauttaa verkko alkuperäiseen tilaansa. (Stallings W 1996, 4.) Verkonhallintatyökaluilla voidaan parantaa myös vikojen hallintaa, sillä nämä nopeuttavat vikojen havaitsemista, jolloin korjaustoimenpiteet saadaan aloitettua nopeasti. Tämä parantaa sekä vikatilanteista toipumista että myös verkon luotettavuutta. (Niininen 1997.) 2.2 Käytönhallinta Käytönhallinnalla tarkoitetaan verkon liikennemäärien valvontaa ja tallentamista, jotta voidaan muun muassa laskuttaa verkon käyttäjiä. Tämä on erityisen tärkeä toimenpide Internetin palveluntarjoajille, jotka laskuttavat käyttäjiä verkon käytön mukaan, mutta myös aivan tavalliselle yrityksellekin, sillä käytönhallinta helpottaa myös verkon laajennuksien suunnittelua. Ennen kuin verkon laajennusta voidaan miettiä, on tunnettava verkon käyttö tarkasti, jotta osataan rakentaa verkko tarpeiden

5 mukaan. Lisäksi käytönhallinnan avulla voidaan selvittää verkon tehoton käyttö tai käyttäjäoikeuksien väärinkäytökset, jotka kuormittavat verkkoa. Käytönhallinnan avulla voidaan myös yrittää vaikuttaa käyttäjien toimintatapoihin ja saada näin verkonresurssit tuottamaan paremmin. (Stallings W 1996, 5.) 2.3 Kokoonpanon hallinta Kokoonpanon hallinnan tehtäviä ovat sekä verkon alustus että tarvittaessa verkon tai sen osan käynnistäminen ja sammuttaminen hallitusti. Myös mahdollinen verkon osien ja laitteiden uudelleenmäärittäminen kuuluu kokoonpanon hallintaan. Se on erittäin tärkeä osa vikatilanteista toipumisen kannalta. Lisäksi verkonlaitteiden asetus- ja ohjelmistoversiotietojen sekä niiden muutoksien seuraaminen kuuluu kokoonpanon hallintaan. Näitä tietoja tarvitaan usein silloin, kun esimerkiksi vikatilanteissa täytyy tehdä reititysmuutoksia, jotta vikaantunut laite ei aiheuttaisi häiriötä verkon toimiviin osiin. (Stallings W 1996, 5.) 2.4 Suorituskyvyn hallinta Suorituskyvyn hallinta toteutetaan keräämällä ja analysoimalla tietoa verkon suorituskyvystä. Suorituskykyä voidaan seurata muun muassa keräämällä tilastoja verkon välityskyvystä, käyttöasteesta, liikennemääristä, palveluiden saatavuudesta ja vasteajoista. Näiden tilastojen avulla voidaan muun muassa havaita ajoissa ne kohdat, joissa verkonliikenteen määrät kasvavat yhteyden toiminnan kannalta liian suuriksi. Kun nämä kohdat tiedetään ajoissa, ne voidaan korjata, ennen kuin niistä aiheutuu haittaa verkon käyttäjille. Korjaus voidaan tehdä reititysmuutoksien avulla tai liikenteen hajauttamisella voimakkaasti liikennöidyissä verkonosissa. Suorituskyvyn hallinta keskittyy enemmän itse verkon ja laitteiden suorituskykyyn, kuin palveluiden käytön seurantaan. (Stallings W 1996, 6.)

6 2.5 Turvallisuuden hallinta. Turvallisuuden hallinnalla tarkoitetaan verkon ja siihen kytkettyjen laitteiden pääsyn seurantaa, kontrollointia sekä epäilyttävien tietojen tallentamista. Lisäksi se tarkoittaa pääsyä niihin tietoihin, joita on kerätty verkonlaitteista osana verkonhallintaa. Tärkeä osa turvallisuuden hallintaa on myös lokeihin kerättyjen tietojen hallinta. Turvallisuuden hallinta koostuukin suurelta osalta lokien keräämisestä, tallentamisesta ja analysoinnista. (Stallings W 1996, 7.) Turvallisuuden hallinta osana verkonhallintaa keskittyy siis siihen kenellä ja mistä on oikeus päästä käsiksi eri laitteisiin sekä niistä saataviin palveluihin. Se ei siis tarkoita tietojärjestelmien sisäisten käyttäjien tai käyttäjäryhmien oikeuksien määrittelyä. Turvallisuuden hallinta onkin yksi tärkeä osa parantamaan verkon tietoturvaa. Oikein hoidettaessa verkonvalvojalle tulee välittömästi tieto pääsyoikeuksien ylittämisestä tai murtautumisyrityksistä järjestelmiin. Yleensä myös tieto tehokkaasta turvallisuuden hallinnasta vähentää väärinkäytöksiä verkossa. (Hautaniemi 1994.)

7 3 SNMP 3.1 Yleistä SNMP:stä SNMP on tällä hetkellä verkonhallintatyökalujen pääasiallisesti käyttämä verkonhallintaprotokolla. Protokolla eli yhteyskäytäntö on käytäntö tai standardi, joka mahdollistaa laitteiden välisen tiedonvälityksen. SNMP:n avulla voidaan valvoa ja hallita verkonlaitteita esimerkiksi reitittimiä, verkkotulostimia ja työasemia. Kuviosta 1 selviää, mistä verkonhallinta koostuu ja mikä on SNMP -protokollan tehtävä verkonhallinnassa. (Stallings W 1996, 77.) KUVIO 1. Verkonhallinnan osat (Happonen 2005.) Verkonhallinta koostuu siis hallinta-asemasta, hallinta-agenteista ja hallittavasta tietokannasta (MIB, Management Information Base) sekä SNMP-protokollasta. Hallinta-asemalla voidaan siis SNMP-protokollan avulla valvoa ja hallita hallintaagentteja. (Stallings W 1996, 77.)

8 SNMP -protokolla toimii TCP/IP (Transmission Control Protocol/Internet Protocol)- protokollan päällä, mutta käyttää yhteyksiin UDP(User Datagram Protocol)- protokollaa. UDP protokolla on yhteydetön, eikä siksi kuormita verkkoa yhtä paljon kuin TCP/IP, joka on yhteydellinen protokolla. Yhteydettömyys tarkoittaa sitä, että UDP lähettää paketin verkkoon ilman, että lähettäjälle lähetetään kuittaus paketin saapumisesta perille. TCP/IP taas tarjoaa luotettavan yhteyden lähettäjän ja vastaanottajan välille, jolloin lähettäjä on aina tietoinen siitä menikö paketti perille. TCP/IP:ssä jokaisen yhteyden aloitus ja lopetus täytyy ensin sopia lähettäjän ja vastaanottajan välillä, ja siksi se kuormittaa verkkoa enemmän kuin UDP. (Simoneau P 1999, 20.) 3.1 SNMP:n esittely SNMP kehitettiin vuonna 1988, ja lähes heti tämän jälkeen siitä tuli de factostandardi verkonhallintaprotokollaksi. Ensimmäinen käyttöön otettu versio oli SNMPv1 (SNMP version 1), ja sitä pidettiin vain tilapäisenä verkonhallintaprotokollana. Koska mitään parempaa protokollaa ei tullut korvaamaan SNMPv1:stä, siitä tuli pitkäaikainen ratkaisu verkonhallintaprotokollaksi. SNMPv1 on todella yksinkertainen, ja se sisältää useita turvallisuusaukkoja. Ne antavat verkkoon tunkeutujalle mahdollisuuden päästä käsiksi verkossa kulkevaan informaatioon. SNMPv1:n ongelmien ratkaisuksi kehitettiin uusi versio SNMPv2 (SNMP version 2), jossa yritettiin korjata tärkeimmät turvallisuusriskit. Lisäksi se tarjoaa yksityiskohtaisempia verkonhallintaominaisuuksia. SNMPv1 määriteltiin Internetin käytäntöjä eli protokollia kuvaavassa RFC (Reguest For Comments) -asiakirjassa, (RFC 1157:ssä), toukokuussa 1990 ja se oli vielä vuonna 2000 eniten käytetty SNMP:n versio. Viimeiseksi on kehitetty SNMP:n 3.versio, joka tunnetaan nimellä SNMPv3. (Stallings W 1996, 318.)

9 3.1.1 SNMP-viestit SNMP:stä on yritetty tehdä mahdollisimman yksinkertainen, jotta agentin ajaminen ei toisi liikaa vaatimuksia hallittaville laitteille. SNMP:ssä hallinta-asema ja agentti keskustelevat SNMP-viestien avulla. Kuviosta 2 selviävät SNMP-viestien, SNMP PDU:n (Protocol Data Unit) sekä vaihtelevien tietokenttien (variable bindings) rakenteet. Versionumero osoittaa käytettävän SNMP-version, community kentässä välitetään salasana, ja SNMP PDU vaihtelee riippuen siitä, mikä viesti on kyseessä. Vaihtelevien tietokenttien rakenne, sisältää siis tiedot hallittavista objekteista eli muuttujista. (Stallings W 1996, 166.) Kuvio 2. SNMP-viestien osien rakenne (Hautaniemi 1994.) Kuten kuviosta 2 selviää, PDU-versioita on 5 kappaletta. SNMP:n viestit jaetaan kuitenkin periaatteessa kolmeen ryhmään, jotka ovat Get-, Set- ja Trap -viestit. Getrequest-viestillä hallinta-asema pyytää agentilta jonkun muuttujan arvoa, johon agentti vastaa get-response-viestillä. Lähettämällä get-next-request-viestin hallintaasema kysyy MIB-tietokannan seuraavaa arvoa. Tähän agentti vastaa taas getresponse-viestillä. Set reguest-viestillä hallinta-asema lähettää agentille sen muuttujan arvon, joka halutaan muuttaa. Agentti vastaa tähän get-response-viestillä.

10 Trap -viesteillä agentti ilmoittaa hallinta-asemalle verkon tapahtumista, esimerkiksi virhetilanteista. Hallinta-aseman tehtävä on päättää mahdollisista toimenpiteistä. (Stallings W 1996, 196.) 3.1.2 SNMP:n turvallisuus SNMP:n 1. versio sisältää paljon turvallisuusaukkoja. Yksi tärkeimmistä asioista on laitteiden hallintaan liittyvä turvallisuus eli että kuka tahansa ei pääse tekemään hallintaan liittyviä muutoksia, esimerkiksi käynnistämään laitetta uudelleen. Siksi SNMPv1:ssä yritetään varmistaa salasanaa käyttämällä ja tarkistamalla lähettäjän IP (Internet Protocol) -osoite, että erityisesti SET -viestit tulevat oikealta hallintaasemalta. Koska salasana kulkee selväkielisenä ja lähettäjän IP-osoitteen väärentäminenkään ei ole vaikeaa, SNMPv1:en Set-viestit ovat harvoin käytössä. Versiota 1 käytetäänkin lähinnä verkon valvontaa, eikä niinkään hallintaan. (Stallings W 1996, 318.) 3.1.3 SNMPv2 SNMPv2:sen oli tarkoitus parantaa 1.versiossa havaittuja turvallisuuspuutteita sekä mahdollistaa sen käyttämisen myös OSI-pohjaisissa järjestelmissä. Siinä suunniteltiin käytettävän autentikointia ja salausta. SNMPv2:sta tehtiin monia erilaisia toteutuksia esimerkiksi SNMPv2* ja SNMPv2c, joissa yritettiin saada sekä autentikointi että salaus toimimaan. SNMPv2u oli ensimmäinen jollain tavalla toimiva versio, ja se toteutettiin vuonna 1996, lähes kolme vuotta SNMPv2.n määrittämisen jälkeen. SNMPv2 määriteltiin RFC:issä 1441-1450 ja 1452 huhtikuussa 1993. (Stallings W 1996, 318.)

11 SNMPv2:ssa myös toiminnallisuus laajeni niin, että se soveltuu sekä TCP/IP- että OSI -pohjaisiin verkkoihin. SNMPv2 sisältää myös kaksi viestiä, joita ei ollut SNMPv1:ssä. Ne ovat Inform ja Get-bulk. Inform-viestillä kerrotaan toisille hallintaasemille tapahtumista. Get-bulk-viestillä taas voidaan pyytää suurempia tietomääriä kerralla pitkän get-next -pyyntöputken sijasta. (Stallings W 1996, 321.) 3.1.4 SNMPv3 SNMPv3:sen tarkoitus oli viedä päätökseen turvallisuuden parantaminen, joka oli aloitettu jo SNMPv2:ssa. Tarkoituksena oli muun muassa parantaa käyttöoikeuksien ja pääsyn hallintaa, viestin eheyttä ja luottamuksellisuutta sekä turvallista etähallintaa ja -määrittämistä. (Simoneau P 1999, 20.) SNMPv3 versiossa onkin community -tunnusten lisäksi käyttäjäkohtaiset tunnukset, jolloin agentin tietoihin voidaan määritellä tarkempia oikeuksia. Lisäksi SNMPv3 versiossa viestien salaamiseen ja käyttäjätunnuksiin liittyvät salasanat lähetetään salattuna selväkielisen version sijasta. (Happonen 2006.) 3.2 MIB SNMP:ssä hallittavaa tietokantaa nimitetään MIB:ksi eli Management Information Base. Se on tietokanta, joka sisältää muuttujat hallittavista tai tarkkailtavista kohteista, esimerkiksi portin tai laitteen tilan tiedoista. Näitä muuttujia kutsutaan objekteiksi. Kuviossa 3 näkyy MIB:n puumainen rakenne. (Stallings W 1996, 84.)

12 KUVIO 3. MIB:n puumainen rakenne, juuresta lähtien. (Happonen 2005.(muokattu)) MIB:n rakenne on standardisoitu, joten tietty objekti löytyy aina puun samasta paikasta. Poikkeuksen tekevät privaattihaaran(private) osat, jotka voivat sisältää laitteen valmistajakohtaisia tietoja. Kun halutaan viitata esimerkiksi interfacesobjektin tietoihin, käytetään tunnusta 1.3.6.1.2.1.2, koska interfaces-objekti sijaitsee iso.org.dod.internet.mgmt.mib -haaran alla. (Stallings W 1996, 103.) MIB:n objektit koodataan käyttämällä yksinkertaista BER (Basic Encoding Rules) - koodausta. Vaikka se ei ole tiukka tai tehokas kaava koodaukseen, se on laajasti käytetty ja standardisoitu kaava. (Stallings W 1996, 97.)

13 Verkon laitteeseen, jossa MIB -tietokannassa ei ole kaikkia haluttuja objekteja, voidaan niitä usein myös asentaa lisää. Uusia objekteja on saatavana esimerkiksi Ciscon -kytkimiin, erilaisten MIB -ohjelmapakettien avulla tai laitteen päivitysten yhteydessä. (Cisco Systems, Inc 2006.) (Haikonen, J., Hinovsky, J., Paju, A. 2000.) SMI (Structure and identification of Management Information) määrittelee säännöt, joita käytettään MIB:in olioiden luomiseen. SMI:n mukaan kaikilla hallittavilla objekteilla on oltava nimi, rakenne sekä koodaus. Nimi tarkoittaa objektin tunnistetta ja sen on tarkoitus kuvata juuresta löytyviä tietoja. Rakenne määrittelee objektin sisältämän tyypin, joka on esimerkiksi kokonaisluku tai merkkijono. Koodauksella taas määritellään, kuinka objekteihin liittyvä informaatio muotoillaan, ennen kuin se voidaan lähettää verkkoon. (Stallings W 1996, 84.)

14 4 VERKONVALVONTA 4.1 Yleistä verkonvalvonnasta Verkonhallinta jaetaan usein sekä verkonvalvontaan että verkonhallintaan. Tällöin verkonvalvonnalla tarkoitetaan lähinnä vikojen, käytön ja suorituskyvyn hallintaa, koska nämä koostuvat pääasiassa valvonnasta. Vastaavasti kokonpanon ja turvallisuuden hallinta koostuvat enemmän hallinnasta eivätkö niinkään valvonnasta. (Stallings W 1996, 57.) Verkonvalvontaa voi olla monenlaista, ja sitä voidaan toteuttaa erilaisilla verkonvalvontatyökaluilla. Verkonvalvontatyökaluilla, jotka mittaavat verkonlaitteiden saavutettavuutta ja vasteaikoja, sekä tekevät niissä tapahtuvista muutoksista hälytyksiä verkon ylläpitäjille, voidaan parantaa vikojen hallintaa. Käytönhallintaa voidaan parantaa verkonvalvonnalla, joka muun muassa valvoo käyttöoikeuksien väärin käytöksiä tai verkon liikennemääriä. Suorituskyvyn hallintaa taas parannetaan sellaisilla verkonvalvontatyökaluilla, jotka keräävät tietoa esimerkiksi verkon välityskyvystä, käyttöasteesta, liikennemääristä tai palveluiden saatavuudesta ja vasteajoista. (Stallings W 1996, 33.) Verkon liikenteen valvonta on palomuurin ohella toinen tietoturvaa lisäävä tekijä. Verkon liikenteen valvonnalla voidaan muun muassa parantaa sekä vikojen hallintaa että käytönhallintaa, mutta myös jossakin määrin turvallisuuden hallintaa. Verkon liikenteen valvontaa voidaan toteuttaa monella eri tavalla, ja se voi olla hyvin eritasoista. Sen avulla voidaan esimerkiksi todentaa käyttöoikeuksien väärinkäytökset tai erilaiset murtautumisyritykset verkkoon. Käyttöoikeuksia voivat käyttää väärin esimerkiksi entiset työntekijät, ja murtautumisyrityksiä voidaan tehdä esimerkiksi palomuurista löydettävien reikien avulla. Verkon liikenteen valvonnan avulla kaikki tällaiset yritykset on mahdollista havaita ja tallentaa.

15 Verkon liikenteen valvonnasta saatavan tiedon avulla voidaan myös tehdä erilaisia ja eritasoisia hälytyksiä. Hälytykset voivat esimerkiksi aluksi käynnistää jonkun erillisen prosessin. Jos tämä prosessin käynnistäminen ei korjaa ongelmaa tai jos esimerkiksi hälytyksen taso nousee edelleen, voidaan hälytyksille määritellä seuraavia tehtäviä. Ne voivat esimerkiksi lähettää tiedon hälytyksestä järjestelmänvalvojalle joko sähköpostilla tai tekstiviestillä. (Simoneau P 1999, 328). Verkon liikenteen valvontaa voidaan tehdä erilaisilla verkonanalysointiin tarkoitetuilla työkaluilla tai palomuurien avulla. Verkonanalysointiin tarkoitettujen työkalujen pääasiallinen tarkoitus on verkon ongelmien selvittäminen, mutta ne myös mahdollistavat tietoturvaloukkauksien tai järjestelmän väärinkäytöksien todistamisen, mikäli ne tallentavat verkon liikenteen myöhempää tarkastelua varten. Palomuurien lokitiedoista saatavan tiedon avulla voidaan myös valvoa verkon liikennettä ja muun muassa selvittää tietoturvaloukkauksia. Tietoturvaloukkaukset ja käyttäjätunnuksien väärinkäytökset voidaan todistaa lähinnä sellaisilla laitteilla, jotka tallentavat verkon liikennettä ja näin mahdollistavat liikenteen tutkimisen jälkikäteen. (Stallings W 1996, 67.) Ideaalitilanteessa verkon väärinkäytöksistä, esimerkiksi tietoturvaloukkauksista, tulee ilmoitus järjestelmän ylläpitäjille. Verkonliikenteen valvontaa ja analysointia voidaan toteuttaa, joko siihen käyttöön tarkoitettujen yksinkertaisten sovelluksien, esimerkiksi Ethereal:n ja TCPDump:n avulla, tai palomuurien sekä erilaisten verkonanalysointiin tarkoitettujen järjestelmien avulla. Verkonvalvonnasta saatavan tiedon avulla voidaan siis parantaa verkonhallintaa, koska sillä voidaan muun muassa nopeuttaa vikatilanteiden korjaamista. Sen avulla voidaan myös ennakoida mahdolliset laajennukset sekä verkon että laitteiden osalta. Verkon liikenteen valvonnan avulla voidaan myös esimerkiksi todistaa tietoturvaloukkaukset, koska verkonliikennettä tutkimalla, voidaan helposti osoittaa esimerkiksi, mistä IP-osoitteesta yhteys on muodostettu.

16 5 VERKON LIIKENTEEN VALVONTA 5.1 Yleistä Verkonliikenteen valvonta monitorointilaitteella, esimerkiksi Snifferillä (verkon analysointilaite tai -sovellus), suoritetaan yleensä joko keskittimeltä tai kytkimeltä. Keskitin toimii OSI (Open Systems Interconnection)-mallin ensimmäisellä kerroksella, eli kun se vastaanottaa paketin yhdestä portista, se lähettää kopion paketista, kaikista muista porteista. Siksi verkonliikennettä keskittimeltä valvottaessa voidaan yhteen porttiin kytkeä Sniffer, ja näin nähdään kaikki liikenne joka keskittimen läpi kulkee (Kuvio 4.). (Cisco Systems, Inc 2006.) KUVIO 4. Liikenteenvalvonta keskittimeltä (Cisco Systems, Inc 2006.) Kytkin taas toimii joko OSI-mallin toisella tai kolmannella kerroksella ja niissä on MAC (Media Access Control)-osoitetaulut, joiden avulla kytkin lähettää paketin ainoastaan vastaanottajan porttiin. Kytkimet rakentavat näitä osoitetauluja heti käynnistyksen jälkeen, ja siksi kytkimiin täytyy määrittää monitorointiportti, mikäli liikennettä halutaan valvoa. Monitorointiporttiin voidaan kopioida haluttujen porttien liikenne (Kuvio 5.). Tässä päättötyössä käydään läpi, kuinka määritellään monitorointiportti Ciscon Catalyst -sarjan kytkimille. (Cisco Systems, Inc 2006.)

17 KUVIO 5. Liikenteenvalvonta kytkimeltä (Cisco Systems, Inc 2006.) 5.2 Ciscon Catalyst -sarja Cisco Catalyst -sarjan kytkimissä monitorointiporttia kutsutaan SPAN (Switched Port Analyzer)-portiksi. SPAN-portin määrittäminen tapahtuu hieman eri tavalla IOS (Intermetwork Operating Systems) ja CatOS (Catalyst Operating Systems) - sarjan kytkimissä. CatOS ja IOS ovat Ciscon -laitteiden hallintaan tarkoitettuja ohjelmistoja, joista CatOS on vanhempi, ja jäämässä jo vanhaksi. SPAN-porttiin voidaan määritellä myös paljon muitakin ominaisuuksia kuin pelkästään kopioida haluttujen porttien liikenne yhteen porttiin. Se mahdollistaa esimerkiksi vain ulos tai sisään menevän liikenteen monitoroinnin, tai niin sanotusta Trunk-portista vain tiettyyn VLAN:iin(Virtual Local Area Network) kuuluvan liikenteen monitoroinnin. Trunk-portilla tarkoitetaan kahden kytkimen välistä porttia, jossa voi olla määritelty useimpia VLAN:eja. (Cisco Systems, Inc 2006.) Ciscon kytkimissä on myös mahdollista määrittää Remote SPAN-portti. Sitä käytetään, kun monitoroidaan liikennettä verkon eri osista ilman, että monitorointilaite on kytketty suoraan kyseiseen verkkoon. Tällöin monitoroitava liikenne ohjataan monitorointilaitteelle verkon avulla määrittämällä jokin vapaa VLAN Remote SPAN liikenteen käyttöön (Kuvio 6). (Cisco Systems, Inc 2006.)

18 KUVIO 6. Remote SPAN -portin toiminta (Cisco Systems, Inc 2006.) 5.2.1 Ciscon CatOS -versio Seuraavaksi käydään lyhyesti läpi monitorointiporttien määrittäminen Ciscon CatOs -sarjan kytkimissä. Olemassa olevat SPAN ja RSPAN -määritykset nähdään seuraavalla käskyllä. SWITCH> (enable) show ( span/rspan) SPAN-portin käyttöönotto tapahtuu määrittämällä ensin haluttu kytkimen portti tai VLAN, josta liikenne kopioidaan, ja tämän jälkeen määrittelemällä, mihin porttiin kyseinen liikenne ohjataan. SWITCH> (enable) set span source (port/vlan id) (destination port) RSPAN portin määrittäminen tapahtuu määrittelemällä aluksi jokin VLAN RSPAN:n käyttöön. Tämän jälkeen kopioidaan liikenne halutuista kytkimen porteista tai VLAN:sta, ja ohjataan liikenne RSPAN:n käyttöön määriteltyyn VLAN:iin. (Cisco Systems, Inc 2006.)

19 SWITCH> (enable) set vlan (vlan id) rspan SWITCH> (enable) set rspan source (port/vlan id) (rspan_vlan) 5.2.2 Ciscon IOS -versio Ciscon IOS -sarjan (muun muassa WS-C4507R) versioissa SPAN-porttia kutsutaan monitor-portiksi. Olemassa olevat monitor-portit nähdään seuraavalla käskyllä. SWITCH# Show monitor Monitor-portin määrittäminen tapahtuu määrittelemällä monitoroitavat lähde- ja kohde -portit, seuraavalla tavalla. SWITCH#configure terminal SWITCH(config)#monitor session 2 source interface gigabitethernet 6/1-20 SWITCH(config)#monitor session 2 destination interface gigabitethernet 1/40 IOS -sarjan kytkimissä voidaan myös suodattaa vain tiettyyn virtuaaliseen lähiverkkoon (VLAN) kuuluva liikenne monitorointiporttiin. Seuraavassa esimerkissä suodatetaan vain VLAN:iin, 100 105 kuuluva liikenne monitorointiporttiin. (Cisco Systems, Inc 2006.) SWITCH(config)# monitor session 2 filter vlan 100-105

20 Remote SPAN-portin määrittäminen IOS -sarjan kytkimeen tapahtuu lisäämällä aluksi vapaa VLAN, Remote SPAN:n käyttöön ja määrittelemällä sille nimi, (esimerkiksi, Remote Test). Seuraavaksi määritellään monitoroitavat lähdeportit ja lopuksi monitoroitu liikenne ohjataan RSPAN:n käyttöön varattuun VLAN:iin (Remote Test). SWITCH#configure terminal SWITCH(config)# vlan 880 SWITCH(config-vlan)# name Remote Test SWITCH(config-vlan)# exit SWITCH(config)# monitor session 3 source interface gigabitethernet 1/1 24 SWITCH(config)# monitor session 3 destination remote vlan 880

21 6 INFINISTREAM I1610 6.1 Yleistä Infinistream on verkon liikenteen analysointiin tarkoitettu järjestelmä, jota käytetään vikatilanteiden selvittämiseen ja hallintaan sekä mahdollisten tietoturvaloukkauksien yhteydessä järjestelmän väärinkäytön todistamiseen. Se mahdollistaa suurien datamäärien kaappaamisen, tallentamisen ja datan analysoinnin tapahtuman jälkeen. Infinistream:n avulla voidaan tallentaa dataa useiden päivien, viikkojen tai jopa kuukauden ajalta riippuen monitoroitavan liikenteen määrästä ja laitteen talletuskapasiteetista. Infinistream -järjestelmä on siis kuin perinteinen verkon liikenteen kaappaamiseen tarkoitettu Sniffer -järjestelmä (esimerkiksi DSS Distributed Sniffer Systems), mutta sillä voidaan myös tallentaa kaikki monitoroitava liikenne. (Network General Corporation 2006.) Monitoroitava liikenne kaapataan järjestelmään, esimerkiksi keskittimien tai kytkimien avulla, joka käytiin läpi kappaleessa 5. Kuviossa 7 näkyy kuinka Infinistream -järjestelmällä verkon monitorointi toteutettiin tässä tapauksessa. KUVIO 7. Verkon monitorointi Infinistream -järjestelmällä

22 Infinistream laitteisto koostuu sekä Infinistream Capturesta eli kaappauslaitteistosta että Infinistream Network Management Console-ohjelmistosta. Infinistream Capture on verkonvalvontalaite, jossa on linux-pohjainen käyttöjärjestelmä sekä ohjelmisto, jolla voidaan kaapata ja tallentaa verkonliikennettä. Laitteistossa on neljä kappaletta 10/100 Ethernet monitorointiportteja, joita sanotaan Stream:ksi. Kaappauslaitteistolla voidaan kaapata ja tallentaa Stream-liityntään ohjattu verkonliikenne. Infinitream Capture -laitteistossa on 3.2TB-kiintolevy, ja se voidaan asentaa käyttämään RAID 0 - RAID 5 -levyjärjestelmää. RAID (Redudant Array of Independent Disk) on tietokoneen massamuisti, jossa tietoa tallennetaan samanaikaisesti eri kiintolevyille, jolloin yhden levyn vikaantuminen ei välttämättä tuhoa tallennettua tietoa. RAID 5 -järjestelmää käytettäessä, kiintolevyn todellinen talletus kapasiteetti on 3TB. (Network General Corporation 2006.) Infinistream kaappauslaitteisto sisältää kolmentyyppisiä portteja: - Capture Ports - Mining Port - Technician Port Capture Portit ovat samanlaisia kuin Snifferin monitorointiliitynnät. Nämä portit kytketään suoraan niihin verkkoihin, joista liikenne halutaan kaapata. Portit ovat aina niin sanotussa promiscous-mode -tilassa, joka tarkoittaa, että ne kuuntelevat kaikkea verkon liikennettä. Näitä portteja on Infinistream -järjestelmässä neljä kappaletta, ja näitä sanotaan siis Stream:ksi. (Network General Corporation 2006.) Mining Port on samanlainen kuin Snifferin kuljetusliityntä. Tämä portti yhdistetään Management Console -laitteistoon, jolla kaapattua liikennettä voidaan tutkia. Tässä liitynnässä kulkee siis kaikki data, joka on kerätty eri Stream:sta. (Network General Corporation 2006.) Technician Port on teknisen asiantuntijan pääsyä varten, eikä sitä käytetä muulloin.

23 Infinistream Network Management Console on Windows pohjainen -ohjelmisto, jolla kyseistä dataa voidaan analysoida yksityiskohtaisesti. Console-ohjelmisto mahdollistaa kaapatun datan uudelleen järjestämisen ja esittämisen, niin kuin se tapahtui itse tilanteessa. Ohjelmisto mahdollistaa sekä lähes reaaliaikaisen tai jopa kuukauden tapahtuman jälkeen tapahtuvan vianselvityksen, riippuen kaapattavan datan määrästä. (Network General Corporation 2006.) Console-ohjelmistolla voidaan hallita monia eri kaappauslaitteistoja, tai monella eri Console-ohjelmistolla voidaan tutkia liikennettä samaan aikaan samalta kaappauslaitteistolta. Console-ohjelmisto mahdollistaa myös datan pidempiaikaisen tallentamisen. Tämä tapahtuu tallentamalla konsolikoneen kovalevylle ohjelmistolla ajettu data. Pidempiaikaiseen datan varastointiin vaaditaan siis aina, että kyseinen data on ajettu Console-ohjelmistolla, ja koska data tallennetaan konsolikoneen kovalevylle, tallennuskapasiteetti on rajallinen. (Network General Corporation 2006.) 6.2 Kaappauslaitteiston asennus Kaappauslaitteistossa on kaksi käyttäjätunnusta, root ja console. Root-tunnusta käytetään laitteiston hallinnointiin, muun muassa Linux-asetuksien sekä laitteiston toimintakuntoon määrittämiseen. Console-tunnusta käytetään, kun kaapattua liikennettä tutkitaan Console-ohjelmiston avulla kaappauslaitteistolta. Kaappauslaitteiston asetuksia muokataan joko SSH:n (Secure Shell), Serial - kaapelin tai näytön ja näppäimistön avulla. Asetuksien määrittäminen tapahtuu helpoiten ohjelmiston avulla, jossa käydään läpi kaikki tarvittavat määritykset. Ohjelma käynnistyy laitteiston käynnistyksen yhteydessä (Kuvio 8.).

24 KUVIO 8. Kaappauslaitteiston asetuksien määrittäminen. Opinnäytetyössä tutkitun kaappauslaitteiston asennus suoritettiin tämän ohjatun ohjelmiston avulla. Seuraavaksi käydään läpi ohjelmistolla tehtävät tärkeimmät määritykset. Kuvissa olevat asetukset eivät ole tutkitun laitteiston asennuksessa määriteltyjä asetuksia. Tietoturvasyistä niitä ei ole haluttu tässä työssä näyttää. Kuvien on lähinnä tarkoitus helpottaa kyseisessä vaiheessa tehtäviä määrityksiä. Ohjelmiston avulla voidaan määritellä muun muassa käytettävä RAIDlevyjärjestelmä, laitteiston yleiset asetukset sekä kuljetus- ja kaappausliityntöjen asetukset. Tämän ohjelmiston avulla määrittelimme kaikki kaappauslaitteistoon tehtävät asetukset. Asetuksien määrittäminen alkaa esittelysivusta, jossa kerrotaan, mitä ohjelmalla tehdään. Jokaisella sivulla olevasta help-kohdasta saadaan tarkempaa tietoa määrityksistä. Aluksi määritellään käytettävä RAID-levyjärjestelmä (Kuvio 9.). FORMAT - näppäimellä saadaan lisättyä RAID tasoja. Tutkittava järjestelmä asennettiin käyttämään RAID 5-levyjärjestelmää. Muokkaamalla RAID-tasoja järjestelmä aina alustaa levyn uudelleen, jolloin tallennetut tiedot katoavat levyltä. Siksi ohjelma varmistaa aina, halutaanko näin tehdä.

25 KUVIO 9. RAID -levyjärjestelmän määrittäminen Levyjärjestelmän valinnan jälkeen määriteltäviä asioita ovat järjestelmän nimi, salasanat, aikavyöhyke ja aika tai NTP (Network Time Protocol) -palvelimen osoite (Kuvio 10). KUVIO 10. Järjestelmän yleiset asetukset Kuviossa 11 määritellään kuljetusliitynnän asetukset, joita ovat muun muassa IPosoite ja verkon maski, oletusreitti, käytettävä portti sekä DNS (Domain Name Server) -palvelimien osoitteet. Tälle sivulle määritellään myös IP-osoitteet, joista sallitaan yhteydet kaappauslaitteistolle. Tässä tapauksessa, koska laitteistoa hallittiin vain ainoastaan Consoli-koneelta, määriteltiin tähän vain sen IP-osoite.

26 KUVIO 11. Kuljetusliitynnän asetukset Ohjatun asennusohjelman avulla märitellään myös Stream-liityntöjen asetukset sekä erilaiset liikenteensuodatus asetukset. Ensimmäiselle Stream-liityntöjen asetuksia määrittelevälle sivulle (Kuvio 12.), määriteltiin aluksi ensimmäisen Stream-liitynnän nimi sekä valittiin kohdat: Configure IP address and port capture filtering for this stream sekä Configure adapter setting for this stream. Tällä sivulla on myös kohta Disable capture of private data packets, such as email, joka tarkoittaa, että silloin ei kaapata liikennettä joka saattaa sisältää erilaista yksityistä tietoa, esimerkiksi sähköpostin käyttämien protokollien liikennettä (SMTP, portti 25 ja POP3 portti 995). KUVIO 12. Stream-liitynnän määrittäminen

27 Seuraavaksi voidaan määritellä muita tarkempia suodatusasetuksia Streamliitynnöille, IP-osoitteiden ja porttien mukaan. Oikein määritettynä näillä suodattimilla voidaan muun muassa helpottaa oleellisen datan löytämistä. Suodattimia luodessa täytyy kuitenkin muistaa, että niin kauan kuin suodatus on päällä, ei kyseistä liikennettä kaapata. Tälle sivulle ei määritelty mitään tarkempia suodatuksia. Lopuksi kyseiseen Stream-liityntään määriteltiin IP-osoite. Paketin kokoon vaikuttava tekijä annettiin olla oletuskokona (1500-tavua). Tämän jälkeen määriteltiin muiden Stream-liityntöjen asetukset kuten ensimmäisen paitsi että nimi ja IP-osoite olivat luonnollisesti erit. Asetusten määrittämisen jälkeen ohjelmisto näyttää vielä yhteenvedon tehdyistä asetuksista sekä pyytää vahvistamaan, mikäli asetukset halutaan voimaan. Aivan ohjatun asetusohjelman lopuksi siis tarkistettiin vielä kaikki asetukset ja hyväksyttiin tehdyt muutokset.

28 6.3 Console -ohjelmiston asennus Console -ohjelmiston asentaminen tehtiin Windows 2003 palvelimeen. Asentaminen tapahtui suoraan asennus CD:ltä, oletusmäärityksien mukaan. Asentamista ei ole dokumentoitu, koska se oli niin yksinkertainen. Järjestelmälle on määritelty tietyt vähimmäisvaatimukset, jotta ohjelmiston asentaminen onnistuu. Konsolikoneen ominaisuudet ovat seuraavat ja ne täyttävät tarvittavat vaatimukset: - Windows 2003 Server - 2Gb RAM - 3.2 GHz Prosessori - 140 GB kovalevy - 2kpl Gigabitin verkkokortteja Konsolikoneessa on Gigabitin verkkokortit, jotta datansiirto kaappauslaitteistolta konsolikoneelle tapahtuisi mahdollisimman nopeasti. Konsolikoneelle sallittiin etäyhteys Remote Desktop Connection:lla, joka on Windowsin mukana tuleva ohjelma. Yhteyden salliminen tehtiin Infinistreamin käytettävyyden parantamiseksi. Etäyhteys konsolikoneeseen sallittiin konsolikoneelta kohdasta MyComputer, Properties ja Remote. Remote välilehdelle (kuviossa 13) täytyi valita kohta Allow users to connect remotely to this computer.

29 KUVIO 13. Etäyhteyden salliminen 6.4 Infinistream Console -ohjelman käyttö Console -ohjelma käynnistäminen tapahtuu InfiniStream Network Management - pikakuvakkeesta. Ensimmäisellä kerralla kaappauslaitteiston lisääminen tapahtuu kaksoisklikkaamalla kohdasta Capture Engines ja määrittelemällä aukeavaan kuvakkeeseen kaappauslaitteiston IP-osoite sekä käytettävä portti. Seuraavilla kerroilla haluttu kaappauslaitteisto valitaan kaksoisklikkaamalla kyseistä laitetta. Tässä tapauksessa laitteiston nimi oli Infini1(xxxx), kuvio 14. Kaappauslaitteistoon kirjaudutaan console -tunnuksilla. KUVIO 14. Kaappauslaitteiston valinta

30 Tämän jälkeen valitaan se monitorointiliityntä, jonka liikennettä halutaan tutkia. Infinistream laitteessa näitä monitorointiliityntöjä on neljä kappaletta. Kuviossa 15 näkyy liikennettä yhdestä valitusta monitorointiliitynnästä. KUVIO 15. Liikenne monitoroituna Kun haluttu monitorointiliityntä on valittu, määritellään ajankohta, jolta liikennettä tutkitaan (kuvio 16). Tarkasteltavan näkymän pituus valitaan kohdasta näkymän pituus, ja tämän jälkeen valitaan tarkasteltava ajankohta siirtämällä verhoa haluttuun kohtaan, kohdasta ajankohdan valinta.

31 KUVIO 16. Tarkasteltavan ajankohdan valinta Liikenteen tutkiminen tehdään erilaisten suodattimien avulla. Helpoin tapa on tehdä niin sanottu Auto Filter -suodatin. Tämä tapahtuu valitsemalla ensiksi esimerkiksi IP-osoite, jonka liikennettä tutkitaan. Valinta tapahtuu avaamalla välilehti IP Address ja valitsemalla sieltä halutut IP-osoitteet, (Kuvio 15). Jos halutaan tehdä tarkempia suodattimia, valitaan muilta välilehdiltä muita parametreja. Tämän jälkeen valitaan Mining Filtering sarakkeesta, Auto Filter ja painetaan vasemmalta alhaalta Analyze. Jos tarkasteltava aikaväli on liian pitkä ja tarkasteltavaa dataa on paljon, analysointi voi kestää hyvinkin pitkään. Tällöin analysointi saadaan katkaistua ylhäältä kohdasta Analysis ja Stop. Tämän jälkeen voidaan yrittää määritellä tarkempia suodattimia. Myös omien suodattimien luominen on mahdollista kohdasta Mining Filtering ja Edit. Itse määriteltyjen suodattimien käyttäminen myöhemmin on helppoa, koska ne voidaan tallentaa myöhempää käyttöä varten. Lopuksi kun oikea monitorointiliityntä ja tarkasteltava ajankohta on valittu ja suodattimet määritelty, saadaan Infinistream:lla liikenne näkyviin purettuna, kuten perinteisellä Snifferilläkin, (Kuvio 17).

32 KUVIO 17. Liikenteen analysointi Infinistream:lla 6.5 Yhteenveto Infinistream on erittäin hyvä järjestelmä verkonliikenteen valvontaan sekä virheiden selvittämiseen sekä lähes reaaliaikaisesti että jopa kuukauden ongelmien esiintymisen tai tietoturvaloukkauksen jälkeen. Se on helppo asentaa ja käyttää, kun halutaan vain tallentaa ja tutkia verkonliikennettä. Infinistream -järjestelmällä verkonliikenteen analysointia ei tehdä aivan reaaliaikaisesti, vaan järjestelmässä on pieni viive, joka mahdollistaa suurempien liikennemäärien käsittelemisen. Infinistreamissa olevan Autofilter -ominaisuuden avulla voidaan luoda analysoinnissa tarvittavia filttereitä todella helposti. Tämä myös nopeuttaa halutun datan esille saamista verkonliikenteestä. Järjestelmän hyvä puoli on myös se, että eri monitorointiporteilta kerätty informaatio voidaan yhdistää yhteen näyttöön. Tällöin voidaan seurata samaan aikaan yhden käyttäjän liikennettä

33 verkon eri osissa. Järjestelmässä on myös paljon muita ominaisuuksia, joiden käyttöönotto vaatii syvällisempää tutustumista laitteeseen. Infinistream:lla voidaan muun muassa tehdä erilaisia hälytyksiä sekä liikenteen että laitteiston osalta. Lisäksi Infinstreamin Console -ohjelmistolla saadaan myös erilaisia taulukoita liikenteen määrästä, yhteyksistä ja protokollista. Infinistream -järjestelmällä voidaan siis parantaa vikojen, käytön ja turvallisuuden hallintaa. Vikojen hallintaa voidaan parantaa sekä tutkimalla verkonliikennettä ja näin ratkaisemalla ongelmatilanteita, että myös liikenteestä saatavan statiikan avulla. Käytön- sekä turvallisuuden hallinta taas paranee, koska järjestelmän avulla voidaan todistaa erilaiset käyttöoikeuksien väärinkäytökset tai tietoturvaloukkaukset. Infinistream on kallis verkonliikenteen valvontalaite, sillä se maksaa noin 60 000 USA:n dollaria. Siksi se on tärkeä laite esimerkiksi yrityksiin, joissa verkossa liikkuva tieto on erittäin arkaluontoista ja ongelmien tai tietoturvaloukkausten selvittäminen jälkeenpäin nähdään erittäin tärkeänä.

34 7 ETHEREAL 7.1 Yleistä Ethereal on maailmanlaajuisesti käytetty verkon analysointityökalu, joka voidaan asentaa Unix-, Linux- ja Windows-alustoille. Sitä käytetään muun muassa verkon ongelmien ratkaisuun, analysointiin ja ohjelmien sekä protokollien kehittämiseen ja koulutukseen. Sillä voidaan kaapata ja tutkia kaikki liikenne, joka kulkee halutun verkonliitynnän läpi, ja siinä on kaikki standardin vaatimat ominaisuudet, joita vaaditaan protokolla-analysaattorilta. (Network Integration Services, Inc 2005.) Ethereal on avoimeen lähdekoodiin perustuva ohjelma ja siksi se on ladattavissa suoraan Internetistä täysversiona. Ethereal löytyy osoitteesta: http://www.ethereal.com/. Asentaminen on hyvin yksinkertaista, ja se käynnistyy asennusohjelmasta. (ethereal-setup-(versionumero)). 7.2 Käyttö Ethereal:lla liikenteen kaappaus tapahtuu kohdasta Capture ja Options, Kuvio 17. Ethereal: Capture Options -välilehdeltä valitaan liityntä, jonka liikennettä analysoidaan. Samalla voidaan määritellä myös suodatuksia, jos esimerkiksi halutaan tutkia vain HTTP -liikennettä. Kaappaus aloitetaan kohdasta Start. Tämän jälkeen avautuu uusi ikkuna, (kuviossa 18 oleva Ethereal: Capture from VIA Rhine ), josta voi seurata tietoa kaapatuista paketeista ja lopettaa kaappauksen kohdasta Stop.

35 KUVIO 18. Liikenteen kaappaus Ethereal:lla. Ethereal:lla voidaan myös määrittää, milloin kaappaus voidaan lopettaa esimerkiksi paketin, datamäärän tai ajan mukaan. Ethereal:lla kaapattu liikennettä voidaan myös tallentaa myöhempää tarkastelua varten. Tämä helpottaa ongelmien selvityksessä esimerkiksi silloin, kun kaapattu liikenne halutaan lähettää tarkempaa tutkintaa varten esimerkiksi laitetoimittajalle. Kohdasta Help saadaan yksityiskohtaisempaa tietoa Ethereal:n käytöstä. Ethereal:lla voidaan tutkia liikennettä muun muassa IP-osoitteen, protokollan tai pakettien mukaan. Kuviossa 19 on esimerkki kaapatusta liikenteestä.

36 KUVIO 19. Liikenteen kaappaaminen Ethereal:lla 7.4 Yhteenveto Ethereal on perinteinen liikenteen tutkimiseen tarkoitettu ohjelma. Se soveltuu hyvin lähiverkon ongelmien selvittämiseen heti ongelmien ilmaantumisen jälkeen. Ethereal:lla voidaan myös tutkia esimerkiksi TCPDump:lla kerättyä liikennettä. Liikenteen tutkiminen tapahtuu pakettitasolla, mutta sillä nähdään myös kaikki pakettien sisältämät datat. Koska Ethereal on helppokäyttöinen ja ilmainen, se on yksi varteenotettava perusohjelma verkonliikenteen analysointiin. Ethereal:n avulla voidaan myös esimerkiksi testata verkon turvallisuutta etsimällä liikenteestä käyttäjätunnuksia, salasanoja tai muuta arkaluontoista tietoa. Liikennettä voidaan kaapata pitkältäkin aikaväliltä, jos liikenteen määrä verkossa on vähäistä. Ethereal:n avulla voidaan lähinnä parantaa vikojen hallintaa, koska se mahdollistaa ongelmien tutkimisen ja selvittämisen.