Riskiä vähentävät valvontatoimenpiteet - Turvallisuusohjeinhan toteuttamisesta

5 MENETELMIÄ TURVALLISUUDEN ANALYSOIMISEKSI

5.2 Turvallisuusohjeinhan toteuttamisesta

5.2.4 Riskiä vähentävät valvontatoimenpiteet

Riskiä pyritään pienentämään erilaisten valvontatoimenpiteiden, kontrolli

en avulla. [Fites 1988] jakaa kontrollit ennakoiviin, havaitseviin ja korjaa

viin. Tämä vaikuttaa käytännössä liitävältä jaolta. Esimerkiksi jos ajatel

laan tietokoneeseen tunkeutumista, se voidaan estää vaatimalla tunnussanaa käyttäjältä. Väärinkäyttö havaitaan siitä, että konsolille tulostuu viesti vää

ristä yrityksistä. Tunkeutuminen korjataan estämällä lisäyritykset samas

ta lähteestä tai vaihtamalla salasanaa.

Baskerville ehdottaa toisenlaista jakoa kontrolleille:

Taulukko 5.4. [Baskerville1988]:n luokitus kontrolleille ja muutamia esimerkkejä.

välttäminen vastustuskyky lievennys

muuntelu käyttöjärjestelmän

kontrollit

varmuuskopio tilintarkastusloki

tuhoaminen varmennettu

sähkönsaanti

varmuuskopio vakuutus

paljastuminen salaus rajallinen käyttö-

kelpoisuusaika

Välttäminen (avoidance) pyrkii vähentämään riskin mahdollisimman pie

neksi. Vastustukyvyn nosto (tolerance) pyrkii vähentämään vaikutuksia niin, ettei vahinko johda järjestelmän täydelliseen murtumiseen. Lievennys (mitigation) pyrkii vähentämään riskin aiheuttamia kustannuksia (aikai

sella havaitsemisella tai nopealla toipumisella).

Valvontatoimenpiteiden tehokkuuden arviointi

[Lane1985] esittää tehokkaille valvontatoimenpiteille useita vaatimuksia.

Seuraavassa niistä tärkeimmät:

• taloudellisuus

• riippumattomuus toimenpiteen salaisuudesta

• jokaisella ihmisellä ja laitteella on täsmälleen niin paljon tietoa kuin työn tekemiseksi tarvitaan

• valvottavat ja valvontatoimenpiteet pidetään erillään

• mahdollisimman automaattinen; ei tarvita ihmistä

• virhetilanteissa oletuksen tulee olla turvallinen

• valvontamenettelyn tulee pysyä turvallisena (ihmisten hallitsemat jäijestelmät rappeutuvat ajan myötä)

• käyttäjien tulee hyväksyä menettely

• jokaisesta kontrollista on vastuussa yksi ihminen

• toiminnasta tulee pitää lokia.

6 TKKdSr TILANTEEN ANALYYSI JA TOIMENPIDE-EHDOTUKSIA

6.1 TKKN VERKKO

TKK:n ensisijainen lähiverkko on tällä hetkellä Ethernet. Käytössä on tä

män lisäksi myös monia muita ratkaisuja.

TKKrlla ei ole vuosiin tehty selviä periaatepäätöksiä tietoliikenneverkon suunnasta. Tämän vuoksi verkko on hyvin monimutkainen ja monimuotoi

nen. Tilanne myös muuttuu jatkuvasti. Yritän kuvata tilannetta sellaisena kuin se suurin piirtein on ollut keväällä 1989.

Vielä viisi vuotta sitten ainoa tapa kytkeä tietotokoneita ja päätteitä toisiinsa oli datavaihde. Käyttäjä pyytää istuntonsa aluksi datavaihdetta kytkemään hänet oikeaan koneeseen. Vuonna 1984 TKK:lla siirryttiin osittain IBM-ai- kaan - tavoitteena oli yksi ainoa kone, johon päätteet kytketään kiinteästi kalliilla koaksiaalikaapeleilla ja pääteohjaimilla. Samoihin aikoihin alet

tiin rakentaa myös päinvastaisella ajatuksella toimivaa pääteratkaisua:

yksi Ethemet-koaksiaalikaapeli kiertää rakennuksien päästä päähän. Sekä tietokoneet että päätteeet liitetään tähän yhteen ainoaan kaapeliin.

Tällä hetkellä voidaan sanoa, että kaikilla kolmella tietoliikenneratkaisul

la on vahva asema: mikään ratkaisu ei ole jäämässä pois käytöstä. Jokai

seen ratkaisuun on käytetty paljon rahaa, joten yhdestäkään ei tunnuta voita

van luopua. Lähiverkko on kuitenkin se, johon tullaan varmasti panosta

maan eniten. Sovelluksilta tämä kuitenkin edellyttää turvallisuustekijöiden parempaa huomioon ottamista.

Kolmen ratkaisun olemassaolo on johtanut monimutkaiseen ratkaisujen vä

listen muunnosten verkostoon. IBM-koneita pääsee käyttämään myös data

vaihteesta ja lähiverkon kautta. Tavalliset ASCII-päätteet voidaan kytkeä datavaihteeseen, suoraan kohdekoneeseen tai lähiverkon päätepalvelijaan (eli päätekeskittimeen). Missä tahansa verkon tietokoneessa kiinni oleva pääte pääsee lähiverkon avulla yhteyteen muiden verkossa olevien koneiden kanssa. Lähiverkko voi suurelta osin korvata datavaihteen.

IBM-koneet protokolla-muunnin

data

vaihde Ethernet

verkko

VAX 8350

UNIX-koneet

modee

mit

työasemat Kuva 6.1. Yksinkertaistettu Ethernet- verkko ja yhteydet päätelinjoihin.

IBM-koneita voidaan käyttää ASCII-päätteiltä verkon tai datavaihteen läpi.

Helpoimmin käyttö tapahtuu 7171-protokollamuuntimen läpi. ASCII-pääte on riittävän joustava emuloimaan IBM-päätettä.

IBM-päätteet eivät ole yhteensopivia muiden järjestelmän osien kanssa. Ne on kytketty suoraan keskuskoneeseen eivätkä ne tavallisesti sovellu muissa koneissa olevien ohjelmien käyttöön. Tämän lisäksi IBM:n 3270-päätteet ovat monin verroin ASCII-päätteitä kalliimpia. Päätteiden yhteensopimatto

muudesta ja kiinteistä linjoista on tosin etua siinä, että esimerkiksi hallin

non rekistereiden päätteet ovat paremmassa turvassa.32

Uusin ilmiö lähiverkon käytössä on pakolliset päätepalvelijat: tietokonetta voi käyttää vain verkon kautta. TKKm isoimmassa VAX-tietokoneessa (VMS-käyttöjärjestelmä) ainoa tapa käyttää konetta on kirjoittautua sisään päätepalvelijaan. Käyttäjien päätteet kytketään Digitalin LAT-päätepalveli- joihin. LAT-päätepalvelijaan kytkeydytään TKK:lla lähinnä datavaihteen kautta.33

Modeemit kytketään pääasiassa datavaihteeseen. Joitakin modeemeja on to

sin kytketty siten, että niillä pääsee vain tiettyihin koneisiin. Modeemia voi

32 Osan saavutetusta turvallisuudesta mitätöi se, että käytännössä opintosuoritusrekis

terin päätteet ovat PC-mikroja. Opiskelija voi teoriassa tehdä esimerkiksi pelioh

jelman, joka on Troijan hevonen (opintosuoritusrekisterin päätteellä on nähty pelatta

van pelejä).

33 Ei ole itsestään selvää, että reititin välittää LAT-protokollaa. Siksi protokollaa voi käyttää vain yhden segmentin sisäisenä. Sen käyttöä TKK:lla ei kannata suosia.

siis käyttää vain, jos on lupa johonkin näistä koneista. Nämä modeemit ovat laskentakeskuksen henkilökunnan käytössä, ja koneet ovat lähinnä lasken

takeskuksen ylläpitokoneita.

Datavaihteesta pääsee myös suoraan päätepalvelijoihin (yhteys ei näy kuvas

sa). Tätä kautta kuka tahansa pääsee mihin tahansa verkossa olevaan ko

neeseen. Kuka tahansa Helsingin verkkoryhmän alueella voi paikallispu

helun hinnalla päästä käyttämään lupaansa, joka on Tampereella tai jopa USA:ssa olevassa koneessa. Modeemin käyttö ei edellytä lupaa TKK:n tieto

koneissa.

UNIX-tietokoneita pääsee käyttämään sekä verkon että datavaihteen kautta.

UNDi-työasemia käytetään ensisijaisesti konsolilta (koneeseen liitetty kuva- putki-näppäimistö-hiiri -yhdistelmä). TKK:lla on tapana käyttää samoja ko

neita myös yhtä aikaa verkon kautta.

Macintosh-tietokoneet kytketään tavallisimmin omaan AppleTalk-verk- koonsa. Käytössä on Kinetics-välittimiä, jotka yhdistävät AppleTalk-seg- mentin tietokoneet Ethemet-verkkoon. Liitäntä on melko hidas, joten myös suoria Ethemet-liitäntöjä käytetään.

PC-tietokoneissa on käytössä monenlaisia verkkoratkaisuja. Vaikuttaa sil

tä, että PC:t on useimmiten kytketty suoraan osaston segmenttiin - siis käy

tännössä koko korkeakoulun runkokaapeliin.

Runkokaapelista vastaava laskentakeskus paheksuu mikrojen liittämistä keskus-Ethemet-kaapeliin. Ilmeisesti laskentakeskus (LK) kuitenkin pitää tilannetta hallittavissa, koska konfiguraatiotietojen mukaan LK:n henkilö

kunnan 3 Mac-tietokonetta ja 6 PC-tietokonetta on kytketty suoraan runko- kaapeliin. Osastoilla on kymmeniä PC-tietokoneita, joille on annettu Inter- net-numero. Macintosh-tietokoneita Kinetics-yhteydellä on vielä enemmän.

Koneiden nimien ja Intemet-osoitteiden yhdistämiseen on käytössä nimipal

velija. Erityisesti lähes kaikki UNIX-koneet käyttävät tätä palvelua omien tietokantojensa asemesta. Tunnistuspalvelijaa ei ole, joten verkko on täysin turvaton kaikkia matalan tason verkkohyökkäyksiä vastaan.

Osastojen lähiverkot

Merkittävimmät TKK:n rakennukset on kaapeloitu koaksiaalikaapelilla.

Rakennuksista on vedetty optinen kuitu päärakennukseen. Laskentakes

kuksen konehuoneen tietoliikennehuoneessa valokaapelit on yhdistetty opti

sella tähdellä.

FUNET, Otanet

явтт reititin

• silta X optinen tähti

valok.

modeemi

valo-

osasto-kaapelit verkot

yleinen osasto

konehuoneen tietokoneet

julkiset työ

asemat

LK:n PC:t, Macit TKO-laboratorion

segmentti Kuva 6.2. TKK:n Ethernetin osastojako.

Kaikki liikenne näkyy kaikkialla. Ainoa looginen erotus on tietojenkäsitte

lyopin laboratorion erottaminen omaksi segmentikseen. Tämä on tehty yh

dellä reitittimenä toimivalla keskisuurella tietokoneella (Sun-4), jossa on kaksi Ethemet-liitäntäkorttia.

Verkossa on jatkuvasti pieniä ongelmia. Esimerkiksi yhden osaston PC- luokka on ainakin kerran tukkinut runkoverkon virhetoimintansa vuoksi . Yhteydet ulkopuolelle

Otaniemen muut organisaatiot on yhdistetty TKK:lle optisen tähtimäisen Otanet-verkon avulla. Ylioppilaskunta ja Otaniemen teknologiakylä on yhdistetty korkeakoululle silloilla. Tämä ei erota verkkoja kovin hyvin.

Paikallinen liikenne tosin rajoittuu osittain omaan organisaatioon.

Ethernet-tyyppiset yhteydet Otaniemen ulkopuolelle hoidetaan VTKK:n tie

teellisen laskennan palvelutoimistossa fyysisesti sijaitsevien FUNET-pro- jektin yhteyksien avulla. VTKKrn ja TKK:n välillä on vain silta. LK on os

tamassa reititintä, joka tulee todennäköisesti tähän käyttöön.

Tärkeimmillä Suomen yliopistoilla on oma lähiverkko. Lähiverkot on yh

distetty FUNET-verkkoon lähes lähiverkkotasoisilla yhteyksillä (64 kbit/s - 2 Mbit/s).

Nordunet ja muu Internet reititin

# silta

FUNET128.214.6

Otanet

sillalliset organisaatiot,

esim.

HELSINKI, OULU reitittimilliset

organisaatiot, esim. TUT

reitittimilliset sillalliset Otaniemen Otaniemen organisaatiot, organisaatiot,

esim. VTT

Kuva 6.3. FUNET-verkko, joka yhdistää Suomen korkeakoulujen lähiverkot.

Useimmat korkeakoulut on yhdistetty FUNET-verkkoon silloilla. Esimer

kiksi jos TKK:n koneesta otetaan yhteyttä Helsingin yliopiston uhecs.helsin- ki.fi-koneeseen, TKK:n kone lähettää koko verkkoon broadcast-viestin pyy

täen konetta 128.214.4.1 vastaamaan (tämä Intemet-numero kysyjän on tie

dettävä tai kysyttävä nimipalvelijalta). Kaikki sillalla kytketyt organisaati

ot ja näiden kaikki koneet vastaanottavat viestin ja varmistavat, että ei itse ole tämä kone. Uhecs vastaanottaa sen (kuten oululaisetkin koneet) vastaten omalla Ethemet-numerollaan. Kun kysyjä saa osoitteen, yhteys voidaan aloittaa. Yhteydessä sillan yli käytetään siis samaa ARP-protokollaa Ether- net-osoitteen kysymiseen kuin lähiverkossakin. Tämä on tehotonta, virheal

tista ja turvatonta.

Yhteydet hoidettiin pitkään vielä nykyistä turvattomammin. TKK:n ja VTT:n välissä oli pitkään silta, mutta nyt se on vaihdettu reitittimeksi. Vielä jokin aikaa sitten koko Suomen verkko oli erotettu vain silloilla - käytän

nössä Suomessa oli vain yksi ainoa lähiverkkosegmentti.

Muut yhteydet

Lähiverkko-, pääteverkko-, modeemi- ja FUNET-yhteyksien lisäksi TKK:n tietokoneilla on vielä muutamia muita kommunikointitapoja.

BITNET (EARN)

IBM-ко neet

f

^{VMS- I}

l koneet J VMS-koneet

X.25-

T

yhteydet

2 soitto- modeemia

Г] f

_J ^santra

1

_J yj NI X-ko nettai

yhteydet Suomen korkeakoulujen

IBM-koneisiin ja ulkomaille

Kuva 6.4. TKK:n BITNET-yhteydet, X.25-yhteydet ja soittomodeemit.

Alun perin IBM:n tukema EARN-projekti (European Academic Research Net

work) toi tullessaan oman verkkonsa. Yhteyksiä tähän verkkoon on kaikista isoista IBM-koneista ja lisäksi muutamista UNIX-koneista. Verkko sallii sähköpostin lähettämisen ja yksirivisten interaktiivisten viestien vaihdon.

Suomessa EARN-yhteydet ovat mahdollisia muutamiin muihin IBM-koneita käyttäviin korkeakoulukin ja maailmalle Eurooppaan ja USA:n vastaavaan Bitnet-verkkoon. EARN-verkolla on oma kiinteä linja Ruotsiin ja sitä kaut

ta Keski-Eurooppaan.

X.25-yhteydet on järjestetty kiijaston ja tutkijoiden VAX/VMS-tietokoneisiin.

Yhteydet on tarkoitettu ennen kaikkea kiijaston tietokantojen maksavien asiakkaiden käyttöön.

TKK on myös lupautunut hoitamaan Etelä-Suomen UUCP-yhteydet. Tämä on verkko, jossa välitetään vain sähköpostia ja sähkökonferenssiviestejä. Näi

tä yhteyksiä hoidetaan muutamia kertoja päivässä koneiden välisillä auto- maattimodeemisoitoilla. Näitä varten sähköpostin keskuskoneessa ’santras- sa’ on kaksi automaattisoittomodeemia.

6.2 MENETELMÄ TKKzN TURVALLISUUDEN ANALYSOIMISEKSI

TKK:n turvallisuuden analysoimiseksi käydään järjestelmällisesti läpi se, mitä TKKm tulee tarjota tietokoneiltaan ja se, mitkä uhat kohdistuvat tähän toimintaan. Tähän käytetään soveltaen edellisessä luvussa esitettyä turval- lisuusohjelmaa:

1. Etsitään ne palvelut, joita TKKm tulee tarjota sekä muut kohteet, joihin hyökkäys voi kohdistua.

2. Etsitään palveluihin kohdistuvat uhat.

3. Arvioidaan uhkien todennäköisyys ja merkitys TKKlle. Lasketaan riskit.

4. Tarkastellaan järjestelyjä, jotka vähentäisivät riskejä; aloitetaan pahimmista riskeistä.

5. Arvioidaan valvontatoimenpiteiden realistisuus nykyisessä tilanteessa.

6. Esitetään suositukset välittömästi toteutettaviksi toimenpiteiksi, suositukset jatkotoimenpiteiksi ja suunta jatkotutkimukselle.

Jokaisessa vaiheessa kohdennetaan käsittelyä edellisen vaiheen perusteella olennaisimpaan. Näin pyritään uuttamaan olennaisin tieto niin, että kaikki mahdollisuudet on kuitenkin otettu huomioon.

Kuten tehtävän määrittelyssä todettiin, tarkastelun ulkopuolelle jätetään fyy

siset uhat. Tarkastelussa keskitytään ihmisen tietokoneen avulla aikaan saamiin vahinkoihin. Käytännön pakosta joudutaan puuttumaan tietoliiken

teeseen kuulumattomiinkin asioihin, pääpaino on kuitenkin verkkoturvalli- suudessa.

6.3 SUOJATTAVAT JÄRJESTELMÄN OSAT

TKK:n järjestelmästä ei voi saada tarpeellista kuvaa, ellei tarkastella loogis

ta jakoa (palvelut) ja fyysistä jakoa (laitteistot). Tämän jaon ulkopuolelle jää muutamia vaikeasti luokiteltavia suureita.

Samalla kun seuraavissa taulukoissa on kuvattu suojattavaa järjestelmän osaa, on annettu lyhyt luonnehdinta sen luonteesta turvallisuuden kannalta.

6.3.1 Looginen palvelujako

Loogisessa jaossa järjestelmä jaetaan käyttäjän käyttötarpeiden mukaisesti eri palveluihin. Nämä palvelut ovat käytettävissä kirjoittautumalla tietoko

neeseen, nykyisin ensisijaisesti verkon välityksellä.

Taulukko 6.1. Looginen palvelujako.

opiskelijoiden harjoitustyöympäristö

• Opiskelijoiden on voitava tehdä harjoitustyönsä muut

tumattomassa ja melko toimivassa ympäristössä.

• Merkittäviä paivelukatkoksia ei saisi sattua

palautuspäivien lähistöllä eikä laboratoriotöiden aikana.

opiskelijoiden tieto

varasto

• Opiskelijoiden tietoja tulee suojata kohtuuttomia häiriöitä vastaan,

• Harjoitustöiden luonteeseen kuuluu, että toinen opiskelija ei saa nähdä toisen opiskelijan harjoitustyötä.

• Opiskelijat saattavat tehdä kiusaa toisilleen ja muille.

tutkimuksen tietokone- kapasiteetti

• Tutkijoiden työ on eräajoluonteista. Kohtuulliset häiriöt eivät ole vaarallisia.

• Tutkijoiden työt pidetään perinteisesti erillään opiskelijoiden töistä.

tutkijoiden tietovarasto • Tutkijoilla saattaa olla tietoja, joita he haluavat pitää piilossa muilta.

• Suoranainen vakoilukaan ei ole täysin mahdotonta.

hallinnon rekisterit • Hallinnon rekisterit tulee pitää suojassa muuntelua ja asiatonta katselua vastaan.

• Henkilökunnan valvonta on tarpeen.

ohjelmistot • Ohjelmistoja on voitava suojata laitonta kopiointia vastaan. Kopiointimahdollisuus voi vaarantaa koulun maineen luotettavana ohjelmistosopimusosapuolena.

tulostuspalvelut • Kenenkään ei tulisi voida tulostaa kohtuuttoman kalliita tulostuksia ilman jonkinlaista lupaa.

sähköpostipalvelut • Tavallisesti hyvin halpa, mutta sähköposti ulkomaille voi olla (reitistä riippuen) kalliskin

• Kenenkään ei tulisi voida lukea salaiseksi tarkoitettuja kirjeitä eikä lähettää nimettömiä kirjeitä.

sähkökonferenssi-palvelut

• Sähkökonferenssipalveluissa (news) tarvitaan mahdollisuus kontrolloida käyttöä.

• Nimettömien kirjeiden lähettämisen ei tulisi olla mahdollista.

interaktiiviset yhteydet ulospäin

• Niiltä osin kuin yhteydet ovat maksullisia tarvitaan kontrolli liiallisen ja asiattoman käytön varalta.

• Maksuttomillekin (käytännöllisesti katsoen) yhteyksille tarvitaan valvontaa ulospäin tapahtuvien

väärinkäyttöyritysten varalta.

FTP-yhteydet ulospäin (tiedostonsiirto)

• Ei voi tällä hetkellä aiheuttaa merkittäviä kustannuksia.

• Ei voi (periaatteessa) murtaa muiden koneiden suojauksia.

• Jos yhteydet kuormittuvat liikaa, kontrollia tarvitaan.

maksulliset

ulkopuolisille tarjottavat palvelut

• Esimerkiksi kirjaston tietokannan käytössä ilmaisen käytön tulee olla riittävän hankalaa ulkopuoliselle.

Toisaalta koulun omalle henkilökunnalle ja opiskelijoille tulee sallia joustava käyttö.

ylläpitopalvelut • Vain muutamat henkilöt hallitsevat tietokoneiden ylläpidon erikoistilanteet. Näillä tulee olla jonkinlaiset mahdollisuudet konsultoida osastoja ongelmien ilmetessä - mieluiten tulematta fyysisesti paikalle.

6.3.2 Fyysinen jako

Seuraavassa luetellaan TKK:lla turvallisuuden kannalta merkittävät fyysi

set tietokone- ja tietoliikenneresurssit.

Taulukko 6.2. Fyysinen palvelujako.

UNIX-palvelukoneet (yli 10 kappaletta)

Ylläpito on kevyttä, dynaamista ja pohjautuu voimakkaasti verkon hyväksikäyttöön.

Opetus- ja tutkimuskäytössä.

IBM-koneet (VM) Tutkijoiden ja hallinnon käytössä.

Sovelluspainotteinen ylläpito.

Verkkoliitäntä ei olennainen.

VMS-koneet (tutkijat) Ylläpito lähes järjestelmätoimittajan varassa. Sovellusten tarvitsijat vastaavat niistä itse.

Kolmannen osapuolen toimittama verkkotuki.

VMS-koneet (kirjaston tietokannat)

Vain kirjaston sovelluksia.

UNIX-työasemat (opiskelijat)

Ovat kiinni runkokaapelissa.

Opiskelijat voivat käytännössä saada superkäyttäjäoikeuksin haltuunsa.

UNIX-ylläpitokone Kiinni verkossa.

Dynaamisessa ylläpidossa, jossa voi sattua virheitä.

Paljon arvokasta tietoa, mm. lähdekielisiä ohjelmia ja turvallisuustietoa.

sähköpostin keskuskone

Soittomodeemeja.

Vähän lupia ja yllätyksellisiä tapahtumia.

julkiset PC-tietokoneet Kiinni runkokaapelissa yksinkertaisella välittimellä tai ilman välitintä.

Mac-tietokoneet Kiinni runkokaapelissa Kinetics-laitteen avulla tai suoraan.

keskus-Ethemet Liitäntöjä mahdoton valvoa Ei osastoitu.

yhteys FUNETein Välittimenä silta.

yhteys sillalla FUNETein yhdistettyihin

korkeakouluihin

Mahdollista esiintyä toisen organisaation tietokoneena.

yhteys reitittimellä FUNETiin yhdistettyihin organisaatioihin

Tavanomaiset interaktiivisen yhteyden

tunkeutumismahdollisuudet molempiin suuntiin.

yhteys FUNETin kautta Internet-verkkoon

Tavanomaiset interaktiivisen yhteyden

tunkeutumismahdollisuudet molempiin suuntiin.

välittimet Eivät aina hyvin varautuneita turvallisuusriskeihin (esimerkiksi valmistajan takaportteja).

Ylläpito verkon kautta; ei esimerkiksi erilliseltä konsolilta Ylläpitäjän salasana näkyy verkossa.

datavaihde Ei tunnettuja ongelmia.

Kinetics-laitteet Ei tarkemmin selvitetty.

IBM-päätteet (3270) Ei tunnettuja ongelmia.

LAT-päätekeskittimet Pakottavat tietokoneen kaiken pääteliikenteen näkymään verkossa.

Protokolla ei ole julkinen eikä sen turvallisuutta ole selvitetty.

pääte-PCt • Mahdollista ohjelmoida mikä tahansa Troijan hevonen.

• Myös virukset saattavat levittää päätetoimintojen Troijan hevosia.

Bitnet • Vain kohtuullisen hyvän ylläpidon koneissa.

• Ei salli pääteyhteyksiä.

X.25 • Turvallisuus riippuu ohjelmiston luotettavuudesta.

• Vain VMS-koneissa.

• Kallis.

solttomodeemit • Vain koneessa, jossa on hyvin vähän salasanoja tai yllätyksellistä toimintaa.

• Kallis.

modeemilinjat • Voidaan ottaa yhteyksiä TKK:n ulkopuolelle ilman lupaa missään TKK:n koneessa.

6.3.3 Muut suojattavat järjestelmän osat

Joitakin osa järjestelmää on vaikea luokitella palveluiksi. Nämä ovat seuraavat:

Taulukko 6.3. Muut järjestelmän osat.

työntekijät • TKK:n arvokkain omaisuus.

• Liiallinen valvonta vaarantaa viihtyisyyden.

hyvä maine • Välttämätön tietoliikennesopimuksissa.

• Välttämätön ohjelmistosopimuksissa.

opiskelijat • TKK:n on tarjottava miellyttävä ja motivoiva teknisesti edistynyt opiskeluympäristö.

ulkopuoliset • Suojattava TKK:lta tapahtuvilta hyökkäyksiltä.

• Suojattava TKK:n kautta tapahtuvilta hyökkäyksiltä.

6.4 UHAT

Suojattavien osien luettelo läpikäymällä on pyritty löytämään olennaisim

mat järjestelmää uhkaavat tapahtumat. Seuraavassa taulukossa on aluksi palveluihin kohdistuvia uhkia, sitten tiettyjen murtumisten aiheuttamia jat- kouhkia ja lopuksi muutamia alemman tason fyysisiä uhkia.

Taulukon oikeassa laidassa olevissa sarakkeissa analysoidaan riskiä vahingon tapahtumiselle. Asteikkoa käsitellään taulukon jälkeen.

Taulukko 6.4. TKK:n uhat ja niiden riskien arviointi.

help

pous vaiku

tus riski

opiskelijoiden koneen muuntelu +- 4— 4—

opiskelijoiden koneen kaatuminen ⁴^— -

-toisen opiskelijan harjoitustyön katselu + 4- 4

-opiskelijoiden kiusanteko toistensa tiedostoissa + 4- 4

-opiskelijoiden kiusanteko tutkijoiden tiedostoissa - ⁴^- ⁴

-tutkijoiden koneen muuntelu - 4- 4

-tutkijoiden koneen kaataminen - -

-tutkijoiden tietojen katselu - 4-4- 4

-hallinnon rekisterien katselu — 4-4- 4—

hallinnon rekisterien muuntelu — ⁴^-⁴^- ⁴^—

ohjelmien laiton kopiointi ++ 4- 4-4

-tulostimien kohtuuton käyttö ++ ⁴^— ⁴

-nimetön sähköposti ++ 4— 4

-toisten kirjeiden lukeminen ⁴^- ⁴^- ⁴

-nevvs-palveluiden häirintä asiattomilla viesteillä ⁴^-⁴^- —

-nimettömät nevvs-viestit ⁴^-⁴^- -

-hyökkäys muihin Otaniemen/Suomen/maailman organisaatioihin

4- 4-4- 4-4

-hyökkäys ulkopuolelta ulkopuolelle TKK:n koneiden kautta

4- 4-4- 4-4

-maksullisten palveluiden ilmainen käyttö ⁴^— ⁴^- ⁴

-ylläpitäjän oikeuksien asiaton käyttö ⁴^-⁴^- ⁴^-⁴^- ⁴^-⁴ -ylläpitäjien oikeuksien murtaminen koko organisaatiossa - 4-4- 4

-viruksen tai madon leviäminen organisaatiossa ⁴^- ⁴^- ⁴

-X.25-yhteyden asiaton käyttö - 4- 4—

modeemilinjojen tukkiminen asiattomalla käytöllä ⁴^-⁴^- ⁴^— ⁴

-soittomodeemin asiaton käyttö - 4- 4—

työntekijöiden viihtyvyyden lasku/irtisanoutumiset 4— 4-4- 4

-vaikeutuneet neuvottelut verkkojen saamiseksi ⁴^— ⁴^- ⁴

-verkkoyhteyksien katkaisu ⁴^— ⁴^-⁴^- ⁴

-vaikeudet ohjelmalisenssien saamisessa ⁴^— ⁴^-⁴^- ⁴ -työaseman muuntelu tallettamaan salasanoja 4— 4- 4

-ylläpidon huolimattomuus, joka päästää asiattoman käyttäjän sisään

+ 4- 4

-vale-login työasemassa tai päätteessä 4- 4- 4

-virhe valmisohjelmistossa - ⁴^- ⁴^—

muualla yleisesti tunnettu virhe valmisohjelmistossa, mitä ei ole huomattu korjata TKK:lla

+ 4-4- 4-+

virhe paikallisessa ohjelmistossa 4- 4- 4

-verkkopalvelija/välitin Troijan hevosena - ⁴^- ⁴^—

varmuuskopioiden tai laitteistojen varastaminen — ⁴^— -työasemien/päätteiden fyysinen muuntelu salasanojen

tallettamiseksi

— ⁴^- 4—

verkon/työaseman säteilyn kuuntelu - -

-verkkoon kytkeytyminen vakoiluasemalla 4- 4- 4

-PC:n/työaseman käyttö verkon kuuntelussa 4- 4- 4

-PC.rVtyöaseman käyttö verkon häirinnässä (myös vahingossa)

4- 4— 4—

PC:n tai työaseman käyttö verkkosuojauksien murtamiseen

- 4-4- 4

-nimipalvelijan häirintä 4— 4- 4

-Riskien arviointi on toisaalta hyvin subjektiivista, toisaalta se riippuu tämän hetkisestä tilanteesta. Monet arviot teon vaikutuksesta muuttuisivat, jos tur

vallisuustaso olisi edes kohtuullinen. Esimerkiksi tietokoneen yhteyksien satunnaista tukkimista ei voi pitää tällä hetkellä merkittävänä.

Kuten aiemmin todettiin (luku 5.2.3), liiallista tarkkuutta arvioissa on vältet

tävä. Tarkastelun pohjaksi on valittu Smith-Lim-matriisi sovellettuna. Kos

ka tässä tutkimuksessa tarkastellaan ihmisten tekemiä vahinkoja, tarkas

tellaan yleisen haavoittuvuuden tilalla teon helppoutta.

Taulukko 6.5. Riskin arviointi sovelletun Smith-Lim-matriisin avulla.

vaikutus

help

pous

Matriisista saatava riski korostaa hieman vaikutuksen osuutta. Riskejä on tarkasteltu uhkaluettelossa riippumattomasti. Siksi esimerkiksi tutkijoiden tiedoston katselulla katsotaan olevan suuremman riskin kuin tiedostojen muuntelulla. Todennäköisesti kuitenkin muuntelukontrollin tekeminen on helpompaa.

Sanallisesti helppous- ja vaikutusluokkia voidaan kuvata seuraavasti:

Taulukko 6.6. Vahinkojen helppouden luokittelu.

++ valitettavan helppoa

+ helpohkoa

+- keskinkertaista

- vaikeaa

— lähes mahdotonta

Taulukko 6.7. Vahinkojen seurausten luokittelu.

++ vakavia seurauksia + sattaa olla vakavia

seurauksia

+- ei vakavia seurauksia - ei merkittäviä

seurauksia

— korkeintaan ohi

menevää häiriötä

6.5 KONTROLLIEN SUUNNITTELU

Seuraavassa on tarkasteltu eri kohdealueita ja niihin suunniteltuja kontrol

leja. Ongelmia on käsitelty lähtien riskianalyysin perusteella pahimmista riskeistä.

6.5.1 Ulkomaailman erottaminen

TKK:n kaikista koneista voidaan tällä hetkellä tunkeutua tai yrittää tunkeu

tua ulkopuolisiin tietokoneisiin, myös ulkomaille. Harmia on aiheuttanut myös ulkopuolisten tunkeutuminen TKK:n koneiden kautta muihin organi

saatioihin. Osa Suomen korkeakouluista on erotettu vain sillalla.

TKK tulisi erottaa reitittimellä kaikista ulkopuolisista organisaatioista.

Myös TKK tulisi selkeästi sisäisesti osastoida reitittimellä. Tämän avulla saataisiin verkkoturvallisuuden kannalta selvät rajat, joita ei verkon viesti

en muuntelulla voi ylittää. Myös väärin toimivien Ethemet-liitäntöjen häiri

öt saataisiin rajoitettua.

Varsinaisten tunkeutumisyritysten estämiseen tämä ei riitä. Mahdollinen, mutta käyttöä hankaloittava keino olisi siirtää Internet-ÿhteys vain yhteen tietokoneeseen, jonka turvallisuudesta oltaisiin hyvin varmoja. Mikäli käyttäjä tarvitsee yhteyksiä, hänen on kirjoittauduttava tähän koneeseen.

Koneeseen olisi helppo saada lupia, mutta yhden koneen sisällä pysyminen ja vakaa ylläpito takaisivat varman tunnistettavuuden.

Intemet-liitäntäkone voisi sisältää suuren tiedostopalvelijan TKK:n tarpei

siin. Tämän koneen ylläpito voisi samalla valvoa maailman tapahtumia ja toisi ne koululle sopivasti suodatettuna34. Tutkijat keräilevät työhönsä tarvit

tavia tietoja suoraan mm. yhdysvaltalaisista tietokoneista. Monet tämänkin tutkimuksen tuoreimmat lähteet ovat löytyneet sähköpostissa tulleiden vihjei

den perusteella suoraan koneluettavassa muodossa ulkomaisista tiedostopal

velijoista. Ylläpito voisi käsitellä nämä pyynnöt, puskuroisi niitä paikalli

sesti levytilan puitteissa ja tietäisi uusimmat versiot. Esimerkiksi korkea

koulujen mikrotuki hoitaa tällaista palvelua PC-ohjelmien osalta ja LK:n opetuksen tukijaos UNIX-ohjelmien osalta (epävirallisesti). Keskitettyä pal

velua on kaivattu TKK:lla muistakin kuin turvallisuussyistä. Palvelu voisi samalla kattaa kaikki Suomen korkeakoulut.

Bitnetin (EARN) osalta erikoisiin turvallisuusjärjestelyihin ei tarvitse heti ryhtyä - vakavia riskejä ei ole. Bitnetin olemassaolo muissa UNIX-koneissa

34 Ulkopuolisten tietojen suodatuksella tässä ei tarkoiteta minkäänlaista sensuuria vaan turhan tiedon poistamista. Näiden palvelujen tarve vähitellen tunnustetaan , esimerkiksi UNIX Reviview -lehden elokuun 1989 numerossa kerrotaan kaupallisesta palvelusta, joka referoi USENET-uutiset.

kuin sähköpostin keskuskoneessa ei ole välttämättä perusteltua; vain harvat tarvitsevat sitä. Siksi Bitnet kannattaisi turhana unohtuneena verkkoratkai

suna purkaa niistä koneista, missä sillä ei ole käyttöä.35

Näillä ulospäin suuntautuvilla kontrolleilla pyritään takaamaan, ettei muita

In document Palvelujen järjestäminen turvallisesti suuressa heterogeenisessä tietokoneverkossa (sivua 94-0)