3 TEKNISET PERUSTEET
3.4 Protokollat verkon suojaamiseksi.................................................................................. S1
3.4.6 Avainten hallinta
Avaintenhallinta on laajempi käsite kuin pelkkä avainten jakelu. Avain
tenhallinta sisältää mm. avainten valvonnan, jakelun, eheyden valvonnan ja toipumismenettelyt [Sherwoodl986],
Erityisesti avaintenhallinnalla tarkoitetaan eritasoisten avainten käsitte
lyä. Esimerkiksi osapuolet voivat neuvotella jokaista yhteyttä varten oman istuntoavaimen (session key). Jokaisella transaktiolla voi olla myös oma transaktioavain (transaction key).
Avaintenhallinta voi olla esimerkiksi kaksi- tai kolmetasoinen. Kaksita
soisessa mallissa jaetaan manuaalisesti ylimmän tason avain, jonka avulla vaihdetaan automaattisesti alemman tason avaimia. Kolmetasoisessa mal
lissa näiden välissä on vielä yksi automaattisesti jaettava taso.
Avainten hallintaan liittyvä standardi on mm. X9.17 ([ANSI X9.17], [Sher- wood!986]). Tässä avainten automaattinen jakelu hoidetaan DES-algoritmil- la. Esimerkkinä avainten hallinnasta tullaan käsittelemään Kerberos-jär
jestelmän alkutunnistusta istuntoavaimen vaihtamisella.
Avainten hallintaan liittyy myös tAresAoZd-menetelmän käyttäminen avai
men varastoimiseen [Shamirl979], [Denningl982]. Avaimen muodostami
seen tarvittava tieto jaetaan useille osapuolille (tässä tapauksessa tavallisesti ihmisille). Kukaan osapuolista ei voi yksin päätellä avainta. Kun tietty määrä osia on koossa, voidaan muodostaa täydellinen avain - muutamien avaimen osien hukkuminen ei haittaa kokoamista.
3.4.7 Kerberos-jäijestelmä
Kerberos on MIT:ssä toteutettu tunnistuspalvelija. Prototyyppi on toiminut vuodesta 1986 lähtien.
62
Kerberos on tarkoitettu ison työasemaverkon tunnistuspalvelijaksi. Käyttäjät kirjoittautuvat työasemaan ja pääsevät Kerberoksen avulla käyttämään kes
kitetyissä palvelukoneissa olevia palveluja, mm. kotihakemistojaan. Ver
kon oletetaan käyttävän TCP/IP-protokollaa.
Työasema on Kerberos-järjestelmässä erikoisasemassa. Siihen ei voi kir
joittautua verkon ylitse. Turvallisuussyistä työasemassa on vain yksi käyt
täjä kerrallaan.
Tiedot Kerberoksesta perustuvat järjestelmän dokumentaatioon [Steiner1988], [Neumanl988], [Bryantl988], [Bryantl988b], [Millerl987], [Kerberos 1987]. Do
kumentaatio on vapaasti saatavissa MIT:n Athena-projektin jakelutietoko- neesta athena-dist Internet-verkkoa pitkin. Uusin ja yksityiskohtaisin ra
portti Kerberos-protokollasta on Kerberoksen RFC-standardiehdotus [Kerbe- rosl989].
Kerberos-protokollassa on tavallisen tunnistusprotokollan lisäksi mm.
avaintenhallintaominaisuuksia. Ennen siihen tutustumista on hyvä tuntea ainakin jonkun tavallisen tunnistusprotokollan perusteet Güte A).
Käyttäjän Idijoittautnminen työasemaan
Käyttäjä kirjoittautuu työasemaan käyttäjätunnuksellaan. Työasema välit
tää sen suoraan Kerberokselle, joka vastaa istuntoavaimella ja pääsylipulla (ticket) pääsylippujenjakelukeskukseen (ticket granting service). Viesti on salattu siten, että se aukeaa vain käyttäjän salasanasta saatavalla avaimel
la. Käyttäjältä kysytään salasanaa vasta, kun Kerberos on antanut pääsyli
pun.
Käyttäjän salasana salataan välittömästi yksisuuntaisella salausfunktiolla, ja selväkielinen esitysmuoto poistetaan työaseman muistista. Salauksen tu
los on se avain, jolla Kerberoksen viesti aukeaa. Nopea muunnos varmistaa sen, että selväkielinen salasana on työaseman muistissa vain todella lyhyen aikaa.
Tulkittu viesti sisältää istuntoavaimen (session key). Välittömästi viestin tulkitsemisen jälkeen poistetaan käyttäjän salasanasta saatu avain muistis
ta ja otetaan istuntoavain käyttöön. Näin sekin avain, jolla aloitusviesti saa
daan avattua, on mahdollisimman vähän aikaa työaseman muistissa.
Keskustelun lopputuloksena käyttäjällä on istuntokohtainen pääsylippu pal
veluun, josta hän voi pyytää lisää palvelukohtaisia pääsylippuja. Tämä toi
minta vastaa avainten jakelua.
Avainten jakelu
Kerberoksen palvelukohtaisten avainten jako ja tunnistus on olennaisilta osiltaan samanlainen kuin Denning-Sacco -protokolla. Lisänä on avainten
hallinta, pyytäjän IP-osoitteen tarkistus ja pääsylipun elinikä.
Kerberos
asiakas
palvelu
Kuva 3.16. Viestit Kerberos- protokollassa.
Avainten jakelun vaiheet (3., 4. ja 5.) ovat seuraavat (avaimet istuntoavai- mia):
Protokolla 3.2. Kerberos-protokollan tunnistus.
Asiakas Palvelu Tunnistuspalvellja TGS
Oma nimi A Avain Кд
Oma nimi В Avain Kg
Tuntee avaimet Кд ja Kg
Lähettää pyynnön tunnistuspalvelijalle:
А, В
Arpoo yht. avaimen Kq Vastaa:
{KC- "ПКа
missä T on pääsylippu (ticket):
{B,A,addr,time, life,Kc}KB
addr = osoite, josta pyyntö tuli time = pääsylip. myöntöhetki
life = pääsylip. elinaika
64
Tietää nyt Kc:n Ei ymmärrä pääsylippua Lähettää sen sellaisenaan B:l!e
Varmistaa sanoman oikeel
lisuuden aikaleimasta Varmistaa, että viesti tulee samasta osoitteesta kuin pyyntö on tullut TGS:lle Varmistaa pääsylipun voimassaoloajan Tietää nyt Kç:n
Palvelijan todistus tunnis
tuksestaan (vain pyydettä
essä):
palvelija lähettää aikaleiman lisättynä yhdellä salattuna yhteisellä avaimella.
Kerberos-tunnistuspalvelijat muodostavat alueita (realm) vastaten organi- saatiojakoa. Käyttäjä voi tunnistuttaa itsensä toisessa alueessa antamalla oman tunnistuspalveluansa nimen. Kerberokset neuvottelevat tunnistuksen keskenään.
Ongelmia Kerberoksessa
Kiijoittautuminen palvelukoneesta eteenpäin ei ole mahdollista Kerberoksen avulla [Steiner1988]. Usein palvelukoneeseen kirjoittaudutaan sisään, ja täl
le haluttaisiin antaa komento kirjoittautua kolmanteen koneeseen. Kerbe
roksessa nyt toteutetut protokollat eivät tätä osaa. Mikäli tätä kokeillaan, salasana näkyy verkossa selväkielisenä. Yleisemminkin palvelun tulisi kyetä edustamaan käyttäjäänsä muille palveluille; omistaahan esimerkiksi UNIX-ohjelmakin käyttäjänsä oikeudet suorituksen ajan. Tätä tarkastel
laan lähemmin jatkoprojektiehdotuksissa (luku 6.9.1, Käännöspalvelun jär
jestäminen).
Toinen selvä ongelma on työaseman turvallisuus. Järjestelmä on turvalli
nen vain niin kauan kuin oletetaan, että työasemassa ei voi olla Troijan he
vosia tai muistia tarkkailevia tunkeutujia.
Protokolla on kokonaisuudessaan melko monimutkainen. Osa monimutkai
suudesta tulee pyrkimyksestä pitää viestien määrä mahdollisimman piene
nä. Mukana on myös epämääräisiä turvallisuuskriteerejä kuten käyttäjän salasanan nopea tuhoaminen ja IP-osoitteen hyväksikäyttö. Nämä
vaikeut-tavat tunkeutumista, mutta ovat kierrettävissä. Myös pääsylippujen eliniän sopiva määrääminen on ongelma [Steinerl988].
Koneiden kellojen pitäminen samassa ajassa voi olla hankalaa. Tietokoneet voivat synkronoida kellonsa tätä varten suunitellulla protokollalla, mutta mitään tunnetuista kellonsynkronointiprotokollista ei ole suojattu hyökkäyk
siltä.
Palvelijat joutuvat tallettamaan avaimensa tietokoneen muistiavaruuteen.
Näiden suojaaminen sivullisilta on hankalaa. Palvelut joudutaankin jär
jestämään hyvän turvallisuustason tietokoneissa.
Kerberos-protokolla on kokonaisuudessaan melko turvallinen ja vaatii vä
hän viestejä. Kaikin puolin se ei ole paras mahdollinen.
Kerberoksen toteutuksesta
Kerberos joudutaan asentamaan syvälle jokaisen työaseman käyttöjärjestel
mään sekä toisaalta jokaiseen palveluun. Kerberos on MIT:ssä asennettu seuraaviin palveluihin [Neuman 1988]:
• komennon suorittaminen palvelukoneessa (rsh)
• interaktiivinen yhteys palvelukoneeseen (rlogin)
• verkkotiedostojärjestelmä (Sun NFS)
• sähköposti
• sähköiset kokouspalvelut
• pikaviestipalvelu (notification)
• ylläpitorutiinit.
Suurin osa Kerberoksen toteutustyöstä on varmasti mennyt sen integroimises
sa erilaisiin sovelluksiin.
Kerberoksen saatavuus
Kerberos on ollut vuodesta 1988 yleisesti saatavissa USA:ssa. Se on käytössä korkeakouluissa ja myös kaupallisissa yrityksissä. Kerberosta jaetaan il
maiseksi.
MIT:ssä Athena-projektin verkkoa käyttää noin 8000 käyttäjää. Kerberos suojaa kaikkien istuntojen tärkeimpiä tapahtumia.
Kerberosta ei kuitenkaan saa tuoda USA:n ulkopuolelle. Syynä ovat USA:n salausohjelmistoja koskevat sotilaalliset vientikiellot. Tällä hetkellä näyttää siltä, ettei Kerberosta tulla saamaan käyttöön USA:n ulkopuolelle.28
3.4.8 Julkisten avainten protokollat
Ensimmäisten avaintenjakoartikkelien yhteydessä ([Needhaml978], [Denn- ingl981]) esitettiin salaisten avaimien protokollia vastaavat tunnistusproto- kollat myös julkisilla avaimilla. Salaisen avaimen menetelmät ovat kuiten
kin ylivoimaisia, koska ne ovat tässä käyttötarkoituksessa huomattavasti julkisten avainten salausmenetelmiä nopeampia. Tässä tutkimuksessa on
perehdytty ensisijaisesti vain salaisen avaimen vaihtoehtoon.
Julkisen avaimen protokollilla on käyttönsä, mutta ne vaativat julkisten avainten jakeluun luotetun kolmannen osapuolen . Ensisijaisesti ne sopivat organisaatioiden välisen sähköpostin allekirjoitukseen.
Julkisella avaimella tapahtuvan tunnistuksen standardeja ovat X.509, ISO DP 9799 ja ISO DP 10117. Tässä tarkastellaan lähemmin vain sähköposti- standardi X.400:n ehdotettua allekiijoitusprotokollaa X.509 (= ISO DIS 9594-8).
Järjestelmän kuvaus arvosteluineen on artikkelissa [Mitchell 1989].
Julkisten avaimien jakelu
Ensisijainen ongelma julkisen avaimen menetelmässä on julkisten avaimi
en jakelu siten, ettei niitä voi väärentää. X.509 perustuu luotettuun todistus- palvelijaan. Todistuspalvelija (CA, certification authority) voi jakaa todis
tuksia käyttäjien julkisista avaimista omalla allekirjoituksellaan varmen
nettuna. Kaikki voivat varmentaa palvelijan antaneen todistuksen.
Todistuksen (certificate) rakenne on hieman yksinkertaistettuna seuraava:
[CA,A,Apk,T]CA
CA allekirjoittaa viestin, jossa on CA:n nimi, A:n nimi, A:n julkinen avain ja todistuksen kelpoisuusaika.
28 Aivan viime aikoina on Intemet-keskusteluryhmissä mainittu, että vientikiellosta vastaava NS A on mahdollisesti lieventämässä säännöksiä tunnistamiseen tar
koitetuissa sovelluksissa.
Allekirjoitetun tiedon välitys
Salattavat tiedot välitetään X.509-standardissa ioAen-viesteinä, jonka muoto on pääpiirteissään seuraava:
[T,B,dataCheck,(data) ®]A
Tieto salataan vastaanottajan В julkisella avaimella, ja sen eheys varmen
netaan salaamattomalla kentällä. Viestiin lisätään aikaleima T ja vastaan
ottajan nimi. Viesti varustetaan lähettäjän A allekirjoituksella.
Todistuspalvelijoiden välinen kommunikointi
Todistuspalvelijat muodostavat X.509-standardissa puun. Organisaatiolla on oma CA, joka taas luottaa isomman yksikön, esimerkiksi maan CA:n anta
miin tietoihin. Ylimpänä voi olla maailmanlaajuinen CA-palvelija.
Kuva 3.17. Todistuspalvelijat muodostavat hierarkian.
3.4.9 Organisaatioiden väliset suojaukset
Organisaatioiden väliseen viestintään on esitetty omia protokollia. Artikke
lissa [Estrinl989] esitellään viisumiprotokolla (visa protocol).29
Käyttäjän viesti saa viisumipalvelijalta todistuksen, viisumin, jonka orga
nisaation ulkomaailmasta erottava välitin tarkastaa. Vain asianmukaisel
29 Konseptin alunperin esittäneet Reed ja Mraeck 1983. Lisätietoja artikkelista [Estrinl989].
68
la viisumilla varustetut viestit pääsevät organisaation ulkopuolelle. Viisumi ei ole käyttäjän eikä yksittäisen tietokoneen takuu viestin autenttisuudesta vaan koko organisaation lupa saada lähettää ko. viesti.
Vastaanottajan viisumipalvelija takaa, että käyttäjä saa vastaanottaa vieste
jä tietyltä organisaation ulkopuoliselta lähettäjältä vain, jos organisaatio on antanut siihen luvan.
Viisumien ensisijaisena tarkoituksena on estää organisaatioiden väliset tie
tovuodot. Sähköisessä muodossa tärkeitä tietoja, esimerkiksi ohjelmistojen lähdekoodeja, voi vuotaa huomaamatta ja vaivattomasti organisaation ulko
puolelle. Toisenlaisia organisaatioiden välisiä liikennerajoituksia käsitel
lään IBM T. J. Watson -tutkimuskeskusta esittelevässä kappaleessa.
organisaatio A
viisumi palvelu
yleinen verkko
organisaatio В
välitin
välitin
Kuva 3.18. Kahden yleisessä verkossa olevan organisaation suojaaminen viisumipa Ivelulla.
4 TIETOKONEVERKKOJEN TURVALLISUUS JA YLLÄPITO ТЕКЛА. VASTAAVISSA ORGANISAATIOISSA
4.1 TUTUSTUMINEN USAJ4 TILANTEESEEN
Osana tutkimusta vierailtiin USA:n itärannikolla tutustumassa paikallisten yliopistojen ja tutkimuslaitosten tietokoneverkkoihin. Tarkoituksena oli pe
rehtyä työasemaverkkojen ylläpitoon ja erityisesti suojausjärjestelyihin.
Kohteita oli kolme: MIT Bostonissa (Massashusetts Institute of Technology), CMU Pittsburghissa (Camigie-Mellon University) ja IBM T. J. Watson tutki
muskeskus New Yorkissa.
Sekä CMU:lla että MIT:llä on ollut jo yli viisi vuotta käynnissä työasema- verkkoprojektit: MIT:n Athena-projekti ja CMU:n Andrew-projekti. Matkal
la selvitettiin, miten kokemuksia voitaisiin soveltaa TKK:lla, kuinka asiat kannattaisi jäljestää ja kuinka paljon järjestelyt maksavat. Matkalla tu
tustuttiin myös työasemaverkon hallintaan.
IBM:n T.J. Watsonin tutkimuskeskuksessa tutustuttiin tutkimuskeskuksen työasemaverkon ylläpitoon ja turvallisuuteen. Tilanne tutkimuskeskukses
sa eroaa merkittävästi yliopistojen tilanteesta.
Yllättävää oli, että kukaan ei ole vielä vakavasti huolestunut turvallisuusky
symyksistä. Athena-projekti on kehittänyt Kerberos-tunnistuspalvelijan, jonka myös Andrew-projekti on ottanut käyttöön. Tämä on yliopistoympäris- tössä riittävä, mutta ei täydellisen turvallinen ratkaisu. Tutkimuskeskus luotti hyvin pitkälle verkkojen fyysiseen suojaukseen - järjestelyt oli viety pidemmällä kuin yliopistoissa on mahdollista.
Kaikissa vierailluissa paikoissa tietoliikenneverkko oli järjestetty olennai
sesti toisella tavalla kuin TKK:n nykyinen tietokoneverkko. Verkon kasva
essa hyvin suureksi oli todettu, että kaikkialla kiertävä keskus-Ethemet- verkko on liian yksinkertainen. Kaikissa paikoissa verkko oli jäljestetty uudelleen tähtimäiseksi (noin 5 vuotta aiemmin tilanne oli ollut identtinen TKK:n nykyisen tilanteen kanssa). Tämän oli todettu olevan erittäin tärke
ää verkon ylläpidettävyyden, vianetsinnän, turvallisuuden ja kuormituksen kannalta. Ilmeisesti TKKmkin tulisi investoida tämänsuuntaiseen ratkai
suun.
4.2 ШМ-N T.J. WATSON TUTKIMUSKESKUS
IBM:n keskeisin perustutkimuskeskus sijaitsee useassa paikassa n. 40 km New Yorkin kaupungista pohjoiseen. Pääpaikka on Yorktown Heights -ky
län alueella. Toinen merkittävä osa tutkimuskeskusta on Hawthornessa noin 10 km:n päässä.
70
Tietojenkäsittelykapasiteettina tutkimuskeskuksessa käytetään lähinnä VM-käyttöjäijestelmällä toimivia IBM-suurkoneita. Työasemina (ja päät
teinä) käytetään tavallisimmin tehokkaita PC-tietokoneita ja varsinaisina työasemina PC/RT-tietokoneita. Lisäksi käytetään erikoistyöasemia.
Tutkimuskeskuksessa on melko paljon sovelluksia VM-tietokoneissa. Näitä voidaan käyttää PC:ssä olevan käyttöliittymän kautta, mutta sovellus ja sen käyttämät tietokannat ovat kuitenkin lähinnä suurkoneissa. Sovelluksia ovat esimerkiksi PC-ohjelmakirjasto, PC:n tilaaminen, IBM:n henkilöhie- rarkian selaaminen ja puhelinluettelo.
Tutkimuskeskukselle turvallisuuskysymykset ovat tärkeitä. Voidakseen suojata keksintönsä myös oikeudessa pätevästi tutkimuskeskuksen tulee voi
da osoittaa, että keksintö on tehty ympäristössä, josta tieto ei ole vahingossa voinut vuotaa ulos. Turvallisusjäijestelyt on tehty sellaisiksi, että ensisijai
sesti tämä vaatimus täyttyy. Kommunikaatio ulospäin on mahdollisimman valvottua ja tiedot eristetään osastoittain. Määrätietoista sisäistä tunkeutu
mista vastaan ei kuitenkaan ole varauduttu.
Keskustietokoneet ovat runko-Ethemetissä. Osaston työasemat ovat kiinni Token Ring -verkolla toisissaan ja osaston segmentti on kytketty reititti
mellä runkoverkkoon. Minkään osaston sisäinen liikenne ei välity toiselle osastolle, eikä minkään osaston työasema voi esiintyä toisen osaston työ
asemana.
Pitkän matkan yhteyksissä käytetään kiinteitä kaapeleita. Tutkimuskes
kuksen eri osien välillä on valokaapeli, jonka turvallisuuteen luotetaan.
Jokaisella työntekijällä on velvollisuus lukita huoneensa. Tämän vuoksi kukaan ei voi käyttää kenenkään muun työasemaa. Työntekijä saa huo
mautuksen, jos yövartija huomaa jonkun huoneen ovien olevan auki. Kol
mesta ’security violation error’:sta joutuu esimiehen puhutteluun.
Tutkimuskeskuksen ulkopuolelle ei voi ottaa interaktiivisia pääteyhteyksiä eikä FTP-yhteyksiä. Postia voi lähettää keskuksen ulkopuolelle, mutta tähän tarvitaan esimiehen lupa. Uloslähtevää postia tarkkailee asiantuntijajärjes
telmä ja uloslähtevät ohjelmat päätyvät suoraan esimiehen postilaatikkoon.
Työasemaverkon ylläpito on erittäin konservatiivista: muutoksia tapahtuu tyypillisesti vain kerran vuodessa. Ohjelmasta ei asenneta uutta versiota el
lei siihen ole todella tarvetta: jokin kaikille olennainen piirre tai selvä virhe vanhassa versiossa.
4.3 MTTlN ATHENA-PROJEKTI
MIT:n Athena-projekti keskittyy lisäämään työasemien käyttöä koko yli
opiston perusopetuksessa matematiikasta laivanrakennukseen. Tällä
het-kellä käytetyt työasemat ovat IBM PC/RT- ja VAXstation -tietokoneita - yh
teensä lähes tuhat kappaletta.
Athena-verkko käyttää palvelujen turvaamiseen Kerberos-tunnistuspalveli- jaa. Tämä esitellään yksityiskohtaiseksi luvussa 3.4.7.
Projekti on ollut käynnissä vuodesta 1982 IBM:n ja Digitalin rahoituksella.
Jatko on varmistettu noin vuoteen 1991 asti. Projekti on maksanut tähän men
nessä noin 70 miljoonaa dollaria.
Athena-projektissa tehdään ohjelmia käytettäväksi perusopetuksessa.
Uusimmat ohjelmat ovat virtausmekaniikan (mm. tuulitunneli) opetusohjel
ma, interaktiivisen videolevyn käyttö ranskan, espanjan ja merenkulun ope
tuksessa, lineaaristen ja epälineaaristen ongelmien ratkaisuohjelma ja sää
tötekniikan opetusohjelma. Kaikki opetusohjelmat on tehty kyseisestä opetuk
sesta vastaavassa laboratoriossa Athena-projektin tuella. Joihinkin opetusoh
jelmiin on kulunut kymmeniä opetushenkilökunnan miestyövuosia.
Opiskelijat käyttivät työasemia aktiivisesti. 80% opiskelijoista käytti Athe- na-palveluita säännöllisesti. Yli puolet opiskelijoista käytti vapaaehtoisesti tekstinkäsittelyä ja sähköpostia omissa tehtävissään.
Athena-projektilla on hieman yli 30 työasemaryhmää, joista 12 on julkisia kaikille perusopiskelijoille auki olevia ryhmiä. Monet muut ovat laboratori
oissa, joissa annetaan ohjattua opetusta. Yli 100 kurssia käyttää opetuksessa Athena-työasemia.
Organisaatioltaan MIT:n Athena-projekti on erillinen kaikesta muusta yli
opiston hierarkiasta. Athena ei enää pidä itseään projektina vaan keskitetty
nä palveluorganisaationa.
Athena on tulosvastuullinen - osastot ostavat siltä palveluja ja itse projekti pyrkii aktiivisesti pitämään organisaationsa mahdollisimman pienenä.
Tuotantoympäristöstä vastaa muutaman hengen verkkoryhmä ja muutaman hengen palveluryhmä. Myös kaikki ryhmät ovat tulosvastuullisia ja maksa
vat toistensa palveluista. Toiminta on TKK:n vastaavaan toimintaan verrat
tuna paljon enemmän liikeyritystä muistuttavaa.
Athena siirtää vastuuta palveluja käyttäville osastoille niin paljon kuin suin
kin mahdollista. Jopa koulutuksen hoitavat osastot mahdollisuuksien mu
kaan itse. Verkko- ja työasemapalvelut ovat ainoat MIT:n keskitetyt tietojen
käsittelyresurssit. Jos osasto katsoo tarvitsevansa esimerkiksi IBM-suurko- neen, se hankkii sen itse.
MIT:n keskitetty tietokoneverkko koostuu 20...30 Ethernet-segmentistä. Rei
tittimet näiden segmenttien välillä ovat gVAX-II -tietokoneita.30 Lähikor- keakouluihin (Harvard ja Boston University) on MIT:ltä valokaapeliyhteys.
Tulevaisuudessa harkitaan siirtymistä optiseen FDDI-lähiverkkoon.
Athena-projekti on tehnyt olennaisimmat ohjelmansa itse. Pohjana on UNIX BSD 4.3 -järjestelmä, mutta omaa kehitystyötä on tehty satoja miestyövuosia.
Projekti keskittyy kehittämään palveluita; näiden perustana olevaa käyttö
järjestelmää ollaan valmiita vaihtamaan, mikäli siihen on järkevä syy. At
hena ei ole tutkimusprojekti, vaan se tekee täysin soveltavaa kehitystä. Mi
tään erikoista yhteyttä TKO-laboratoriota vastaavaan yksikköön ei ole.
Kaiken ohjelmankehityksen tarkoituksena on saada työasemaverkko toimi
maan mahdollisimman ylläpidettäväsi!. Tarvittavan ylläpitohenkilökun
nan määrää pienennetään kaikin käytettävissä olevin keinoin. Palvelujen suunnitteluperiaatteena on, että vaikka työasemien lukumäärä lisääntyisi moninkertaiseksi, tarvittavan ylläpitohenkilökunnan määrä ei olennaisesti muutu.
Athena-projektin perusohjelmat ovat ilmaiseksi kaikkien käytettävissä. So
vellusohjelmat sen sijaan ovat maksullisia (esimerkiksi Tödor-virtausme- kaniikkaohjelman korkeakoulun laajuinen lisenssi maksaa $3000).
MIT;ssä kehitettyjen ohjelmistojen lisensointia hoitaa keskitetysti erillinen Technology Licencing Office.
Perusratkaisu tiedostopalveluihin on käyttää NFS-palvelijoita, joista käyttä
jän kotihakemisto liitetään työaseman tiedostojärjestelmään. Tärkeimmät systeemiohjelmat liitetään RVD-palvelijoista (.Remote Virtual Disk, kehitetty MIT:n tietojekäsittelyopin laboratoriossa). RVD-levy on verkon yli fyysise
nä laitteena näkyvä kirjoitussuojattu levy, jonka käyttö on huomattavasti NFS-palveluja tehokkaampaa. Kolmantena verkkotiedostoratkaisuna ote
taan käyttöön CMUrn Andrew-projektin AFS (Andrew File System).
Tavallisen opetustilanteen kannalta on hankalaa, että Athena-verkko on kohtuullisen usein käyttökelvoton (MIT:n koneosaston kokemuksien mu
kaan). Työasemat ovat riippuvaisia verkosta ja muutamista verkossa olevis
ta palvelijoista. Kun tietokoneita käytetään aikataulultaan tarkkojen labora
torioharjoitusten tukena, muutamia päiviä vuodessa olevat käyttökatkot häi
ritsevät opetusta hyvin paljon.
44 CMUlN ANDREW-PROJE KTI
Andrew-projekti on perustettu CMU:n yliopistoon kehittyneiden työasemien käyttöä edistäväksi projektiksi. Projekti on aloitettu IBM:n rahoituksella
30 Neljällä samanlaisella koneella hoidetaan lähes kaikki TKK:n peruskurssit.
erillisessä ITC-yksikössä (Information Technology Center). Andrew-projek- tin valmistuttua organisaatio on siirretty henkilökuntineen osaksi paikallis
ta laskentakeskusta - ITC keskittyy edistyneempään tutkimukseen.
Parhaillaan Andrew-jäijestelmää integroidaan perinteiseen laskentakes- kusympäristöön. Andrew Plus -projekti tarkoittaa sitä, että myös suurkoneita ja mikroja yritetään liittää työasematyyppisiin palveluihin. Käytännössä on toteutettu vain pääteyhteys verkon yli.
Tällä hetkellä projekti tarjoaa muutamia opiskelijoiden yleisessä käytössä olevia työasemaluokkia. Pääosa työasemista on kuitenkin työntekijöiden pöydällä. Projektiin arvioidaan kuluneen noin 70 miljoonaa dollaria, yhtä paljon kuin MIT:n Athena-projektiinkin. Työhön arvioidaan kuluneen noin 25 ihmisen työpanos seitsemän vuoden ajan.
Selvät toteutetut ohjelmaprojektit ovat:
• Andrew-tiedostojärjestelmä (AFS)
• Andrew-ikkunointijäijestelmä (uudet versiot pohjautuvat Athenan X- ikkunointiin)
• Andrew-postiohjelmisto.
Ikkunointijärjestelmä ja postijärjestelmä ovat ilmaiseksi saatavilla. And- rew-tiedostojäijestelmä sen sijaan on siirretty IBM:n tuotteistukseen. IBM tullee esittelemään AFS:n tuotteenaan joskus tulevaisuudessa. Järjestelmää lisensoitaneen myös kilpailijoille — tämäntapainen ohjelma on saatava mui
denkin valmistajien standardiksi, jotta siitä tulee kilpailukykyinen tuote.
AFS on olennaisesti perinteisiä verkkotiedostopalvelijoita parempi ja ylläpi- dettävämpi järjestelmä. Se perustuu siihen, että paikallinen työasema pusku
roi tarvittavat tiedostot kokonainen tiedosto kerrallaan. Tällöin käyttäjän kotihakemisto pikku hiljaa ’valuu’ siihen työasemaan, missä hän useimmi
ten työskentelee. Tällaisen järjestelmän ylläpito on olennaisesti helpompaa kuin perinteisen tiedostojärjestelmän - yksi keskitetty tiedostopalvelija riit
tää kymmenien työasemien tarpeisiin.
CMU:n tietoliikenneverkko on symmetrisesti järjestetty. Ylläpitäjät korosta
vat tähtimäisen tietoliikenneverkon helpompaa ylläpidettävyyttä. Keskus- Ethemet-verkkoja on kaksi toisistaan sillalla erotettuina. Fyysisesti nämä molemmat sijaitsevat samassa hyllyssä eivätkä ne ulotu keskustietoliiken- nehuoneen ulkopuolelle.
Osastoille on vedetty Token Ring -segmentit, jotka on yhdistetty keskustieto- liikennehuoneeseen valokaapelilla. Tietoliikennehuoneessa valokaapelit liitetään keskus-Ethernettiin reitittimillä. Reitittimet ovat PC/AT-mikroja, joita keskustietoliikennehuoneessa on noin 32. Yksi mikro yhdistää kaksi
74
Token Ring -segmentiä keskus-Ethemettiin. AT:ssa pyörivä ohjelmisto on tehty CMU:ssa.
Osastoilla on tietoliikennehuone, jossa on kytkentätaulu huoneiden johdotuk- selle. Jokaiseen huoneeseen on vedetty useita eristettyjä nelikierrekaapelei- ta. Näitä linjoja voidaan käyttää jonain seuraavista:
• puhelin
• Token Ring -kaapeli
• StarLAN-kaapeli (Ethernet)
• AppleTalk -kaapeli.
Kaikkien liitin ja kaapeli on samanlainen: kaapelissa kulkevaa protokollaa voidaan vaihtaa kytkentätaulun kaapeloinnilla. Tämä on ns. IBM-tyyppi
nen kaapelointiratkaisu. Ethernet voi olla vain rakennuksen sisäinen; seg
menttien välinen liikenne voi olla vain Token Ring -pohjaista.
Tähtimäisellä rakenteella on saatu parannettua järjestelmän luotettavuutta merkittävästi. Jos yhdessä segmentissä on ongelmia, se voidaan irroittaa verkosta. Koko yliopiston liikenne kulkee saman pisteen kautta, joten yksit
täisen segmentin ongelmaa voidaan analysoida keskustietoliikennehuo- neessa olevilla analysointilaitteilla. Suuressa tietokoneverkossa on tärkeää, ettei laitteita tarvitse kuljettaa rakennukseen, jossa viallinen segmentti on.
Ongelmana keskustietoliikennehuoneessa on se, että esimerkiksi paikalliset sähkökatkot estävät koko verkon toiminnan.
Andrew-projektilla on aikaisemmin ollut oma tunnistuspalvelija. Nyt pro
jekti on siirtynyt parempana pidettyyn Kerberokseen.
5 MENETELMIÄ TURVALLISUUDEN ANALYSOIMISEKSI Tässä luvussa esitetään joitakin menetelmiä turvallisuuden analysointiin.
Esitys pohjautuu kirjoihin [Fites1989], [Baskerville1988] ja [Lane1985] eikä py
ri ajan tasalla olevaan tarkkuuteen. Uusimmista tutkimuksista kertovia ar
tikkeleita ei ole sisällytetty tarkasteluun.
Aluksi tarkastellaan muutamia perusmenetelmiä: tarkistuslistoja ja riski
analyysiä. Tämän jälkeen tarkastellaan kokonaista turvallisuusohjelmaa.
Lopuksi tutustutaan hieman tarkemmin turvallisuusohjelman toteuttami
seen.
5.1 PERUSMENETELMÄT
5.1.1 Tarkistuslistojen käyttö
Perinteisin ja yhä käyttökelpoinen menetelmä turvallisuuden arvioimiseksi ovat tarkistuslistat. Tarkistuslistoihin kootaan tärkeiksi havaittuja turvalli
suusnäkökohtia. Lopullinen järjestelmä suunnitellaan sellaiseksi, että nä
mä kohdat ovat kunnossa.
[Fites 1989] esittelee kanadalaisen poliisiorganisaation suositteleman 43-koh- taisen listan. Vakuutusyhtiö Pohjolan julkaisemat oppaat [Porvaril988a] ja [Porvari 1988b] sisältävät suomalaisia tarkistuslistoja, samoin Puolustusta- loudellisen suunnittelukunnan ohjeet [Puoi 1989]. Lisäksi esimerkiksi kir
jassa [Baskerville1988] lainataan muutamia kohtia laajasta AFIPS-tarkis- tuslistasta. Valmiit tarkistuslistat käsittelevät hyvin vähän tämän tutki
muksen aihepiiriä - pääpaino on fyysisessä turvallisuudessa.
Tarkistuslista ei kata muuta kuin sen laatijalle mieleen tulleet asiat. Toi
saalta siitä saattaa puuttua olennaisia asioita, toisaalta siinä saattaa olla vaa
timuksia, jotka ovat vaikutukseltaan hyvin vähäisiä.
timuksia, jotka ovat vaikutukseltaan hyvin vähäisiä.