Palvelujen järjestäminen turvallisesti suuressa heterogeenisessa
tietokoneverkossa
Esa Turtiainen
HAKU teosau OS
Teknillinen korkeakoulu Helsinki University of Technology Tietotekniikan osasto Faculty of Information Technology Tietojenkäsittelytekniikan laitos Department of Computer Science
fe.
JT)K £¿0/. 3%S~,
Palvelujen järjestäminen turvallisesti suuressa heterogeenisessa tietokoneverkossa
Esa Turtiainen
04
^\
Diplomityö Teknillisen korkeakoulun Sähkötekniikan osastolle
f,
SU
Helsinki University of Technology Faculty of Information Technology Department of Computer Science Teknillinen korkeakoulu
Tietotekniikan osasto
Tietojenkäsittelytekniikan laitos
■
.
TIIVISTELMÄ
Diplomityö tutkii TKK:n tietoliikenneverkon turvallisuutta ja erilaisia mahdollisuuksia järjestää turvallisia perkkopalveluja. Työssä tehdään alustava TKKrn riskianalyysi.
Verkkojärjestelmien turvallisuutta tarkastellaan sekä verkon että koko järjestelmän ongelmana. Työssä tarkastellaan myös tietokoneviruksia ja mato-ohjelmia järjestelmän uhkana. Verkkojärjestelmien tärkeimpänä suojausmenetelmänä tarkastellaan laajasti erilaisia tunnistusprotokollia.
Työssä tarkastellaan erilaisia riskianalyysimenetelmiä ja niiden perusteluja. TKK:n riskianalyysi on tehty analysoimalla uhat ja niihin liittyvät riskit. Tämän jälkeen on etsitty soveltuvimpia kontrolleja merkittävimmille riskeille.
Tärkeimpinä turvallisuutta parantavina keinoina ehdotetaan verkon osastoimista ja riskit ennakoivaa ylläpitoa. Tunnistuspalvelija todetaan olevan turvallisuuden kannalta olennaisen tärkeä, mutta sellaista ei ole valmiina saatavissa. Se on järjestelmän toiminnan kannalta niin kriittinen, ettei sen tekeminen ole helppoa.
Työhön liittyy englantilais-suomalainen tietoturvallisuuden sanasto.
SISÄLLYSLUETTELO
1 JOHDANTO... 1
2 TURVALLISUUSTAVOITTEET... 3
2.1 Tutkimuksen tavoitteet... 3
2.2 Palvelujen järjestäminen... 4
2.3 Haluttuja palveluja...6
2.4 Järjestelmään kohdistuvat uhat...8
2.5 Henkilörekisterilain turvallisuusvaatimukset...10
2.6 Turvallisuusperlaatteet... 11
2.7 Tietoliikenteen turvallisuusvaatimukset...12
2.8 Tiivistelmä... 13
3 TEKNISET PERUSTEET... 15
3.1 Tietokoneverkot...15
3.1.1 osi...16
3.1.2 Kaapelointi...'... 18
3.1.3 Ethernet... 20
3.1.4 Valtuudenvälitysverkko Token Ring...23
3.1.5 TCP/IP... 24
3.1.6 RPC...26
3.1.7 Verkon ylläpitopalvelijat... 28
3.1.8 Yhteenveto tietokoneverkkojen turvallisuusominaisuuksista...30
3.2 Turvallinen järjestelmä... 30
3.2.1 Käyttäjän tunnistaminen... 30
3.2.2 Teoreettiset pääsynvalvontamenetelmät... 34
3.2.3 Käytännön pääsynvalvontamenetelmät... 35
3.2.4 Tavallisimmat keinot järjestelmän suojauksien murtamiseksi... 37
3.2.5 Monitasoiset suojaukset... 39
3.2.6 DoD:n turvallisuusluokitus... 40
3.2.7 Suomalainen luokitus... 41
3.3 Virukset ja madot .42
3.3.1 Määritelmät... 4d 3.3.2 Viruksista... ^
3.3.3 Matojen historia... 45
3.3.4 Matojen leviämisen laskenta... 46
3.3.5 Internet-mato... 48
3.3.6 HEPNET-mato...:...49
3.3.7 Joulupuuvirus... 59
3.3.8 Yhteenveto... 50
3.4 Protokollat verkon suojaamiseksi... S1 3.4.1 Verkon uhat...51
3.4.2 Salauksesta... 3.4.3 Tunnistus ja sähköiset allekirjoitukset... 57
3.4.4 Avainten jakelu... 60
3.4.5 Tunnistus- ja avaintenjakeluprotokollat... 61
3.4.6 Avainten hallinta...®2
3.4.7 Kerberos-järjestelmä... ... 62
3.4.8 Julkisten avainten protokollat...67
3.4.9 Organisaatioiden väliset suojaukset... 88
4 TIETOKONEVERKKOJEN TURVALLISUUS JA YLLÄPITO TKK:TA VASTAAVISSA ORGANISAATIOISSA... 70
4.1 Tutustuminen USA:n tilanteeseen...70
4.2 lBM:n T.J. Watson tutkimuskeskus... 70
4.3 MIT:n Athena-projekti... 71
4.4 CMU:n Andrevv-projekti... 73
5 MENETELMIÄ TURVALLISUUDEN ANALYSOIMISEKSI...76
5.1 Perusmenetelmät... 76
5.1.1 Tarkistuslistojen käyttö... 76
5.1.2 Riskianalyysi...76
5.1.3 Turvallisuusohjelmat...77
5.1.4 Järjestelmän mallittaminen... 78
5.1.5 Muut menetelmät... 79
5.2 Turvallisuusohjeinhan toteuttamisesta... 79
5.2.1 Järjestelmän suojattavat osat ja niiden arvottaminen...79
5.2.2 Uhkien analysointi...80
5.2.3 Riskien arvottaminen... 80
5.2.4 Riskiä vähentävät valvontatoimenpiteet... 82
6 TKK:N TILANTEEN ANALYYSI JA TOIMENPIDE-EHDOTUKSIA... 84
il
6.1 TKK:n verkko .84
6.2 Menetelmä TKK:n turvallisuuden analysoimiseksi...89
6.3 Suojattavat järjestelmän osat...90
6.3.1 Looginen palvelujako... 90
6.3.2 Fyysinen jako... 91
6.3.3 Muut suojattavat järjestelmän osat...93
6.4 Uhat...93
6.5 Kontrollien suunnittelu...97
6.5.1 Ulkomaailman erottaminen...97
6.5.2 Käyttöjärjestelmäylläpidon huolellisuus... 98
6.5.3 Ohjelmien laiton kopiointi... 99
6.5.4 Opiskelijoiden harjoitustyöt... 99
6.5.5 Tutkijat... 99
6.5.6 Lähiverkon uudelleenjärjestäminen... 100
6.5.7 Modeemi- ja X.25-yhteydet... 100
6.5.8 Sähköpostiyhteydet... 101
6.5.9 Tunnistuspalvelija ja nimipalvelija... 101
6.5.10 Työasemat ja PC.1...102
6.5.11 Maksulliset palvelut...103
6.5.12 Madot ja standardikäyttöjärjestelmät...103
6.5.13 Tulostimet...103
6.5.14 Työntekijät ja opiskelijat...104
6.5.15 Hallinnon rekisterit...104
6.5.16 Muuta...104
6.6 Analyysiä kontrolleista...105
6.7 Toteutuksesta... 107
6.8 Tuotettavia erikoissuunnitelmia... 108
6.9 Mahdollisia jatkoprojekteja... 109
6.9.1 Käännöspalvelun järjestäminen...109
6.9.2 Automaattisen valvonnan järjestäminen... 110
6.9.3 Poikki olevien verkkosegmenttien valvonta... 111
6.9.4 Ryhmätyöluvat... 111
6.9.5 Tietoturva lainsäädännössä...111
7 YHTEENVETO... 113
A LIITE: PROTOKOLLAT 114
В LIITE: TIETOTURVALLISUUDEN SANASTO... 126
C LIITE: STANDARDEJA... 146
C.1 Standardoinnista... I46 C.2 Standardoinnin lyhenteitä...147
C.3 Standardiluettelo... 148
C.4 Muita standardointielimiä... 153
D LIITE: VIITTEET...155
E LIITE: KÄYTEYT MERKINNÄT...165
F LIITE: KÄYTETYT LYHENTEET...166
G HAKEMISTO...169
ESIPUHE
Tietoturva koskettaa meitä kaikkia. Tietokoneiden lukumäärän räjähdys
mäinen kasvu ja siihen liittyvä tietoliikenteen lisääntyminen luovat pohjan tietoyhteiskunnalle. Tietojenkäsittelyjärjestelmiin liittyvät porsaanreiät, leikkimielellä ja Ukein aikein laaditut virukset, Troijan hevoset sekä kulo- valkean tavoin tietokoneista toisiin leviävät madot ovat osoittaneet meille kaikille nykyisten järjestelmien vajavaisuuden. Nopeasti syntyneet järjes
telmämme ovat yllättäen osoittautuneet alttiiksi sekä vihamielisille että vahingossa laukaistuille hyökkäyksille. Tietotekniikkaan perustuvat ratkaisut vaativat perusteellista tarkastelua turvallisuuden ja tietosuojan näkökulmasta. Hyväuskoisuus ei auta, kun korvaamaton vahinko on päässyt tapahtumaan.
Kysymys tietosuojasta on hyvin moniulotteinen ja vaikeastikin lähestyttävis
sä oleva ongelma. Ei ole kysymys pelkästä teknologiasta tai organisaation pelisääntöjen noudattamisesta tainoudattamatta jättämisestä. Ongelma nivoutuu monimutkaiseksi kudelmaksi, jossa liikutaan laitteisto- ja ohjelmistoratkaisujen aukkojen ja ihmisten leväperäisyyden epämääräisessä ja jatkuvasti muuttuvassa maailmassa.
Tässä Esa Turtiaisen laatimassa tutkimuksessa on alun perin ollut tavoittee
na paneutua tietoturvaongelmaan Teknillisen korkeakoulun näkökulmaa painottaen. Työn edistyessä näkökulma on laajentunut. Tekijä on työtä valvoneen apul.prof. Jorma Skytän myötävaikutuksella laatinut kattavan ja nykyaikaisen selvityksen verkottuneiden tietojärjestelmien tietoturvan on
gelmista ja niiden ratkaisumalleista. Työhön liittyy lisäksi TKK:n tietojen
käsittelyjärjestelmän uhkien riskianalyysi, jota voi hyvin käyttää muidenkin organisaatioiden ongelmien tarkasteluun.
Syvempää tietoa janoaville teoksen ajanmukainen kirjallisuusluettelo on varsin arvokas. Työ on osa TKK:n tietojenkäsittelyopin laboratoriossa käyn
nissä olevaa tietoturvaa käsittelevää tutkimustyötä.
Otaniemessä marraskuussa 1989
Reijo Sulonen Professori
ALKULAUSE
Tämä diplomityö on kiijoitettu alustavaksi tietoturvallisuus tutkimukseksi, erityisesti Teknillisen korkeakoulun tietokoneverkon tilanteen selvityksek
si.
Alustavat valmistelut alkoivat syksyllä 1988, kun apul. prof. Jorma Skytän kanssa havaitsimme, että puuttuva turvallisuus oli muutamien kiinnostavien verkkopalvelujen esteenä. Selvitimme yleisemminkin aihetta ja totesimme turvallisuustietouden korkeakoulussamme heikoksi.
Aiheen vaativuuden vuoksi tavoitteeksi ei asetettu mitään kovin konkreettis
ta. Katsoimme TKK:n tietoverkon turvallisuustilanteen kartoittamisen tär
keäksi, ja sovimme aiheen vaatiman alustavan selvitystyön sopivaksi tutki
musaiheeksi. Työ aloitettiin laajalla kirjallisuustutkimuksella, ja myö
hemmin tehtiin perehtymismatka USA:n korkeakoulujen tilanteeseen.
Työn valvoja, professori Reijo Sulonen, on auttanut paljon työn tekemisessä.
Hänen apunsa on tehnyt työn tekemisen mahdolliseksi.
Monet muutkin ovat auttaneet työn tekemisessä. Yliassistentti Arto Karila (nykyisin apul. joht, PTL-Tele) neuvoi monissa verkkoihin liittyvissä kysy
myksissä. Muukin TKO-laboratorion henkilökunta on auttanut tarvittaessa, erityisesti vs. prof. Heikki Saikkonen. Haluan kiittää myös Laskentakes
kuksen henkilökuntaa avusta.
Rehtori Jussi Hyyppää ja Teknillisen korkeakoulun tukisäätiötä haluan kiit
tää avusta USA:n matkan rahoituksen järjestämisessä.
Kiitän myös työn etukäteen lukeneita avusta. Edellä mainittujen lisäksi käsikirjoitusta kommentoivat Olli Amberg, Ari Mujunen, Pekka Nikander, Panu Pietikäinen ja Teemupekka Virtanen.
Vaimoani Päiviä kiitän kärsivällisyydestä ja pahimpien kielioppivirheiden korjaamisesta. Päivi lyhensi tätä esitystä huomattavasti poistamalla monta sanaa, joihin olin kiintynyt.
Espoossa, lokakuussa 1989
Esa Turtiainen
1 JOHDANTO
Tutkimuksessa keskitytään tutkimaan TKK:n tietokoneverkon turvallisuut
ta. Korkeakouluympäristössä on aina pidetty tärkeimpänä sitä, että järjestel
mä on ollut mahdollisimman helposti käytettävissä. Turvallisuuteen ei ole kiinnitetty huomiota. Luottamuksellisia tietoja on vähän.
Muutamat viimeaikaiset väärinkäyttötapaukset ovat muuttaneet tilannetta.
Korkeakoulunkin on kyettävä tarvittaessa saamaan tunkeutujat vastuuseen.
Erityisesti on kyettävä selvittämään koulun tietokoneiden kautta aiheutetut harmit ulkopuolisille. Viruksen tai madon leviäminen kykenee tekemään jopa vapaassa korkeakouluympäristössä tuntuvia vahinkoja.
On syntynyt tilanne, missä uusia palveluja ei haluta jäljestää nykyisellä turvallisuustasolla. Verkot tekevät mahdolliseksi monia uusia palveluja, joita todella tarvittaisiin, esimerkiksi luottamuksellista sähköpostia tai kei
noa tarkastaa omat opintosuoritusmerkinnät. Mitä hyödyllisempi palvelu, si
tä haavoittuvampaa käsitelty tieto usein on.
Turvallisuusjärjestelyillä tulisi ennen kaikkea pyrkiä luotettavaan kuvaan jäijestelmän käytöstä - verkko ei saa vähentää käyttäjien tunnistettavuutta.
Turvallisuusjäijestelyjen keskeisimpiä tavoitteita verkkoympäristössä on kirjata järjestelmän tapahtumat keskitetysti ja luotettavasti. Tunnistuksen tulisi olla myös laillisesti sitova. Tällä hetkellä kuitenkin jo yhdellä verkkoon kytketyllä PC-tietokoneella voidaan harhauttaa käyttäjien tunnis
tettavuutta verkon yli.
Turvallisessa tietokonejärjestelmässä ei voi tehdä vahingontekoja jättämättä jälkiä. Turvallisuuden minimivaatimusta voidaan verrata oven lukkoon [Skyttäl989]: tavallinenkin ihminen pystyy rikkomaan sen sorkkaraudalla.
Tämä jättää kuitenkin niin paljon jälkiä, että harva viitsii tai uskaltaa rikkoa oven. Ammattimies pääsee läpi ovesta siististi, mutta tämä vaatii niin paljon taitoja, että henkilö on tämän vuoksi tunnistettavissa; toisaalta henkilön ansiot ovat tästä työstä kiinni. Ammattimiehen etiikka on korkeampi. Turvallisuus on usein kiinni turvallisuuden rajojen tun
temisesta.
Turvallisuus on tasapainoilua eri tekijöiden välillä. Täydellisiä suojauksia ei ole olemassa. Tietyssä pisteessä turvallisuus alkaa maksaa enemmän kuin siitä saavutettava hyöty. Myös turvallisuusjärjestelyjen jakaminen teknisiin ratkaisuihin ja ihmisten tekemiin toimenpiteisiin on vaikeasti ra
jattavissa. Teknisen järjestelmän suojaukset ovat hyvin usein ei-teknisiä.
Turvallisuuden alalta kaupallisia järjestelmiä on olemassa hyvin vähän.
Erityisesti verkkoympäristössä rajoituksena on tarvittu salakirjoitustek- niikka. Salakirjoitusmenetelmät lasketaan esimerkiksi USA:ssa sotilas- tarvikkeiksi ja niihin vaaditaan NSA-viraston myöntämä sotilastarvikkei-
den erikoislisenssi. Tämän vuoksi USA:sta ei voi normaalin järjestelmän yhteydessä toimittaa verkon turvallisuuden takaavia järjestelmiä.
Vapaata tutkimusta aiheesta on niukasti. Eniten tutkimusta tekevät hallitus
ten alaiset salaiset organisaatiot. Yrityksetkään eivät luota kehittämiinsä ratkaisuihin niin paljoa, että kertoisivat yksityiskohtia järjestelmistään.
Alan tutkimus on tärkeää; jo pelkästään suomalaista elinkeinoelämää var
ten alan tietämystä on lisättävä. Yleinen tietämyksen lisääminen poistaisi monia turvallisuuteen liittyviä harhaluuloja.
Tekemäni tutkimus on pääosin peruskartoitusta. Aloitin tutkimuksen laaja
na kirjallisuustutkimuksena. Tässä yhteydessä etsin alan saatavissa olevat artikkelit. Luettelo olennaisimmista artikkeleista on liitteenä. Myöhemmin selvitin käytännön järjestelmiä. Keväällä 1989 pääsin TKK:n tukisäätiön tuella tutustumaan USArn itärannikon suurten yliopistojen tietokoneverkko- järjestelyihin ja niiden turvallisuuteen. Vierailukohteet olivat yliopistot MIT ja CMU sekä IBM T. J. Watson tutkimuskeskus.
Tutkimuksessa on pyritty tekemään mahdollisimman laaja peruskartoitus tietokonejärjestelmien turvallisuusmenetelmiin, erityisesti tietokoneverkko
jen turvallisuuteen, sovellettu menetelmiä TKKrn tietokoneverkon turvalli
suuden analysointiin ja esitetty parannusehdotuksia verkon turvallisuuteen.
Täydelliseen ratkaisuun ei ole pyritty, koska jo ongelman kartoittaminen on ollut laaja tehtävä.
2 TURVALLISUUSTAVOITTEET
Tässä luvussa käsitellään syitä parantaa nykyistä turvallisuustilannetta.
Luvussa esitellään myös tämän tutkimuksen perusteita yleisesti.
Aluksi tarkastellaan turvallisuutta käsitteenä ja rajataan tutkimuksen aihe.
Koska koko tutkimuksen johtavana ajatuksena on verkkojärjestelmän mal
littaminen palveluina, tämän perusteita esitellään lyhyesti luvussa 2.2. Muu
tamat esimerkit luvussa 2.3 kuvaavat palveluja, joiden toteuttaminen edellyt
tää parempia turvallisuusjärjestelyjä.
Tavallisimpia järjestelmän häiriöitä ja palvelujen väärinkäytön syitä selvi
tetään luvussa 2.4. Luvussa 2.5 käsitellään henkilörekisterilakia, joka on merkittävä syy parantaa turvallisuusjärjestelyjä.
Lopuksi tarkastellaan turvallisen järjestelmän ominaisuuksia. Luvussa 2.6 käsitellään turvallisen järjestelmän periaatteita ja luvussa 2.7 turvallisen verkon ominaisuuksia.
2.1 TUTKIMUKSEN TAVOITTEET
Tutkimuksessa selvitetään TKK:n verkon turvallisuutta. TKK:n turvalli
suustarpeet ovat osittain erilaiset kuin esimerkiksi kaupallisen tutkimuskes
kuksen tai pankin, mutta järjestelmissä on suuria samankaltaisuuksiakin.
TKK:n tarpeet ovat usein samat kuin kaupallisen järjestelmän minimivaati
mukset.
Korkeakoulun tietokoneverkko on suuri, ja siinä olevat tietokoneet voivat kommunikoida hyvin nopeasti keskenään. Palveluja tarjotaan melko näky
mättömästi eri ylläpitäjien järjestelmistä toiseen, esimerkiksi TKK:n ja TTKK:n välillä. Tämä vastuun sekoittuminen on yksi hankalimpia asioita turvallisuuden kannalta. Koko verkolla ei ole yhteistä ylläpitoa, eikä ylläpi
täjien oikeuksilla tulisi voida häiritä naapuriorganisaatiota.
Tietokoneverkko on heterogeeninen, jos siinä on useita erimerkkisiä tietoko
neita useilla eri käyttöjärjestelmillä. Tämä estää identtisten ohjelmien ajon eri koneissa; koneita ei ole kytketty "tiukasti” toisiinsa. Heterogeenisuus pa
kottaa järjestämään palvelut mahdollisimman korkealla abstraktiotasolla.
Käyttäjälle palvelujen hajautuksen on oltava näkymätöntä.
Korkeakouluympäristö ei salli kovin tehokasta fyysistä suojausta. Opiskeli
jat ja tutkijat liikkuvat vapaasti päätesaleissa ja työasemien luona. Kulun
valvontaa tuskin voidaan järjestää, koska se on ihmisten asenteiden vastais
ta. Monien korkeakoulussa työskentelevien ihmisten mielestä kaikki val
vonta rajoittaa työskentelyä.
Kaupallisissa jä^estelmissä tällä hetkellä turvallisuus toteutetaan fyysisellä koskemattomuudella ja monimutkaisilla ihmisten toteuttamilla menettelyta
voilla. Korkeakouluympäristössä kannattaa kustannussyistä ja ihmisten viihtyvyyden vuoksi etsiä ensisijaisesti näkymättömiä teknisiä ratkaisuja.
Tutkimuksessa selvitetään turvallisuuteen liittyviä osa-alueita tekniseltä kannalta. Lisäksi joudutaan selvittämään turvallisuuteen liittyviä hallin
nollisia toimenpiteitä. Tämäntyyppinen tarkastelu ei ole koskaan täydelli
nen ilman laillisten ja eettisten kysymysten laajaa tutkimista. Tässä tekni
sessä opinnäytteessä näitä ei kuitenkaan ole esitetty.
Teknisistä kysymyksistä ulkopuolelle on rajattu täydellisesti turvallisuus onnettomuuksia vastaan. Joitakin sinänsä kiinnostavia alueita on myös ra
jattu ulkopuolelle. Salausta, hyvin tiukkaa turvallisuutta vaativia järjestel
miä sekä monitasoista suojausjäijestelmää käsitellään vain pinnallisesti.
Lähinnä teoreetikkoja kiinnostavaa tilastotietokannan päättelyturvallisuutta ei käsitellä lainkaan.
PALVELUJEN JÄRJESTÄMINEN
Verkossa olevat tietokoneet muodostavat monia loogisia palveluja. Jäijestel- män ylläpito helpottuu, mikäli palvelu mielletään fyysisestä sijaintipaikasta riippumattomaksi kaikille käyttäjille samalla tavalla näkyväksi rajapin
naksi. Yksinkertaisessa palvelumallissa turvallisuusaukot ovat kuitenkin laajasti tunnettuja. Ilman yhtenäistä turvallisuusmekanismia heterogeeni
sen järjestelmän integrointi yhteisen palvelurajapinnan alle ei ole turvallis
ta.
Nykyaikaisessa tietokoneympäristössä tietokoneverkot ovat muuttumassa välttämättömiksi. Verkko yhdistää kaikki organisaation tietokoneresurssit, eikä niitä voi käyttää täysipainoisesti ilman yhteyttä muihin koneisiin.
Verkon avulla järjestelmän osat saadaan paremmin käyttöön ja useissa ta
pauksissa saavutetaan merkittäviä kustannusten säästöjä. Organisaatiossa voidaan järjestää keskitettyjä resursseja, esimerkiksi levypalvelijoita, posti
palveluja, tulostimia ja suuria tietokoneita. Jokainen palveluista voi olla ko
neessa, joka kykenee tarjoamaan tälle palvelulle parhaan palvelutason hal
vimmalla.
Verkon hallintaan ja ylläpitoon ei tähän mennessä ole kiinnitetty paljoa huo
miota. Koneiden saaminen keskustelemaan keskenään on osoittautunut tek
nisesti hyvin vaativaksi ongelmaksi ja yhteyksien saaminen toimiviksi on kestänyt kauan. TKK:lla on nyt niin laaja verkko, että hallinta ja turvalli
suusongelmat ovat tulleet tärkeiksi.
Järkevin tapa hallita heterogeenistä tietokoneverkkoa on jakaa se erilaisiksi palveluiksi. Nämä palvelut tehdään käyttäjille mahdollisimman läpinäky
viksi: niiden fyysinen sijaintipaikka ei näy mitenkään käyttäjälle. Esi-
merkiksi käyttäjä kirjoittautuu sisään työasemaan. Työasema edustaa kul
loistakin kustannusoptimia käyttäjän omien tehtävien tekemiseen ja ennen kaikkea käyttöliittymän ergonomiseen suorittamiseen. Kaikki organisaati
on palvelut on keskitetty joko johonkin keskuskoneeseen, erilaisiin palveli
miin tai jopa eri työasemiin. Käyttäjälle palvelut näyttävät olevan omassa koneessa.
Käyttäjä ei parhaassa tapauksessa näe mitään työasemakohtaista eroa järjes
telmässä. Uusimmissa käytännön järjestelmissä käyttäjän oma kotihake
misto haetaan aina tiedostopalvelimesta. Itse työasema on täysin tilaton;
kaikki käyttäjän omat asetukset haetaan keskitetystä järjestelmästä.
Verkkojärjestelmällä palvelut saadaan keskitettyä. Samat palvelut ovat kaikkien käytettävissä symmetrisesti jokaisesta koneesta ja jokainen muu
tos näkyy välittömästi kaikille ilman erikoisjärjestelyjä.
Eri tietokoneet soveltuvat eri palvelujen järjestämiseen eri tavalla. Nykyai
kaiset työasemat on suunniteltu käsittelemään bittikarttanäytöllä tapahtuvaa interaktiota mahdollisimman tehokkaasti. Isoissa laskentaa suorittavissa koneissa kaikki keskeytykset häiritsevät laskentaa. Levyn käsittelyssä ovat hinta/teho-suhteessa parhaimpia keskisuuret tietokoneet. Palvelut voidaan toteuttaa taloudellisimmin hajautettuna. Tähän puolestaan tarvitaan luo
tettua verkkoa.
Service Service Service
Kuva 2.1. Looginen työasema-palvelut -järjestelmä näyttää symmetriseltä, vaikka palvelut on ryhmitelty sekaisin fyysisiin yksiköihin.
Palvelukeskeinen järjestelmä on helposti ylläpidettävissä. Mitä selvempi ja hallittavampi järjestelmä on, sitä helpompi se on myös murtaa. Nykyisillä turvallisuusjärjestelyillä ei uskalleta ottaa käyttöön yksinkertaista mallia organisaation tietokoneverkon ylläpitämiseksi.
Ylläpitäjän valtuuksien periytyminen verkossa on ongelma. Nykyisissä järjestelmissä oletetaan, että jokaisella koneella on oma ylläpito. Kuiten
kaan ei ole estetty sitä, että verkossa ylläpitäjän oikeudet naapurikoneisiin ovat suuremmat kuin tavallisilla käyttäjillä. Ratkaisu on organisaation si
säinen keskitetty ylläpito ja tiukka raja organisaation ulkopuolelle.
Tällä hetkellä ei samankaan organisaation sisällä uskalleta antaa täydelli
siä keskitettyjä ylläpitovaltuuksia. Turvallisuussyistä on paras, että kaikki ylläpito toimenpiteet tehdään kunkin koneen konsolilta eikä verkon kautta.
Käytännössä järjestelmät ovat kuitenkin niin suuria, ettei tämä ole pitkään aikaan ollut mahdollista. Turvallisuusjärjestelyt tulisi tehdä niin hyviksi, että ylläpitäjä voi huoletta pitää useita verkossa olevia tietokoneita yhtenä jär
jestelmänä.
Myös organisaation ulkopuoliset yhteydet tulisi saada luotettaviksi. Yhtey
dessä olevien organisaatioiden tulisi voida olla varmoja, että väärinkäyttö on mahdollisimman vähäistä. Lisäksi tulisi olla välitettävissä tietoa, joka on varmasti oikeaa ja organisaation virallisesti hyväksymää. Esimerkiksi Suomen korkeakoulut välittävät toisilleen yhteisvalintatietoja koneluettavas
sa muodossa.
HALUTTUJA PALVELUJA
Monia mielenkiintoisia palveluja jää tällä hetkellä toteuttamatta puuttuvan turvallisuuden takia. Palveluja ei tarjota, koska niihin sisältyy todellinen riski palvelun väärinkäytöstä. Toisaalta palveluja taijotaan tarpeettoman monimutkaisesti. Ilman keskitettyä turvallisuusmekanismia turvallisuutta haetaan pitämällä palvelut mahdollisimman monimutkaisesti käytettävinä.
Palveluprotokollat pidetään mahdollisimman arvoituksellisina. Heterogee
nisessä ympäristössä olisi yksinkertaisinta, jos protokollat olisivat mahdol
lisimman selväkielisiä, esimerkiksi tietokoneen ottamana automaattisena keskusteluyhteytenä naapurikoneen komentotulkkiin. Nykyisellä turvalli
suustasolla tätä ei kuitenkaan tule tehdä.
Seuraavassa käsitellään muutamia esimerkkejä palveluista, joita voitaisiin tarjota:
Kotona olevat työasemat
Työaseman vieminen kotiin vaatii tehokkaita tietoliikenneyhteyksiä, joita ei vielä ole olemassa. Kuitenkin jo ISDN-verkon yleistyttyä kotona olevien työasemien pitäminen samassa verkossa työpaikan työasmien kanssa tulee olemaan varteenotettava vaihtoehto.
Kotona oleva työasema on turvallisuusriski. Varsinkin ollakseen käyttökel
poinen sen tulee saada yhteys samaan tiedostopalvelijaan kuin varsinaisen työpaikalla olevan työaseman.
Ilman turvallisuusjärjestelyjä käyttäjien tulisi luottaa hyvin paljon verk
koon. Organisaatio, joka sallii kotona pidettävän työaseman kytkemisen suoraan verkkoon, on altis hyvin monille hyökkäyksille.
Tulostuspalvelu
Käyttäjille voitaisiin jäljestää arvokkaita lisäpalveluita, mikäli niitä voitai
siin valvoa.
Lasertulostin voisi olla yksi lisäpalvelu. Tällä hetkellä käyttäjät saavat mel
ko vapaasti tulostaa kirjoittimille. Jos käyttö kasvaa liikaa, sitä halutaan varmasti rajoittaa tai ainakin tilastoida valvontaa varten. Tämä ei kuiten
kaan ole käytännössä mahdollista.
Tulostin on aina keskitetty resurssi; sille on voitava kirjoittaa verkon yli.
Tämänhetkisillä turvallisuusjärjestelyillä ei tulostajaa voida riittävän var
masti tunnistaa. Lisäksi kyseessä on rajoitus, jota kaikki eivät hyväksy.
Tämän vuoksi sitä yritettäisiin aktiivisesti kiertää.
Ainoa mahdollisuus saada tunnistus varmaksi on uudenlaisien turvallisuus- järjestelyjen käyttöönotto.
Erikoistietokoneet
Erilaiset tehtävät vaativat erilaiset tietokoneet. Esimerkiksi tieteellisessä laskennassa vektoroivat tietokoneet ovat parhaita; kaupallishallinnolliset tietokoneet taas on suunnattu tietokantojen ylläpitoon. Erikoistuneella rin
nakkaistietokoneella olisi käyttöä mm. kuvien käsittelyssä.
Teknisesti ei ole suurta estettä, miksei kussakin erkoistuneessa tietokoneessa voisi olla palvelijoita, jotka tarjoavat kaikille verkon käyttäjille juuri niitä palveluja, joita erikoistunut kone voi tarjota parhaiten. Kukin käyttäjän an
tama käsky voitaisiin käsitellä tämäntyyppisen käskyn parhaiten osaavassa yksikössä.
Palvelun voisi saada käyttöönsä myös käynnistämällä ohjelman, joka onkin todellisuudessa automaattinen sisäänkirjoittautuminen jonkin toisen tieto
koneen ohjelmaan. Tiedostojärjestelmät voivat olla kaikille tietokoneille yhteiset, joten tässäkään suhteessa käyttäjä ei huomaa eroa.
Toinen syy hajauttaa palvelut eri tietokoneisiin on hankalat lisenssiehdot.
Ohjelmaa tulisi ajaa täsmälleen siinä koneessa, mille lisenssi on annettu, esimerkiksi sitä ei saisi käynnistää toisessa koneessa vaikka ohjelma nä- kyisikin verkkotiedostojärjestelmässä.
Ongelmilta vältytään, mikäli jokaisessa koneessa on ohjelma, joka käyn
nistää esimerkiksi naapurikoneessa Ada-kääntäjän saman käyttäjän tie
dostoille. Lisenssi voidaan hankkia juuri tarvittavan kokoiseen tietokonee
seen.
Puutteellisen turvallisuuden vuoksi kehittyneitä palveluja ei voida järjestää Interaktiivisella komentoliitännällä. Ohjelman käynnistäminen naapuri- koneessa on yksinkertaista, mikäli käyttäjän tunnistukseen voidaan luot
taa. Jos turvallisuusjärjestelyjä ei ole, järjestelmä muuttuu avoimeksi vää
rinkäytölle. Interaktiivinen komentoliitäntä olisi helpoin tapa järjestää pal
veluja koneissa, joiden arkkitehtuuri eroaa ratkaisevasti yleiskäyttöisistä tietokoneista.
JÄRJESTELMÄÄN KOHDISTUVAT UHAT
Tässä tarkastellaan tunkeutujan motiiveja järjestelmään hyökkäämiseksi ja mahdollisia uhkia, joita tunkeutuvat ihmiset aiheuttavat. Käsittely on läh
teistä [Baskerville1988], [Lanel985], [Fitesl989], [Hoffman 1977], ja [Tanen- bauml987].
Luettelo on laajempi kuin esimerkiksi TKK:n ajateltavissa olevat uhat; läh
deteokset ovat kaupallisesti painottuneita. TKK:n järjestelmää tarkastellaan luvussa 5.
Hyökkääjä voi olla harrastelija tai ammattilainen. Hyökkäyksen syyt voi
daan luokitella seuraavasti:
• taloudellinen hyöty
• henkilökohtainen etu
• uteliaisuus
• vakoilu
• halu herättää huomiota
• tuhoamishalu.
Tietojärjestelmissä pyritään suojaamaan ensisijaisesti järjestelmän tietojen eheyttä, tarkkuutta ja yksityisyyttä. Kaikissa järjestelmissä pyritään estä
mään palvelujen ja resurssien oikeudeton käyttö.
Hetojen eheys
Tietojärjestelmän tietojen oikeellisuudesta on oltava jatkuvasti täysi var
muus. Eheydellä tarkoitetaan tietojen oikeellisuutta verrattuna sekä todelli
suuteen että toisiin tietoihin. Pienet muutokset tietokoneessa ovat huomatta-
vasti näkymättömämpiä kuin esimerkiksi paperikortistossa. Siksi tietojen muuttelun valvonnan on oltava huolellista.
Tunkeutuja voi muutella tietoja esimerkiksi saadakseen paremmat arvosa
nat tai vaikka vain tehdäkseen eräänlaisen seinäkirjoituksen.
Tietojen раУ astuminen
Tärkein syy suojata ihmisiä käsitteleviä tietoja paljastumiselta on yksityi
syyden suojelu. Henkilörekisterien tietojen paljastumista pelätään yleisesti.
Henkilörekisterilain vaatimuksia tietojen yksityisyyden säilyttämiseksi käsitellään luvussa 2.5.
Myös arvokkaan tiedon vakoilu on syy tunkeutua tietokoneeseen. Esimer
kiksi yritysten taloudelliset suunnitelmat tai uudet tuotteet ovat teollisuusva
koilun kohteina. Aina ei voi myöskään unohtaa valtioiden välistä vakoilua.
Usein liikeyrityksien tiedoilla on rahallista arvoa: osoiterekistereitä tai läh
dekielisiä ohjelmia yritetään varastaa hyötymistarkoituksessa.
Tietojen tuhoutuminen
Tietojen tuhoamisen motiivina on lähinnä halu herättää huomiota. Sabotaasi on tiedot omistanutta organisaatiota vastaan kohdistettu teko. Esimerkiksi lakkoon menevä työntekijä voi yrittää tilapäisesti estää tietojen käytön. Ter
roriteko kohdistuu johonkin sosiaalisen epäkohdan arvosteluun, ja sen kohde on mielivaltainen. Vandalismilla ei ole varsinaista kohdetta; se voi ilmetä esimerkiksi seinäkirjoituksina.
Resurssien oikeudeton käyttö
Tunkeutuja voi käyttää oikeudettomasti erilaisia resursseja. Merkittävim
mät ovat tietoliikenneyhteydet (automaattisoittomodeemeilla voi saada ai
kaan suuria puhelinlaskuja), keskusyksikkö ja tulostimet.
Suojatuksi on saatava erilaiset palvelut, joiden käytöstä on tarkoitus laskut
taa: tietokannat, ohjelmistot, laitteet ja sähköpostiyhteydet.
Palvelujen esto
Helpoimpia tapoja häiritä järjestelmän toimintaa on estää muita käyttämästä niitä. Tällä on lähinnä huomioarvoa. Esimerkiksi tietokoneverkon saa usein käyttökelvottomaksi lähettämällä verkkoon jatkuvasti paljon viestejä.
Petokset
Petos on esimerkiksi luotetun henkilökunnan jäsenen tekemä vahingonteko, jonka tavoitteena on oma hyöty. Petoksia vastaan on lähes mahdotonta tehdä teknisiä kontrolleja.
Yksi käytetty tapa tehdä petoksia on ns. salamitekniikka. Ohjelmoija järjes
tää niin, että pyöristysvirheet menevät hänen omalle tililleen. Pieniä palasia arvokkaasta omaisuudesta voidaan viedä vähän kerrallaan tarkastajien huomaamatta.
Yhteenveto
Järjestelmää uhkaa tunnistamaton hyökkääjä tai vaillinainen kontrolli.
Käyttäjien varma tunnistaminen on tekninen ongelma, käyttäjien valvonta taas hallinnollinen ongelma.
HENKILÖREKISTERILAIN TURVALLISUUSVAATIMUKSET
Henkilörekisterilain [Hrekl987] asettamat turvallisuusvaatimukset ovat huo
mattavat. Rekisterinpitäjällä on useita tietojen yksityisyyttä suojaavia vel
vollisuuksia.
Rekisterinpitäjällä on huolellisuusvelvoite. Tietojen käsittelyssä on nouda
tettava huolellisuutta ja hyvää rekisteritapaa, eivätkä tiedot saa joutua vää
riin käsiin. Henkilörekisteri on suojattava luvatonta käsittelyä, käyttöä, tu
hoamista, muuttamista ja anastusta vastaan. Suojauksien laiminlyönti on rikollista, samoin henkilörekisteriin tunkeutuminen ja tietojen antaminen rekisteristä.
Soveltamisohjeissa [Tietosuojal988] käsitellään suojausvelvoitetta huomatta
vasti yksityiskohtaisemmin. Henkilörekisterin pidossa vaaditaan mm. hal
linnollisia toimia: riskianalyysiä ja työntekijöiden vastuualueiden tarkkaa määräämistä. Tiedot tulee suojata rekisteriteknisin keinoin ja tietoihin pää
sy tulee estää aina, kun siihen ei ole selvää syytä. Myönnetyistä käyttöoi
keuksista tulee pitää ajan tasalla olevaa luetteloa. Arkaluontoisia tietoja käytettäessä tulee käytön kiijaantua turvalliseen lokiin. Henkilörekisteri tulee suojata tuhoutumiselta esimerkiksi varmuuskopioin.
Vastuu henkilörekisterien asiallisesta ylläpidosta on aina ylimmällä orga
nisaatiolla, ei esimerkiksi ATK-osastolla. Organisaation tulee valvoa ala
yksiköiden hallussa olevia rekistereitä.
Ohjeiden mukaan pelkkä tietojäijestelmän suojaaminen ei riitä. Rekisterin käyttö on kokonaisuudessaan suunniteltava siten, ettei henkilötietoja tarpeet-
tornasti levitetä ja tietoja käytetä väärin. Vastuu ei voi kokonaisuudessaan olla teknisillä ratkaisuilla.
2.6 TURVALLISUUSPERIAATTEET
Turvallisuusjärjestelmän suunnittelussa on muutamia perusperiaatteita.
Seuraavat on kehitetty Multics-käyttöjäijestelmän kokemusten pohjalta:1 Oletuksena pääsyn esto
Järjestelmä suunnitellaan niin, että resursseihin päästään käsiksi vain, kun siihen annetaan erikseen lupa.
Julkiset suunnitteluperiaatteet
Kaikkien suunnitteluperiaatteiden tulee olla julkisia. Turvallisuuden tulee perustua avaimiin ja vahvaan suunnitteluun pikemminkin kuin tietojen luottamuksellisuuteen. Tämä pienentää henkilökuntaan liittyvää riskiä.
Mahdollisimman pienet oikeudet
Kaikki oikeudet tulee pitää aina täsmälleen niin pieninä kuin parhaillaan meneillään oleva tehtävä edellyttää.
Käyttiyien hyväksyntä
Järjestelmän tulee olla niin helppokäyttöinen, että käyttäjät käyttävät suo
jauksia automaattisesti ja rutiininomaisesti. Toteutuneen suojauksen tulee vastata käyttäjän mielikuvaa tilanteesta.
Täydellinen valvonta
Jokaisen objektin jokainen käyttö on tarkastettava keskitetysti. Viittaukset tehdään vain valvontamoduulin välityksellä.
1 J.D. Saltzer, M.D. Shroeder, ”The Protection of Information in Computer Systems,”
PIEEE, Voi. 63, 9, March 1975. Ks. esim. [Hoganl988], [Hoffman 1977], [Seberryl989]
Yksinkertaisuus
Turvallisuusjärjestelmän tulee olla mahdollisimman yksinkertainen.
Käyttäjien on voitava hahmottaa se helposti. Turvallisuusjärjestelmä ei saa viedä niin paljoa resursseja, että syntyisi houkutusta jättää se pois käytöstä.
Erilliset oikeudet
Oikeuksien tulisi olla erillisiä. Esimerkiksi ylläpito-oikeudet tulisi jakaa erillisiin osiin, jotka ovat sisäkkäisiä. Yksittäisen ylläpito-oikeuden sala
sanan antaminen vaatisi ensin yleistä oikeutta ylläpitoon. Harvat järjestel
mät toteuttavat tämän, eikä sitä pidetä käytännössä mielekkäänä [Hogan- 1988, s. 12].
Käyttäjillä mahdollisimman vähän yhteyksiä
Käyttäjien välisten yhteyksien tulisi olla mahdollisimman vähäisiä. Esi
merkiksi kahden tai useamman käyttäjän välinen kommunikaatio yhteisen tiedoston avulla tulisi olla mahdollista vain tarvittaessa. Mm. virukset le
viävät avoimien kommunikaatiokanavien avulla.
TIETOLIIKENTEEN
TURVALLISUUSVAATIMUKSET
Tietoliikenteen on täytettävä monia ehtoja ollakseen turvallista. Seuraavat tavoitteet ovat artikkelista [Voydockl983]:
• viestin sisällön salaisena pysyminen
• viestien muuntelun havaitseminen
• viestien viivästyttämisen havaitseminen (denial of service)
• väärennettyjen yhteydenottojen havaitseminen
• liikenteen analysoinnin esto.
Liikenteen analysoinnilla tarkoitetaan sitä, että sivullinen saa selville yh
teydessä olleet osapuolet ja niiden välittämän liikenteen määrän. Suojautu
akseen siltä järjestelmän on jatkuvasti välitettävä merkityksettömiä vieste
jä.
Väärennetty yhteydenotto voi tapahtua esiintymällä vääränä koneena tai käyttäjänä tai sitten aiempia yhteydenottoja jäljitellen. Kummastakin ta
pauksesta on selviydyttävä.
Perustavia tietoliikenteen turvallisuustarpeita korkeammalla tasolla on ero
tettavissa muitakin toimintoja. Seuraavat tarpeet on havaittu sähköpostin yh
teydessä (X-400-standardi ja [Mitchell 1989]):
• viestin lähettäjän todistaminen vastaanottajalle
• todistus vastaanottajalle, että lähettäjä ei voi koskaan kiistää lähettäneensä viestiä (non-repudiation)
• viestin lähettäjän todistaminen välittäjille (laskutus) ilman, että sisältö paljastuu
• sisällön salaisena pysyminen
• sisällön muuttamattomuus
• todistus lähettäjälle siitä, että vastaanottaja on lukenut viestin muuttamattomana
• välittäjän antama kiistaton todistus, että viesti on toimitettu vastaanottajalle.
2.8 TIIVISTELMÄ
Palvelu on fyysisestä sijaintipaikasta riippumaton keskitetty toiminto, joka näkyy kaikille käyttäjille samalla tavalla. Palvelu muodostaa ylläpidolle käyttäjien rajapinnan, jonka alla toiminto on jäljestettävissä taloudellisim- malla käytettävissä olevalla tavalla.
Yksinkertainen palvelumekanismi vaatii kehittyneet turvallisuusabstrakti- ot. Parempia turvallisuusjäijestelyjä vaativat esimerkiksi levypalvelut, pos
tipalvelut, tulostus, ylläpito, erikoistietokoneet ja kotona olevat työasemat. Or
ganisaatioiden väliset palvelut edellyttävät erikoistoimenpiteitä.
Tunkeumisen syyksi oletetaan usein oman edun tavoittelu, esimerkiksi va
koilu tai petos. Aina motiivit eivät ole ennalta arvattavia - väärinkäytön syynä voi olla myös vandalismi tai uteliaisuus.
Henkilörekisterilaissa ja sen soveltamisohjeissa käsitellään perusteellisesti henkilörekisterin suojaamista. Henkilörekisterin suojausvelvoitteen lai
minlyönti johtaa rangaistuksiin.
Turvallisessa järjestelmässä pääsy estetään oletuksena, suunnitteluperiaat
teet ovat julkisia, suojaukset ovat käyttäjien hyväksyttävissä, jokaisen objek
tin käyttö tarkastetaan samalla tavalla, turvallisuusjärjestelyt ovat yksin
kertaisia ja käyttäjien välillä on mahdollisimman vähän yhteyksiä. Tur
vallinen verkkojärjestelmä kykenee estämään viestin sisällön paljastumi-
sen, liikenteen analysoinnin, viestien muuntelun, viestien viivästyttämisen ja väärennetyt yhteydenotot.
3 TEKNISET PERUSTEET
Tässä luvussa käsitellään tietokoneverkkojen turvallisuuden teknisiä perus
teita. Aluksi esitellään tietokoneverkkojen turvallisuus, sitten yhden koneen sisäinen turvallisuus. Verkon turvallisuus on merkittävää vain luotettujen tietokoneiden välillä.
Virukset ja madot uhkaavat kaikkia ulkomaailmaan yhteydessä olevia tieto- konejäijestelmiä. Määritelmiä ja esimerkkejä esitellään luvussa 3.3.
Keinoja rajoittaa verkkoa tarkkailevan ulkopuolisen häirintämahdollisuuk- sia tarkastellaan luvussa 3.4. Tärkeänä apuna verkkoliikenteen turvaami
sessa ovat salaus ja siihen perustuvat tunnistusprotokollat.
3.1 TIETOKONEVERKOT
Nykyaikaiset tietokoneet yhdistetään keskenään nopealla siirtotiellä — ver
kolla. Tietokoneet kommunikoivat ja jakavat resursseja koneiden ja ihmis
ten kesken verkon avulla. Resursseja voidaan monistaa (replication) rik
koutumisien varalta.
Saman organisaation sisällä tietojenkäsittelyresurssit on tavallisesti yhdis
tetty organisaation omalla lähiverkolla (LAN, local area network). Lähiver
kot ovat hyvin nopeita (1-400 Mbit/s), vain hieman hitaampia kuin tietokonei
den sisäiset hitaat väylät, esimerkiksi levyväylät. Näin jopa tiedostopalvelu
jen järjestäminen lähiverkon yli on taloudellista.
Organisaatioiden välillä yhteydet ovat hitaampia ja epäluotettavampia kuin organisaation sisällä (WAN, wide area network). Vasta viime aikoina on päästy käytännön toimiin organisaatioiden välisen tiedonsiirron (OVT) hy
väksikäytössä.
Tietoliikennettä voidaan tarkastella tasoista koostuvalla mallilla. Matalal
la tasolla tietoliikenne muodostuu viestipaketeista; käyttäjien välillä kulkee lyhyitä osoitteellisia viestejä. Tämän tason päälle rakennetaan virheettö
män yhteyden tarjoava tietoliikenneyhteys. Korkeimmalla tasolla tietoko
neiden välinen liikenne voidaan usein nähdä palveluina.
Tässä esityksessä tarkastellaan aluksi OSI-mallia (Open Systems Inter
connection), joka määrittelee tasojaon tarkemmin. Sitten tarkastellaan eri
laisia pakettiverkkoratkaisuja: kaapelointikysymyksiä, Ethernet- ja Token Ring -verkkoa. Lopuksi tarkastellaan palvelujen toteuttamista: TCP/IP-pro- tokollan istukkaliitäntöjä (socket) ja tämän päälle rakennettua RPC-proto- kollaa (remote procedure call).
Jokaisella tasolla tarkastellaan ensin lyhyesti tiedon välitystä, sitten pohdi
taan siihen liittyviä turvallisuuskysymyksiä. Kaapelointitasolla tarkastel
laan tietokoneiden yhdistämiseen liittyvää turvallisuutta, erityisesti mahdol
lisuutta fyysiseen salakuunteluun. Lähiverkkotasolla tarkastellaan osoit- teellisia paketteja, joiden katselu- ja häirintämahdollisuuksia tutkitaan.
Korkeimmilla tasoilla tarkastellaan ensisijaisesti tunnistamisominaisuuk- sia.
3.1.1 OSI
Tietoliikenne on järjestetty nykyisin erillisiin päällekkäisiin kerroksiin, joista jokaisella on omat tehtävänsä. Kerros tarjoaa palveluliitännän ylem
mälle tasolle ja se toteutetaan käyttäen alemman tason palveluliitäntää.
välitin
Kuva 3.1. OSI-kerrosmalli. Kahden osapuolen kommunikaatio ja yksi välitin.
Taulukko 3.1. OSI-kerrosmallin tasot.
7 sovelluskerros application layer
sovellukset, esim. sähkö
posti, pääteyhteys 6 esityskerros
presentation layer
tietojen esitystapakonversiot
5 yhteyskerros session layer
tiedonsiirtoyhteys kahden osapuolen välillä
4 kuljetuskerros transport layer
välittävä taso, joka osaa valita ylemmän tason palveluille so
pivat alemman tason palvelut
16
3 verkkokerros network layer
pakettiverkko useiden konei
den ja välittimien lävitse 2 siirtokerros
data Unk layer
kahden koneen välinen virheetön tiedonsiirto 1 peruskerros
physical layer
fyysinen kerros
Tason voidaan ajatella keskustelevan suoraan toisen koneen vastaavan ta
son kanssa. Käytännössä se lähettää kaikki viestit seuraavaksi alemmalle kerrokselle.
Välitin voi olla päätepisteiden välillä oleva tietokone tai erikoislaite. Välitin voi toimia millä tahansa alimmista kolmesta tasosta. Ensimmäisen tason välitintä kutsutaan nimellä toistin, toisen tason välitin on silta ja kolman
nen tason välitin on reititin.
Kirjassa [Blackl987] esitetään malliin liittyvää turvallisuuspohdintaa. Jär
jestelmän turvallisuuden takaamiseksi katsotaan, että viestit on salattava.
Paras paikka salaukselle on taso 6 (esitystapakerros). Perusteluina tähän esitetään seuraavaa:
• Salauksen tulee tapahtua välittämistä riippumatta. Taso 4 on alin, jota minkään välittimen ei tarvitse ymmärtää.
• Mahdollisimman pieni osa ohjelmistosta tulisi olla luotettua. Salauksen tulisi siis tapahtua vielä tasoa 4 korkeammalla.
• Taso 6 muuttaa toteutuksesta riippuvat tietojen esitysmuodot koneiden välillä siirtyvään muotoon. Tätä ei voida tehdä enää salauksen jälkeen, koska salaus on purettavissa vain samaan bittiesitysmuotoon. Tason 6 on käsiteltävä siis selväkielisiä tietoja.
• Tason 6 alapuolella ei ole enää tietoa yksittäisistä tietokentistä. Salauk
sen rajoittamista tiettyihin kenttiin ei siis voida tehdä enää tason 6 alapuolella.
• Salaus kannattaa tehdä vain yhdellä tasolla. Useammista salauksista ei ole merkittävää hyötyä.
Erilaisia turvallisuusjärjestelyjä ollaan kuitenkin määrittelemässä useille OSI-tasoille.
Käytännössä OSI-mallia ei vielä seurata täysin tarkasti. Täysin OSI-mallin mukaiset järjestelmät ovat vasta tulossa. Siksi tämäkään tarkastelu ei lähde varsinaisesti OSI-mallista. Seuraavassa kuvassa esitetään likimäärin myöhemmin tekstissä esitettävien käytännön jäijestelmien sijainti OSI- malliin verrattuna. Vastaavuus ei ole täysin yksikäsitteinen - monia OSI- tasoja ei yksinkertaisesti ole nykyisissä järjestelmissä.
sovellus
prosessi 7
6
5
4
3
2
1 fyysinen
verkko
TELNET
RPC XDR
TCP IP
Ethernet
Kuva 3.2. Muutamien tekstissä esiintyvien käytännön järjestelmien likimääräinen suhde OSI-kerrosmalliin.
3.1.2 Kaapelointi
Fyysisesti tietokoneverkko koostuu kaapeloinnista. Useimmiten kaapeli kiertää väylänä tai renkaana rakennuksissa tietokoneiden läheltä. Verkko kulkee jokaisen tietokoneen lävitse tai tietokoneet liitetään kaapeliin haaroit- timella.
haaroittimet
tietokoneet tietokoneet
Kuva 3.3. Muutamia mahdollisuuksia järjestää tietokoneverkko. Väylä, johon kytkeydytään haaroittimilla ja tietoko
neiden läpi kulkeva rengas.
Koaksiaalikaapelit
Tavallisimpia lähiverkkokaapeleita on koaksiaalikaapeli, jota käytetään ennen kaikkea Ethemet-verkoissa. Koaksiaalikaapeli muodostaa tavalli
sesti väylän, joka kiertää rakennuksen päästä päähän jokaisen koneen lä
hettyviltä.
18
Koaksiaalikaapelissa joudutaan pitämään huolta kaapelin signaaliominai- suuksista. Kaapelin tulee olla tietyn pituinen, se tulee päättää oikein ja liitän
nät tulee tehdä täsmälleen tietyllä tavalla merkittyihin paikkoihin kaape
lissa. Liitäntä tehdään poraamalla reikä eristeen läpi keskijohtoon. Tähän työnnetään liitäntäyksikön (MAU, media access unit) piikki.
Liittyminen ei kuitenkaan ole niin vaikeaa, ettei sitä voisi tehdä helposti sopivien ohjeiden avulla. Liitännän kustannukset ovat melko pienet. Nor
maaliliikennettä tarkkailemalla verkon lisäyksiä ei huomata - asemien si
jainti näkyy vain kalliilla johtotutkalla. Tavallisissa organisaatiossa näitä keinoja ei ole.
Koaksiaalikaapelin voi katkaista ja laittaa katkaisukohtaan työaseman vä- littimeksi. Tällainen työasema voi tehdä verkossa mitä tahansa, myös muu
tella osia verkossa kulkevista paketeista. Verkossa kulkevaa liikennettä tä
mä kuitenkin hidastaa todennäköisesti jopa häiritsevästi. Liitännän voi kui
tenkin tehdä liittimillä, jolloin häirintätyöasema kytketään vain hiljaiseksi ajaksi kaapeliin.
NeliMerteet
Uusimmat verkkoratkaisut perustuvat usein ns. nelikierrekaapelin käyt
töön. Syynä ei ole kaapelin tekninen ylivoimaisuus eikä halpuus, vaan se, et
tä monissa paikoissa pääte- ja puhelinkaapelit on valmiiksi vedetty tällä kaa
pelilla. Nelikierrettä käyttää esimerkiksi Token Ring ja lObaseT-Ethemet.
Nelikierteeseen liittyminen on fyysisesti yksinkertaisempaa kuin koaksiaa
likaapeliin. Tämä pätee siis myös vakoilutyöaseman liittämiseen. Ne- likierteessä ei ole myöskään suojaavaa vaippaa, joten sen kuuntelu induktii- visesti on helpompaa kuin koaksiaalikaapelin.
Valokaapelit
Valokaapeli on uusin ja nopein tapa kytkeä tietokoneet toisiinsa. Valokaapeli kulkee nykyisissä lähiverkkoratkaisuissa aina tietokoneelta toiselle siten, että jokainen verkossa oleva tietokone käsittelee täydellisesti kaikki verkos
sa kulkevat viestit. Valokaapeliin ei koskaan liitytä haaroittimella. Valo
kaapeli on myös yksisuuntainen; se on yksinkertaisinta kytkeä renkaaksi.
Valokaapelissa jokainen asema voi muunnella verkossa kulkevaa liiken
nettä haluamakseen. Sivullisen liittyminen valokaapeliin on kuitenkin huomattavasti hankalampaa. Valokaapelin katkaisu ja hiominen vaatii kalliita ja hankalia erikoislaitteita, ja liikenne on poikki huomattavan ajan.
Valokaapelin kuuntelu saattaa olla hyvin helppoa [Skyttäl989], Jos valokaa
pelia taivuttaa, tästä pääsee karkuun mitattavissa oleva määrä valoa. Kuun
telun havaitseminen on käytännössä mahdotonta.
Valokaapelia voidaan kuitenkin pitää melko luotettavana keinona vetää var
sinkin pitkiä yhteyksiä, joihin kenenkään ei haluta voivan ainakaan kir
joittaa väärennettyjä paketteja.
Paineistetut kaapeloinnit
Varmuus kaapeleiden koskemattomuudesta saadaan, jos kaapelit varuste
taan paineistetulla vaipalla [Woodl985, s. 189]. Tietokonehuoneessa on antu
ri, joka valvoo, että kaapelin paine pysyy vakiona. Paineistuksen sisällä on suojaukset sähkömagneettisen säteilyn vuotamista vastaan. Menetelmä on erittäin kallis eikä sitä tämän tutkimuksen kohdealueella voi pitää varteen
otettavana vaihtoehtona.
Päätekaapeloinnit
Edellisissä kohdissa on tarkasteltu lähinnä tietokoneiden välisiä verkkoja.
Kuitenkin myös tietokoneiden päätteet yhdistetään tietokoneisiin helposti löy
dettävissä olevalla kaapelilla. Usein nämä kaapelit kulkevat kaikkien naa
purihuoneiden lävitse seinäkotelossa, jonka saa ruuvattua auki.
Kuka tahansa voi tarkkailla liikennettä, joka kulkee päätekaapelissa. Aino
at tavat turvata liikenne (mm. salasanoineen) on joko paineistettu kaapeloin
ti tai liikenteen salaus. Päätteeltä vaaditaan työaseman älyä.2
3.1.3 Ethernet
Ethernet on korkeakouluympäristössä yleisin lähiverkko. Se perustuu koko organisaation läpi vedettyihin koaksiaalikaapelisegmentteihin. Segmentte
jä yhdistävät erilaiset välittimet. Yksinkertaisessa organisaatiossa voi olla vain yksi koaksiaalikaapeli, joka yhdistää kaikki organisaation tietoko
neet.
Perinteinen Ethernet on kehitetty Xerox PARC -tutkimuskeskuksessa. Se on standardoitu (pienillä muutoksilla) [IEEE 802.3]. Pakettien lähetys perustuu satunnaisuuteen ja törmäysten havaitsemiseen (CSMA/CD, carrier sense multiple access with collision detection).
Ethernet on saatavissa kaikenkokoisiin tietokoneisiin; TKK:lla se on käy
tössä IBM 3090 -tietokoneesta Mac-tietokoneisiin saakka. Liitännän voi saa
da esimerkiksi PC-tietokoneeseen muutamalla tuhannella markalla.
2 Katso kuitenkin varoitukset PC:n käytöstä (luvussa ”Virukset ja madot”) ja vihjeet kertakäyttöisestä salasanasta (luvussa ”Käyttäjän tunnistaminen").
20
Jokainen Ethernet-viesti voidaan vastaanottaa kaikilla samaan kaapeliin kytketyillä asemilla. Kaapelissa ei voi erotella asemia, joille viestin lähet
tää, eikä ole mahdollista saada varmasti selville, miltä asemalta jokin viesti todella tuli.
Ethemet-numero
Periaatteessa jokaisella valmistetulla Ethemet-liitäntäkortilla on oma yksi
käsitteinen numero. Xerox jakaa Ethemet-osoitteita valmistajakohtaisesti.
Jokaisessa lähtevässä paketissa on tämä numero.
Käytännössä kuitenkin kaikissa jäijestelmissä Ethernet-numero on muutet
tavissa. Liitäntäkortit pitävät numeron ROM- tai EEPROM-muistissa, josta se kopioidaan muunneltavissa olevaan RAM-muistiin. Esimerkiksi Sun- tietokoneissa jäijestelmää käynnistettäessä kysytään, halutaanko Ethemet- numeroa vaihtaa. Muissakin koneissa se on vaihdettavissa pienellä ohjel
moinnilla. Mikäli numeroihin voitaisiin luottaa, se olisi melko helppo tapa estää harrastelijoiden väärinkäytökset. Huijaus edellyttäisi muunnettua laitteistoa.
Jotkut tietokoneet huomaavat, mikäli joku esiintyy samalla Ethernet-nume- rolla kuin se itse. Väärinkäytöstä tulostuu ilmoitus tietokoneen konsolille ja lokiin.
Kuinka petetään
Ethernet-paketteja voi kuunnella kytkeytymällä linjaan tavalliseksi ase
maksi. Paketteja voi muutella katkaisemalla kaapelin ja toimimalla pahan
tahtoisena välittimenä.
Pakettien muuntelu lienee mahdollista myös törmäyttämällä sopivasti paket
teja. Valeasema voi lukea viestin ja lähettää verkkoon törmäyksestä kerto
van signaalin. Muut asemat uskovat törmäykseen ja unohtavat tämän vies
tin. Ethemet-määrittelyn mukaan alkuperäinen lähettäjä odottaa satunnai
sen ajan uudelleenlähetystä. Valeasema ehtii siis lähettämään viestin muunneltuna ennen kuin alkuperäinen saapuu perille. Oikea viesti hylä
tään kaksoiskappaleena, koska sillä on sama järjestysnumero (viestin kah
dentuminen voi tapahtua täysin normaalissakin tilanteessa). Huijaus vaatii muunnellun laitteiston, eikä siten ole todennäköinen.
Vakoilu-PC:n kytkeminen verkkoon on yksinkertaista. Sopivia ohjelmia saa valmiina liikenteen analysointiin. Ohjelmia on saatavissa myös julki
sina PD-ohjelmina (public domain) lähdekielineen. Näitä hieman muunte
lemalla saadaan todella tehokkaita työvälineitä verkon väärinkäyttöön.
Ainoa keino estää Ethemet-verkon väärinkäyttö jo yksinkertaisilla menetel
millä on käyttää salakirjoitusta viestien suojana. Tietoliikenneprotokolla ei anna suojaa muita asemia vastaan.
Välittimet
Ethemet-verkko voidaan segmentoida kolmen erityyppisen välittimen avul
la: toistimen, sillan tai reitittimen. Erityisesti organisaatiot tulisi aina erot
taa mahdollisimman korkeatasoisella välittimellä.
Toistin on pelkkä vahvistin, joka välittää törmäyksetkin. Silta pyrkii vä
hentämään liikennettä. Se ei välitä pakettia, jos se tietää, että vastaanottaja on samassa segmentissä kuin lähettinä. Reititin on ainoa turvallisuudeltaan varma välitin. Sillä on oma osoite ja sille lähetetään paketti, kun lähettäjä tietää, että vastaanottaja on ko. reitittimen takana. Reitittimen ylitse työase
ma ei voi esittää olevansa toisessa segmentissä. Se paikallistaa kaikki pake
tit siihen segmenttiin, josta paketti todella on lähtöisin. Reititin itse asiassa ei ole Ethemet-tasoinen välitin, vaan se toimii esimerkiksi TCP/IP-protokol- lalla.
Siltaa väitetään usein yhtä turvalliseksi kuin reititintä. Se kuitenkin saa
daan esittämään toisen segmentin asemaa toisen segmentin puolelta. Silta lähettää kaikki välittämänsä paketit esiintyen alkuperäisen lähettäjän Et- hemet-osoitteella. Sillalla on rajallisen kokoinen puskuri, jossa se pitää kir
jaa, kummalta puolelta kunkin aseman viestit ovat tulleet.
työasema Y palvelu S
Щэ O
segmentti В
silta
mu is- ti segmentti A
Щз ЯВэ
työasema X
Kuva 3.4. Esiintyminen toisena tietokoneena sillan yli.
Jos työasema X haluaa esittää segmentin A puolelta asemaa Y segmentin В puolella, se voi vaihtaa Ethemet-numeroaan niin moneen kertaan, että tieto aseman Y sijainnista häviää sillan muistista. Tämän jälkeen silta voidaan saada uskomaan, että asema Y on segmentin A puolella ja silta alkaa esiin-
tyä segmentissä В asemana Y. Näin esimerkiksi opiskelijan työasema omassa sillalla erotetussa segmentissään voi muuttua tutkijoiden koneeksi toisessa segmentissä. Jos palvelu S luottaa salauksen sijasta segmenttinsä koskemattomuuteen, toisen verkon väärinkäyttäjä voi sillan yli huijata pal
velulle henkilöllisyytensä. [Karilal989c]
Siltaa ei tulisi käyttää kahden organisaation erottamisessa. Myös saman or
ganisaation sisällä saavutetaan huomattavasti parempi hallittavuus ja jälji
tettävyys, jos käytetään reitittimiä. Silloin vastaanottaja voi olla aina var
ma, mistä segmentistä viesti on tulossa.
Sillan ja reitittimen puolivälissä on ohjelmoitava silta. Isossa organisaatios
sa sille on kuitenkin mahdotonta kertoa kaikkia koneita, joiden kesken yh
teydet ovat sallittuja. Ohjelmoitava silta muodostaa ylläpito-ongelman. Yk
sinkertainen muutaman työaseman segmentti, josta on saatava yhteys muu
tamaan tietokoneeseen pääsegmentin puolella, on erotettavissa ohjelmoita
valla sillalla melko turvallisesti.
Ethemet-segmenttejä voidaan yhdistää valokaapeleilla. Tällöin on mahdol
lista käyttää välittimenä optista tähteä. Tämä vastaa toistinta useammalle optiselle verkon osalle. Optisen tähden käyttö on sekä ylläpidon että turvalli
suuden kannalta huonoa. Se ei erota organisaatiota turvallisiin osiin.
Turvallisuutta ajatellen vain reititin on riittävä välitin. Ylläpidon kannalta verkko kannattaa jakaa segmentteihin, joiden välistä liikennettä voidaan hallita. Näin jokaisen paketin alkuperäsegmentistä on aina varmuus.
3.1.4 Valtuudenvälitysverkko Token Ring
Token Ring on IBM:n käyttämä lähiverkkoratkaisu. Se on rengasmuotoinen ja käyttää nelikierrekaapelointia (4 Mbit/s). Se on myös standardoitu nimel
lä IEEE 802.5.
Token Ringissä kiertää token, valtuus tai eräänlainen poletti, jonka haltijal
la on lähetysoikeus. Jokainen viesti kiertää asemalta toiselle kunnes se on perillä. Viesti jatkaa vielä eteenpäin renkaassa kunnes alkuperäinen lähet
täjä poistaa sen.
Joskus kuulee väitettävän, että Token Ring olisi turvallisempi verkko kuin esimerkiksi Ethernet. Tähän ei kuitenkaan ole erityisiä perusteita. Verk
koon liittyminen on vaikeampaa, mutta liittymiseen on saatavissa ohjelmia ja liitäntöjä. Jokainen viesti kiertää jokaisen aseman kautta; Token Ring on määritelty niin, että vasta lähettäjä poistaa viestinsä verkosta. Välittävät asemat joutuvat aktiivisesti käsittelemään viestiä ja lähettämään sen edel
leen. Jokainen lähettäjän ja vastaanottajan välissä oleva asema voi muuttaa viestin sisältöä.
Tilanne Token Ring- ja Ethernet-verkossa on sama: suojaukset vaativat viestien osittaista tai kokonaista salausta.
3.1.5 TCP/IP
TCP/IP on Yhdysvaltain puolustusministeriön tuella kehitetty tietoliikenne
protokolla, jota käytetään mm. läntisen maailman yliopistoja yhdistävässä Intemet-verkossa. TCP/IP määritellään RFC (Request for Comments) -stan
dardeissa. Protokolla on tarkoitettu maailmanlaajuisten WAN-verkkojen käyttöön, mutta se on tällä hetkellä myös tavallisimpia Ethernet-verkoissa käytettyjä protokollia.
TCP/IP jakaantuu kahteen osaan, TCP-tasoon (transmission control protocol) ja IP-tasoon (Internet protocol). IP-taso tarjoaa yksinkertaisen pakettiverkon, jossa paketit löytävät tiensä perille maailmanlaajuisen Intemet-osoitteen pe
rusteella (esimerkiksi 128.214.5.2). Osoite on yksikäsitteinen koko maail- massa;se sisältää organisaatio-osan ja koneen numeron organisaatiossa.
Paketti lähetetään suoraan vastaanottajalle tai reitittimelle, jonka tiedetään osaavan lähettää paketti eteenpäin.
TCP on IP:n päälle rakennettu yhteydellinen taso. TCP-protokollassa asia
kas ilmoittaa haluavansa yhteyden tietyn koneen tiettyyn liittimeen, nume
roituun istukkaan.socíeíiin. Muutamat istukat ovat ennalta tunnettuja, mm.
tiedonsiirtopalvelu FTP (file transmission protocol, istukka 20) ja päätepalve
lu TELNET (istukka 23).
Istukassa on odottamassa koneen palveluprosessi (UNIX-terminologialla de
moni, daemon). Tyypillisesti palvelupyyntö käynnistää oman palveluproses
sin vastaanottajassa - samaan istukkaan voi olla yhtä aikaa kytkeytyneenä useita pyyntöjä. Palveluprosessilla ja asiakkaalla on yhteys, jossa he voivat keskustella.
kone 128.214.5.2
kone 128.214.5.3
socket socket
2456 123
/ \
asiakas palvelu
Kuva 3.5. TCP-yhteyden rakenne.
24
Myös asiakkaan yhteydelle annetaan asiakkaan koneessa yksikäsitteinen istukkanumero. Tällä erotetaan samasta koneesta tulevat palvelupyynnöt.
Yhteydellä on siten aina yksikäsitteinen tunnus, joka perustuu istukkanume- roihin.
UDP (user datagram protocol) on TCP:lle rinnakkainen protokolla. Se on yh
teydetön epäluotettava pakettiverkko. Oikeastaan UDP-taso on IP-taso, jolla on TCP-protokollan kanssa samanlainen istukkamekanismi. UDP-istu- koilla on TCP-istukoiden kanssa päällekkäiset numerot. Esimerkiksi UDP- istukka 100 ei ole sama kuin TCP-istukka 100.
Taulukko 3.2. Tavallisimmat TCP/IP-verkon istukat (socketit).
palvelu TCP- istukka
UDP- istukka
kuvaus
ftp 20 tiedostojen siirto
telnet 23 pääteyhteys
smtp 25 sähköposti
sunrpc 111 111 etäproseduurikutsu
(RPC)
tftp 69 yksinkertainen FTP
finger 79 kertoo käyttäjistä
nntp 119 sähkökonferenssi
(news) -palvelu
rsh 512 komennon anto
naapurikoneeseen
rlogin 513 kirjoittautuminen
naapurikoneeseen tarvitsematta antaa salasanaa
printer 515 kirjoittimen käyttö
naapurikoneesta
Monet protokollista ovat täysin selväkielisiä ja interaktiivisia. Esimerkiksi ftp-, smtp-, finger- ja nntp-istukkaan voi ottaa interaktiivisen yhteyden TEL- NET-ohjelmalla. Komennot ovat selväkielisiä ja useimmiten jopa HELP-ko- mentoon vastataan.
TCP/IP E theme t-verkossa
Mikäli lähettäjä tietää, että vastaanottaja on samassa Ethernet-verkossa, sen täytyy selvittää vastaanottajan Ethemet-osoite. Tämä tapahtuu ARP-protokol- lalla (address resolution protocol).