Palvelujen järjestäminen turvallisesti suuressa heterogeenisessä tietokoneverkossa

Palvelujen järjestäminen turvallisesti suuressa heterogeenisessa

tietokoneverkossa

Esa Turtiainen

HAKU teosau OS

Teknillinen korkeakoulu Helsinki University of Technology Tietotekniikan osasto Faculty of Information Technology Tietojenkäsittelytekniikan laitos Department of Computer Science

fe.

JT)K £¿0/. 3%S~,

Palvelujen järjestäminen turvallisesti suuressa heterogeenisessa tietokoneverkossa

Esa Turtiainen

04

\

Diplomityö Teknillisen korkeakoulun Sähkötekniikan osastolle

f,

SU

Helsinki University of Technology Faculty of Information Technology Department of Computer Science Teknillinen korkeakoulu

Tietotekniikan osasto

Tietojenkäsittelytekniikan laitos

■

.

TIIVISTELMÄ

Diplomityö tutkii TKK:n tietoliikenneverkon turvallisuutta ja erilaisia mahdollisuuksia järjestää turvallisia perkkopalveluja. Työssä tehdään alustava TKKrn riskianalyysi.

Verkkojärjestelmien turvallisuutta tarkastellaan sekä verkon että koko järjestelmän ongelmana. Työssä tarkastellaan myös tietokoneviruksia ja mato-ohjelmia järjestelmän uhkana. Verkkojärjestelmien tärkeimpänä suojausmenetelmänä tarkastellaan laajasti erilaisia tunnistusprotokollia.

Työssä tarkastellaan erilaisia riskianalyysimenetelmiä ja niiden perusteluja. TKK:n riskianalyysi on tehty analysoimalla uhat ja niihin liittyvät riskit. Tämän jälkeen on etsitty soveltuvimpia kontrolleja merkittävimmille riskeille.

Tärkeimpinä turvallisuutta parantavina keinoina ehdotetaan verkon osastoimista ja riskit ennakoivaa ylläpitoa. Tunnistuspalvelija todetaan olevan turvallisuuden kannalta olennaisen tärkeä, mutta sellaista ei ole valmiina saatavissa. Se on järjestelmän toiminnan kannalta niin kriittinen, ettei sen tekeminen ole helppoa.

Työhön liittyy englantilais-suomalainen tietoturvallisuuden sanasto.

SISÄLLYSLUETTELO

1 JOHDANTO... 1

2 TURVALLISUUSTAVOITTEET... 3

2.1 Tutkimuksen tavoitteet... 3

2.2 Palvelujen järjestäminen... 4

2.3 Haluttuja palveluja...6

2.4 Järjestelmään kohdistuvat uhat...8

2.5 Henkilörekisterilain turvallisuusvaatimukset...10

2.6 Turvallisuusperlaatteet... 11

2.7 Tietoliikenteen turvallisuusvaatimukset...12

2.8 Tiivistelmä... 13

3 TEKNISET PERUSTEET... 15

3.1 Tietokoneverkot...15

3.1.1 osi...16

3.1.2 Kaapelointi...'... 18

3.1.3 Ethernet... 20

3.1.4 Valtuudenvälitysverkko Token Ring...23

3.1.5 TCP/IP... 24

3.1.6 RPC...26

3.1.7 Verkon ylläpitopalvelijat... 28

3.1.8 Yhteenveto tietokoneverkkojen turvallisuusominaisuuksista...30

3.2 Turvallinen järjestelmä... 30

3.2.1 Käyttäjän tunnistaminen... 30

3.2.2 Teoreettiset pääsynvalvontamenetelmät... 34

3.2.3 Käytännön pääsynvalvontamenetelmät... 35

3.2.4 Tavallisimmat keinot järjestelmän suojauksien murtamiseksi... 37

3.2.5 Monitasoiset suojaukset... 39

3.2.6 DoD:n turvallisuusluokitus... 40

3.2.7 Suomalainen luokitus... 41

3.3 Virukset ja madot .42

3.3.1 Määritelmät... 4d 3.3.2 Viruksista... ^

3.3.3 Matojen historia... 45

3.3.4 Matojen leviämisen laskenta... 46

3.3.5 Internet-mato... 48

3.3.6 HEPNET-mato...:...49

3.3.7 Joulupuuvirus... 59

3.3.8 Yhteenveto... 50

3.4 Protokollat verkon suojaamiseksi... S1 3.4.1 Verkon uhat...51

3.4.2 Salauksesta... 3.4.3 Tunnistus ja sähköiset allekirjoitukset... 57

3.4.4 Avainten jakelu... 60

3.4.5 Tunnistus- ja avaintenjakeluprotokollat... 61

3.4.6 Avainten hallinta...®2

3.4.7 Kerberos-järjestelmä... ... 62

3.4.8 Julkisten avainten protokollat...67

3.4.9 Organisaatioiden väliset suojaukset... 88

4 TIETOKONEVERKKOJEN TURVALLISUUS JA YLLÄPITO TKK:TA VASTAAVISSA ORGANISAATIOISSA... 70

4.1 Tutustuminen USA:n tilanteeseen...70

4.2 lBM:n T.J. Watson tutkimuskeskus... 70

4.3 MIT:n Athena-projekti... 71

4.4 CMU:n Andrevv-projekti... 73

5 MENETELMIÄ TURVALLISUUDEN ANALYSOIMISEKSI...76

5.1 Perusmenetelmät... 76

5.1.1 Tarkistuslistojen käyttö... 76

5.1.2 Riskianalyysi...76

5.1.3 Turvallisuusohjelmat...77

5.1.4 Järjestelmän mallittaminen... 78

5.1.5 Muut menetelmät... 79

5.2 Turvallisuusohjeinhan toteuttamisesta... 79

5.2.1 Järjestelmän suojattavat osat ja niiden arvottaminen...79

5.2.2 Uhkien analysointi...80

5.2.3 Riskien arvottaminen... 80

5.2.4 Riskiä vähentävät valvontatoimenpiteet... 82

6 TKK:N TILANTEEN ANALYYSI JA TOIMENPIDE-EHDOTUKSIA... 84

il

6.1 TKK:n verkko .84

6.2 Menetelmä TKK:n turvallisuuden analysoimiseksi...89

6.3 Suojattavat järjestelmän osat...90

6.3.1 Looginen palvelujako... 90

6.3.2 Fyysinen jako... 91

6.3.3 Muut suojattavat järjestelmän osat...93

6.4 Uhat...93

6.5 Kontrollien suunnittelu...97

6.5.1 Ulkomaailman erottaminen...97

6.5.2 Käyttöjärjestelmäylläpidon huolellisuus... 98

6.5.3 Ohjelmien laiton kopiointi... 99

6.5.4 Opiskelijoiden harjoitustyöt... 99

6.5.5 Tutkijat... 99

6.5.6 Lähiverkon uudelleenjärjestäminen... 100

6.5.7 Modeemi- ja X.25-yhteydet... 100

6.5.8 Sähköpostiyhteydet... 101

6.5.9 Tunnistuspalvelija ja nimipalvelija... 101

6.5.10 Työasemat ja PC.1...102

6.5.11 Maksulliset palvelut...103

6.5.12 Madot ja standardikäyttöjärjestelmät...103

6.5.13 Tulostimet...103

6.5.14 Työntekijät ja opiskelijat...104

6.5.15 Hallinnon rekisterit...104

6.5.16 Muuta...104

6.6 Analyysiä kontrolleista...105

6.7 Toteutuksesta... 107

6.8 Tuotettavia erikoissuunnitelmia... 108

6.9 Mahdollisia jatkoprojekteja... 109

6.9.1 Käännöspalvelun järjestäminen...109

6.9.2 Automaattisen valvonnan järjestäminen... 110

6.9.3 Poikki olevien verkkosegmenttien valvonta... 111

6.9.4 Ryhmätyöluvat... 111

6.9.5 Tietoturva lainsäädännössä...111

7 YHTEENVETO... 113

A LIITE: PROTOKOLLAT 114

В LIITE: TIETOTURVALLISUUDEN SANASTO... 126

C LIITE: STANDARDEJA... 146

C.1 Standardoinnista... I46 C.2 Standardoinnin lyhenteitä...147

C.3 Standardiluettelo... 148

C.4 Muita standardointielimiä... 153

D LIITE: VIITTEET...155

E LIITE: KÄYTEYT MERKINNÄT...165

F LIITE: KÄYTETYT LYHENTEET...166

G HAKEMISTO...169

ESIPUHE

Tietoturva koskettaa meitä kaikkia. Tietokoneiden lukumäärän räjähdys­

mäinen kasvu ja siihen liittyvä tietoliikenteen lisääntyminen luovat pohjan tietoyhteiskunnalle. Tietojenkäsittelyjärjestelmiin liittyvät porsaanreiät, leikkimielellä ja Ukein aikein laaditut virukset, Troijan hevoset sekä kulo- valkean tavoin tietokoneista toisiin leviävät madot ovat osoittaneet meille kaikille nykyisten järjestelmien vajavaisuuden. Nopeasti syntyneet järjes­

telmämme ovat yllättäen osoittautuneet alttiiksi sekä vihamielisille että vahingossa laukaistuille hyökkäyksille. Tietotekniikkaan perustuvat ratkaisut vaativat perusteellista tarkastelua turvallisuuden ja tietosuojan näkökulmasta. Hyväuskoisuus ei auta, kun korvaamaton vahinko on päässyt tapahtumaan.

Kysymys tietosuojasta on hyvin moniulotteinen ja vaikeastikin lähestyttävis­

sä oleva ongelma. Ei ole kysymys pelkästä teknologiasta tai organisaation pelisääntöjen noudattamisesta tainoudattamatta jättämisestä. Ongelma nivoutuu monimutkaiseksi kudelmaksi, jossa liikutaan laitteisto- ja ohjelmistoratkaisujen aukkojen ja ihmisten leväperäisyyden epämääräisessä ja jatkuvasti muuttuvassa maailmassa.

Tässä Esa Turtiaisen laatimassa tutkimuksessa on alun perin ollut tavoittee­

na paneutua tietoturvaongelmaan Teknillisen korkeakoulun näkökulmaa painottaen. Työn edistyessä näkökulma on laajentunut. Tekijä on työtä valvoneen apul.prof. Jorma Skytän myötävaikutuksella laatinut kattavan ja nykyaikaisen selvityksen verkottuneiden tietojärjestelmien tietoturvan on­

gelmista ja niiden ratkaisumalleista. Työhön liittyy lisäksi TKK:n tietojen­

käsittelyjärjestelmän uhkien riskianalyysi, jota voi hyvin käyttää muidenkin organisaatioiden ongelmien tarkasteluun.

Syvempää tietoa janoaville teoksen ajanmukainen kirjallisuusluettelo on varsin arvokas. Työ on osa TKK:n tietojenkäsittelyopin laboratoriossa käyn­

nissä olevaa tietoturvaa käsittelevää tutkimustyötä.

Otaniemessä marraskuussa 1989

Reijo Sulonen Professori

ALKULAUSE

Tämä diplomityö on kiijoitettu alustavaksi tietoturvallisuus tutkimukseksi, erityisesti Teknillisen korkeakoulun tietokoneverkon tilanteen selvityksek­

si.

Alustavat valmistelut alkoivat syksyllä 1988, kun apul. prof. Jorma Skytän kanssa havaitsimme, että puuttuva turvallisuus oli muutamien kiinnostavien verkkopalvelujen esteenä. Selvitimme yleisemminkin aihetta ja totesimme turvallisuustietouden korkeakoulussamme heikoksi.

Aiheen vaativuuden vuoksi tavoitteeksi ei asetettu mitään kovin konkreettis­

ta. Katsoimme TKK:n tietoverkon turvallisuustilanteen kartoittamisen tär­

keäksi, ja sovimme aiheen vaatiman alustavan selvitystyön sopivaksi tutki­

musaiheeksi. Työ aloitettiin laajalla kirjallisuustutkimuksella, ja myö­

hemmin tehtiin perehtymismatka USA:n korkeakoulujen tilanteeseen.

Työn valvoja, professori Reijo Sulonen, on auttanut paljon työn tekemisessä.

Hänen apunsa on tehnyt työn tekemisen mahdolliseksi.

Monet muutkin ovat auttaneet työn tekemisessä. Yliassistentti Arto Karila (nykyisin apul. joht, PTL-Tele) neuvoi monissa verkkoihin liittyvissä kysy­

myksissä. Muukin TKO-laboratorion henkilökunta on auttanut tarvittaessa, erityisesti vs. prof. Heikki Saikkonen. Haluan kiittää myös Laskentakes­

kuksen henkilökuntaa avusta.

Rehtori Jussi Hyyppää ja Teknillisen korkeakoulun tukisäätiötä haluan kiit­

tää avusta USA:n matkan rahoituksen järjestämisessä.

Kiitän myös työn etukäteen lukeneita avusta. Edellä mainittujen lisäksi käsikirjoitusta kommentoivat Olli Amberg, Ari Mujunen, Pekka Nikander, Panu Pietikäinen ja Teemupekka Virtanen.

Vaimoani Päiviä kiitän kärsivällisyydestä ja pahimpien kielioppivirheiden korjaamisesta. Päivi lyhensi tätä esitystä huomattavasti poistamalla monta sanaa, joihin olin kiintynyt.

Espoossa, lokakuussa 1989

Esa Turtiainen

1 JOHDANTO

Tutkimuksessa keskitytään tutkimaan TKK:n tietokoneverkon turvallisuut­

ta. Korkeakouluympäristössä on aina pidetty tärkeimpänä sitä, että järjestel­

mä on ollut mahdollisimman helposti käytettävissä. Turvallisuuteen ei ole kiinnitetty huomiota. Luottamuksellisia tietoja on vähän.

Muutamat viimeaikaiset väärinkäyttötapaukset ovat muuttaneet tilannetta.

Korkeakoulunkin on kyettävä tarvittaessa saamaan tunkeutujat vastuuseen.

Erityisesti on kyettävä selvittämään koulun tietokoneiden kautta aiheutetut harmit ulkopuolisille. Viruksen tai madon leviäminen kykenee tekemään jopa vapaassa korkeakouluympäristössä tuntuvia vahinkoja.

On syntynyt tilanne, missä uusia palveluja ei haluta jäljestää nykyisellä turvallisuustasolla. Verkot tekevät mahdolliseksi monia uusia palveluja, joita todella tarvittaisiin, esimerkiksi luottamuksellista sähköpostia tai kei­

noa tarkastaa omat opintosuoritusmerkinnät. Mitä hyödyllisempi palvelu, si­

tä haavoittuvampaa käsitelty tieto usein on.

Turvallisuusjärjestelyillä tulisi ennen kaikkea pyrkiä luotettavaan kuvaan jäijestelmän käytöstä - verkko ei saa vähentää käyttäjien tunnistettavuutta.

Turvallisuusjäijestelyjen keskeisimpiä tavoitteita verkkoympäristössä on kirjata järjestelmän tapahtumat keskitetysti ja luotettavasti. Tunnistuksen tulisi olla myös laillisesti sitova. Tällä hetkellä kuitenkin jo yhdellä verkkoon kytketyllä PC-tietokoneella voidaan harhauttaa käyttäjien tunnis­

tettavuutta verkon yli.

Turvallisessa tietokonejärjestelmässä ei voi tehdä vahingontekoja jättämättä jälkiä. Turvallisuuden minimivaatimusta voidaan verrata oven lukkoon [Skyttäl989]: tavallinenkin ihminen pystyy rikkomaan sen sorkkaraudalla.

Tämä jättää kuitenkin niin paljon jälkiä, että harva viitsii tai uskaltaa rikkoa oven. Ammattimies pääsee läpi ovesta siististi, mutta tämä vaatii niin paljon taitoja, että henkilö on tämän vuoksi tunnistettavissa; toisaalta henkilön ansiot ovat tästä työstä kiinni. Ammattimiehen etiikka on korkeampi. Turvallisuus on usein kiinni turvallisuuden rajojen tun­

temisesta.

Turvallisuus on tasapainoilua eri tekijöiden välillä. Täydellisiä suojauksia ei ole olemassa. Tietyssä pisteessä turvallisuus alkaa maksaa enemmän kuin siitä saavutettava hyöty. Myös turvallisuusjärjestelyjen jakaminen teknisiin ratkaisuihin ja ihmisten tekemiin toimenpiteisiin on vaikeasti ra­

jattavissa. Teknisen järjestelmän suojaukset ovat hyvin usein ei-teknisiä.

Turvallisuuden alalta kaupallisia järjestelmiä on olemassa hyvin vähän.

Erityisesti verkkoympäristössä rajoituksena on tarvittu salakirjoitustek- niikka. Salakirjoitusmenetelmät lasketaan esimerkiksi USA:ssa sotilas- tarvikkeiksi ja niihin vaaditaan NSA-viraston myöntämä sotilastarvikkei-

den erikoislisenssi. Tämän vuoksi USA:sta ei voi normaalin järjestelmän yhteydessä toimittaa verkon turvallisuuden takaavia järjestelmiä.

Vapaata tutkimusta aiheesta on niukasti. Eniten tutkimusta tekevät hallitus­

ten alaiset salaiset organisaatiot. Yrityksetkään eivät luota kehittämiinsä ratkaisuihin niin paljoa, että kertoisivat yksityiskohtia järjestelmistään.

Alan tutkimus on tärkeää; jo pelkästään suomalaista elinkeinoelämää var­

ten alan tietämystä on lisättävä. Yleinen tietämyksen lisääminen poistaisi monia turvallisuuteen liittyviä harhaluuloja.

Tekemäni tutkimus on pääosin peruskartoitusta. Aloitin tutkimuksen laaja­

na kirjallisuustutkimuksena. Tässä yhteydessä etsin alan saatavissa olevat artikkelit. Luettelo olennaisimmista artikkeleista on liitteenä. Myöhemmin selvitin käytännön järjestelmiä. Keväällä 1989 pääsin TKK:n tukisäätiön tuella tutustumaan USArn itärannikon suurten yliopistojen tietokoneverkko- järjestelyihin ja niiden turvallisuuteen. Vierailukohteet olivat yliopistot MIT ja CMU sekä IBM T. J. Watson tutkimuskeskus.

Tutkimuksessa on pyritty tekemään mahdollisimman laaja peruskartoitus tietokonejärjestelmien turvallisuusmenetelmiin, erityisesti tietokoneverkko­

jen turvallisuuteen, sovellettu menetelmiä TKKrn tietokoneverkon turvalli­

suuden analysointiin ja esitetty parannusehdotuksia verkon turvallisuuteen.

Täydelliseen ratkaisuun ei ole pyritty, koska jo ongelman kartoittaminen on ollut laaja tehtävä.

2 TURVALLISUUSTAVOITTEET

Tässä luvussa käsitellään syitä parantaa nykyistä turvallisuustilannetta.

Luvussa esitellään myös tämän tutkimuksen perusteita yleisesti.

Aluksi tarkastellaan turvallisuutta käsitteenä ja rajataan tutkimuksen aihe.

Koska koko tutkimuksen johtavana ajatuksena on verkkojärjestelmän mal­

littaminen palveluina, tämän perusteita esitellään lyhyesti luvussa 2.2. Muu­

tamat esimerkit luvussa 2.3 kuvaavat palveluja, joiden toteuttaminen edellyt­

tää parempia turvallisuusjärjestelyjä.

Tavallisimpia järjestelmän häiriöitä ja palvelujen väärinkäytön syitä selvi­

tetään luvussa 2.4. Luvussa 2.5 käsitellään henkilörekisterilakia, joka on merkittävä syy parantaa turvallisuusjärjestelyjä.

Lopuksi tarkastellaan turvallisen järjestelmän ominaisuuksia. Luvussa 2.6 käsitellään turvallisen järjestelmän periaatteita ja luvussa 2.7 turvallisen verkon ominaisuuksia.

2.1 TUTKIMUKSEN TAVOITTEET

Tutkimuksessa selvitetään TKK:n verkon turvallisuutta. TKK:n turvalli­

suustarpeet ovat osittain erilaiset kuin esimerkiksi kaupallisen tutkimuskes­

kuksen tai pankin, mutta järjestelmissä on suuria samankaltaisuuksiakin.

TKK:n tarpeet ovat usein samat kuin kaupallisen järjestelmän minimivaati­

mukset.

Korkeakoulun tietokoneverkko on suuri, ja siinä olevat tietokoneet voivat kommunikoida hyvin nopeasti keskenään. Palveluja tarjotaan melko näky­

mättömästi eri ylläpitäjien järjestelmistä toiseen, esimerkiksi TKK:n ja TTKK:n välillä. Tämä vastuun sekoittuminen on yksi hankalimpia asioita turvallisuuden kannalta. Koko verkolla ei ole yhteistä ylläpitoa, eikä ylläpi­

täjien oikeuksilla tulisi voida häiritä naapuriorganisaatiota.

Tietokoneverkko on heterogeeninen, jos siinä on useita erimerkkisiä tietoko­

neita useilla eri käyttöjärjestelmillä. Tämä estää identtisten ohjelmien ajon eri koneissa; koneita ei ole kytketty "tiukasti” toisiinsa. Heterogeenisuus pa­

kottaa järjestämään palvelut mahdollisimman korkealla abstraktiotasolla.

Käyttäjälle palvelujen hajautuksen on oltava näkymätöntä.

Korkeakouluympäristö ei salli kovin tehokasta fyysistä suojausta. Opiskeli­

jat ja tutkijat liikkuvat vapaasti päätesaleissa ja työasemien luona. Kulun­

valvontaa tuskin voidaan järjestää, koska se on ihmisten asenteiden vastais­

ta. Monien korkeakoulussa työskentelevien ihmisten mielestä kaikki val­

vonta rajoittaa työskentelyä.

Kaupallisissa jä^estelmissä tällä hetkellä turvallisuus toteutetaan fyysisellä koskemattomuudella ja monimutkaisilla ihmisten toteuttamilla menettelyta­

voilla. Korkeakouluympäristössä kannattaa kustannussyistä ja ihmisten viihtyvyyden vuoksi etsiä ensisijaisesti näkymättömiä teknisiä ratkaisuja.

Tutkimuksessa selvitetään turvallisuuteen liittyviä osa-alueita tekniseltä kannalta. Lisäksi joudutaan selvittämään turvallisuuteen liittyviä hallin­

nollisia toimenpiteitä. Tämäntyyppinen tarkastelu ei ole koskaan täydelli­

nen ilman laillisten ja eettisten kysymysten laajaa tutkimista. Tässä tekni­

sessä opinnäytteessä näitä ei kuitenkaan ole esitetty.

Teknisistä kysymyksistä ulkopuolelle on rajattu täydellisesti turvallisuus onnettomuuksia vastaan. Joitakin sinänsä kiinnostavia alueita on myös ra­

jattu ulkopuolelle. Salausta, hyvin tiukkaa turvallisuutta vaativia järjestel­

miä sekä monitasoista suojausjäijestelmää käsitellään vain pinnallisesti.

Lähinnä teoreetikkoja kiinnostavaa tilastotietokannan päättelyturvallisuutta ei käsitellä lainkaan.

PALVELUJEN JÄRJESTÄMINEN

Verkossa olevat tietokoneet muodostavat monia loogisia palveluja. Jäijestel- män ylläpito helpottuu, mikäli palvelu mielletään fyysisestä sijaintipaikasta riippumattomaksi kaikille käyttäjille samalla tavalla näkyväksi rajapin­

naksi. Yksinkertaisessa palvelumallissa turvallisuusaukot ovat kuitenkin laajasti tunnettuja. Ilman yhtenäistä turvallisuusmekanismia heterogeeni­

sen järjestelmän integrointi yhteisen palvelurajapinnan alle ei ole turvallis­

ta.

Nykyaikaisessa tietokoneympäristössä tietokoneverkot ovat muuttumassa välttämättömiksi. Verkko yhdistää kaikki organisaation tietokoneresurssit, eikä niitä voi käyttää täysipainoisesti ilman yhteyttä muihin koneisiin.

Verkon avulla järjestelmän osat saadaan paremmin käyttöön ja useissa ta­

pauksissa saavutetaan merkittäviä kustannusten säästöjä. Organisaatiossa voidaan järjestää keskitettyjä resursseja, esimerkiksi levypalvelijoita, posti­

palveluja, tulostimia ja suuria tietokoneita. Jokainen palveluista voi olla ko­

neessa, joka kykenee tarjoamaan tälle palvelulle parhaan palvelutason hal­

vimmalla.

Verkon hallintaan ja ylläpitoon ei tähän mennessä ole kiinnitetty paljoa huo­

miota. Koneiden saaminen keskustelemaan keskenään on osoittautunut tek­

nisesti hyvin vaativaksi ongelmaksi ja yhteyksien saaminen toimiviksi on kestänyt kauan. TKK:lla on nyt niin laaja verkko, että hallinta ja turvalli­

suusongelmat ovat tulleet tärkeiksi.

Järkevin tapa hallita heterogeenistä tietokoneverkkoa on jakaa se erilaisiksi palveluiksi. Nämä palvelut tehdään käyttäjille mahdollisimman läpinäky­

viksi: niiden fyysinen sijaintipaikka ei näy mitenkään käyttäjälle. Esi-

merkiksi käyttäjä kirjoittautuu sisään työasemaan. Työasema edustaa kul­

loistakin kustannusoptimia käyttäjän omien tehtävien tekemiseen ja ennen kaikkea käyttöliittymän ergonomiseen suorittamiseen. Kaikki organisaati­

on palvelut on keskitetty joko johonkin keskuskoneeseen, erilaisiin palveli­

miin tai jopa eri työasemiin. Käyttäjälle palvelut näyttävät olevan omassa koneessa.

Käyttäjä ei parhaassa tapauksessa näe mitään työasemakohtaista eroa järjes­

telmässä. Uusimmissa käytännön järjestelmissä käyttäjän oma kotihake­

misto haetaan aina tiedostopalvelimesta. Itse työasema on täysin tilaton;

kaikki käyttäjän omat asetukset haetaan keskitetystä järjestelmästä.

Verkkojärjestelmällä palvelut saadaan keskitettyä. Samat palvelut ovat kaikkien käytettävissä symmetrisesti jokaisesta koneesta ja jokainen muu­

tos näkyy välittömästi kaikille ilman erikoisjärjestelyjä.

Eri tietokoneet soveltuvat eri palvelujen järjestämiseen eri tavalla. Nykyai­

kaiset työasemat on suunniteltu käsittelemään bittikarttanäytöllä tapahtuvaa interaktiota mahdollisimman tehokkaasti. Isoissa laskentaa suorittavissa koneissa kaikki keskeytykset häiritsevät laskentaa. Levyn käsittelyssä ovat hinta/teho-suhteessa parhaimpia keskisuuret tietokoneet. Palvelut voidaan toteuttaa taloudellisimmin hajautettuna. Tähän puolestaan tarvitaan luo­

tettua verkkoa.

Service Service Service

Kuva 2.1. Looginen työasema-palvelut -järjestelmä näyttää symmetriseltä, vaikka palvelut on ryhmitelty sekaisin fyysisiin yksiköihin.

Palvelukeskeinen järjestelmä on helposti ylläpidettävissä. Mitä selvempi ja hallittavampi järjestelmä on, sitä helpompi se on myös murtaa. Nykyisillä turvallisuusjärjestelyillä ei uskalleta ottaa käyttöön yksinkertaista mallia organisaation tietokoneverkon ylläpitämiseksi.

Ylläpitäjän valtuuksien periytyminen verkossa on ongelma. Nykyisissä järjestelmissä oletetaan, että jokaisella koneella on oma ylläpito. Kuiten­

kaan ei ole estetty sitä, että verkossa ylläpitäjän oikeudet naapurikoneisiin ovat suuremmat kuin tavallisilla käyttäjillä. Ratkaisu on organisaation si­

säinen keskitetty ylläpito ja tiukka raja organisaation ulkopuolelle.

Tällä hetkellä ei samankaan organisaation sisällä uskalleta antaa täydelli­

siä keskitettyjä ylläpitovaltuuksia. Turvallisuussyistä on paras, että kaikki ylläpito toimenpiteet tehdään kunkin koneen konsolilta eikä verkon kautta.

Käytännössä järjestelmät ovat kuitenkin niin suuria, ettei tämä ole pitkään aikaan ollut mahdollista. Turvallisuusjärjestelyt tulisi tehdä niin hyviksi, että ylläpitäjä voi huoletta pitää useita verkossa olevia tietokoneita yhtenä jär­

jestelmänä.

Myös organisaation ulkopuoliset yhteydet tulisi saada luotettaviksi. Yhtey­

dessä olevien organisaatioiden tulisi voida olla varmoja, että väärinkäyttö on mahdollisimman vähäistä. Lisäksi tulisi olla välitettävissä tietoa, joka on varmasti oikeaa ja organisaation virallisesti hyväksymää. Esimerkiksi Suomen korkeakoulut välittävät toisilleen yhteisvalintatietoja koneluettavas­

sa muodossa.

HALUTTUJA PALVELUJA

Monia mielenkiintoisia palveluja jää tällä hetkellä toteuttamatta puuttuvan turvallisuuden takia. Palveluja ei tarjota, koska niihin sisältyy todellinen riski palvelun väärinkäytöstä. Toisaalta palveluja taijotaan tarpeettoman monimutkaisesti. Ilman keskitettyä turvallisuusmekanismia turvallisuutta haetaan pitämällä palvelut mahdollisimman monimutkaisesti käytettävinä.

Palveluprotokollat pidetään mahdollisimman arvoituksellisina. Heterogee­

nisessä ympäristössä olisi yksinkertaisinta, jos protokollat olisivat mahdol­

lisimman selväkielisiä, esimerkiksi tietokoneen ottamana automaattisena keskusteluyhteytenä naapurikoneen komentotulkkiin. Nykyisellä turvalli­

suustasolla tätä ei kuitenkaan tule tehdä.

Seuraavassa käsitellään muutamia esimerkkejä palveluista, joita voitaisiin tarjota:

Kotona olevat työasemat

Työaseman vieminen kotiin vaatii tehokkaita tietoliikenneyhteyksiä, joita ei vielä ole olemassa. Kuitenkin jo ISDN-verkon yleistyttyä kotona olevien työasemien pitäminen samassa verkossa työpaikan työasmien kanssa tulee olemaan varteenotettava vaihtoehto.

Kotona oleva työasema on turvallisuusriski. Varsinkin ollakseen käyttökel­

poinen sen tulee saada yhteys samaan tiedostopalvelijaan kuin varsinaisen työpaikalla olevan työaseman.

Ilman turvallisuusjärjestelyjä käyttäjien tulisi luottaa hyvin paljon verk­

koon. Organisaatio, joka sallii kotona pidettävän työaseman kytkemisen suoraan verkkoon, on altis hyvin monille hyökkäyksille.

Tulostuspalvelu

Käyttäjille voitaisiin jäljestää arvokkaita lisäpalveluita, mikäli niitä voitai­

siin valvoa.

Lasertulostin voisi olla yksi lisäpalvelu. Tällä hetkellä käyttäjät saavat mel­

ko vapaasti tulostaa kirjoittimille. Jos käyttö kasvaa liikaa, sitä halutaan varmasti rajoittaa tai ainakin tilastoida valvontaa varten. Tämä ei kuiten­

kaan ole käytännössä mahdollista.

Tulostin on aina keskitetty resurssi; sille on voitava kirjoittaa verkon yli.

Tämänhetkisillä turvallisuusjärjestelyillä ei tulostajaa voida riittävän var­

masti tunnistaa. Lisäksi kyseessä on rajoitus, jota kaikki eivät hyväksy.

Tämän vuoksi sitä yritettäisiin aktiivisesti kiertää.

Ainoa mahdollisuus saada tunnistus varmaksi on uudenlaisien turvallisuus- järjestelyjen käyttöönotto.

Erikoistietokoneet

Erilaiset tehtävät vaativat erilaiset tietokoneet. Esimerkiksi tieteellisessä laskennassa vektoroivat tietokoneet ovat parhaita; kaupallishallinnolliset tietokoneet taas on suunnattu tietokantojen ylläpitoon. Erikoistuneella rin­

nakkaistietokoneella olisi käyttöä mm. kuvien käsittelyssä.

Teknisesti ei ole suurta estettä, miksei kussakin erkoistuneessa tietokoneessa voisi olla palvelijoita, jotka tarjoavat kaikille verkon käyttäjille juuri niitä palveluja, joita erikoistunut kone voi tarjota parhaiten. Kukin käyttäjän an­

tama käsky voitaisiin käsitellä tämäntyyppisen käskyn parhaiten osaavassa yksikössä.

Palvelun voisi saada käyttöönsä myös käynnistämällä ohjelman, joka onkin todellisuudessa automaattinen sisäänkirjoittautuminen jonkin toisen tieto­

koneen ohjelmaan. Tiedostojärjestelmät voivat olla kaikille tietokoneille yhteiset, joten tässäkään suhteessa käyttäjä ei huomaa eroa.

Toinen syy hajauttaa palvelut eri tietokoneisiin on hankalat lisenssiehdot.

Ohjelmaa tulisi ajaa täsmälleen siinä koneessa, mille lisenssi on annettu, esimerkiksi sitä ei saisi käynnistää toisessa koneessa vaikka ohjelma nä- kyisikin verkkotiedostojärjestelmässä.

Ongelmilta vältytään, mikäli jokaisessa koneessa on ohjelma, joka käyn­

nistää esimerkiksi naapurikoneessa Ada-kääntäjän saman käyttäjän tie­

dostoille. Lisenssi voidaan hankkia juuri tarvittavan kokoiseen tietokonee­

seen.

Puutteellisen turvallisuuden vuoksi kehittyneitä palveluja ei voida järjestää Interaktiivisella komentoliitännällä. Ohjelman käynnistäminen naapuri- koneessa on yksinkertaista, mikäli käyttäjän tunnistukseen voidaan luot­

taa. Jos turvallisuusjärjestelyjä ei ole, järjestelmä muuttuu avoimeksi vää­

rinkäytölle. Interaktiivinen komentoliitäntä olisi helpoin tapa järjestää pal­

veluja koneissa, joiden arkkitehtuuri eroaa ratkaisevasti yleiskäyttöisistä tietokoneista.

JÄRJESTELMÄÄN KOHDISTUVAT UHAT

Tässä tarkastellaan tunkeutujan motiiveja järjestelmään hyökkäämiseksi ja mahdollisia uhkia, joita tunkeutuvat ihmiset aiheuttavat. Käsittely on läh­

teistä [Baskerville1988], [Lanel985], [Fitesl989], [Hoffman 1977], ja [Tanen- bauml987].

Luettelo on laajempi kuin esimerkiksi TKK:n ajateltavissa olevat uhat; läh­

deteokset ovat kaupallisesti painottuneita. TKK:n järjestelmää tarkastellaan luvussa 5.

Hyökkääjä voi olla harrastelija tai ammattilainen. Hyökkäyksen syyt voi­

daan luokitella seuraavasti:

• taloudellinen hyöty

• henkilökohtainen etu

• uteliaisuus

• vakoilu

• halu herättää huomiota

• tuhoamishalu.

Tietojärjestelmissä pyritään suojaamaan ensisijaisesti järjestelmän tietojen eheyttä, tarkkuutta ja yksityisyyttä. Kaikissa järjestelmissä pyritään estä­

mään palvelujen ja resurssien oikeudeton käyttö.

Hetojen eheys

Tietojärjestelmän tietojen oikeellisuudesta on oltava jatkuvasti täysi var­

muus. Eheydellä tarkoitetaan tietojen oikeellisuutta verrattuna sekä todelli­

suuteen että toisiin tietoihin. Pienet muutokset tietokoneessa ovat huomatta-

vasti näkymättömämpiä kuin esimerkiksi paperikortistossa. Siksi tietojen muuttelun valvonnan on oltava huolellista.

Tunkeutuja voi muutella tietoja esimerkiksi saadakseen paremmat arvosa­

nat tai vaikka vain tehdäkseen eräänlaisen seinäkirjoituksen.

Tietojen раУ astuminen

Tärkein syy suojata ihmisiä käsitteleviä tietoja paljastumiselta on yksityi­

syyden suojelu. Henkilörekisterien tietojen paljastumista pelätään yleisesti.

Henkilörekisterilain vaatimuksia tietojen yksityisyyden säilyttämiseksi käsitellään luvussa 2.5.

Myös arvokkaan tiedon vakoilu on syy tunkeutua tietokoneeseen. Esimer­

kiksi yritysten taloudelliset suunnitelmat tai uudet tuotteet ovat teollisuusva­

koilun kohteina. Aina ei voi myöskään unohtaa valtioiden välistä vakoilua.

Usein liikeyrityksien tiedoilla on rahallista arvoa: osoiterekistereitä tai läh­

dekielisiä ohjelmia yritetään varastaa hyötymistarkoituksessa.

Tietojen tuhoutuminen

Tietojen tuhoamisen motiivina on lähinnä halu herättää huomiota. Sabotaasi on tiedot omistanutta organisaatiota vastaan kohdistettu teko. Esimerkiksi lakkoon menevä työntekijä voi yrittää tilapäisesti estää tietojen käytön. Ter­

roriteko kohdistuu johonkin sosiaalisen epäkohdan arvosteluun, ja sen kohde on mielivaltainen. Vandalismilla ei ole varsinaista kohdetta; se voi ilmetä esimerkiksi seinäkirjoituksina.

Resurssien oikeudeton käyttö

Tunkeutuja voi käyttää oikeudettomasti erilaisia resursseja. Merkittävim­

mät ovat tietoliikenneyhteydet (automaattisoittomodeemeilla voi saada ai­

kaan suuria puhelinlaskuja), keskusyksikkö ja tulostimet.

Suojatuksi on saatava erilaiset palvelut, joiden käytöstä on tarkoitus laskut­

taa: tietokannat, ohjelmistot, laitteet ja sähköpostiyhteydet.

Palvelujen esto

Helpoimpia tapoja häiritä järjestelmän toimintaa on estää muita käyttämästä niitä. Tällä on lähinnä huomioarvoa. Esimerkiksi tietokoneverkon saa usein käyttökelvottomaksi lähettämällä verkkoon jatkuvasti paljon viestejä.

Petokset

Petos on esimerkiksi luotetun henkilökunnan jäsenen tekemä vahingonteko, jonka tavoitteena on oma hyöty. Petoksia vastaan on lähes mahdotonta tehdä teknisiä kontrolleja.

Yksi käytetty tapa tehdä petoksia on ns. salamitekniikka. Ohjelmoija järjes­

tää niin, että pyöristysvirheet menevät hänen omalle tililleen. Pieniä palasia arvokkaasta omaisuudesta voidaan viedä vähän kerrallaan tarkastajien huomaamatta.

Yhteenveto

Järjestelmää uhkaa tunnistamaton hyökkääjä tai vaillinainen kontrolli.

Käyttäjien varma tunnistaminen on tekninen ongelma, käyttäjien valvonta taas hallinnollinen ongelma.

HENKILÖREKISTERILAIN TURVALLISUUSVAATIMUKSET

Henkilörekisterilain [Hrekl987] asettamat turvallisuusvaatimukset ovat huo­

mattavat. Rekisterinpitäjällä on useita tietojen yksityisyyttä suojaavia vel­

vollisuuksia.

Rekisterinpitäjällä on huolellisuusvelvoite. Tietojen käsittelyssä on nouda­

tettava huolellisuutta ja hyvää rekisteritapaa, eivätkä tiedot saa joutua vää­

riin käsiin. Henkilörekisteri on suojattava luvatonta käsittelyä, käyttöä, tu­

hoamista, muuttamista ja anastusta vastaan. Suojauksien laiminlyönti on rikollista, samoin henkilörekisteriin tunkeutuminen ja tietojen antaminen rekisteristä.

Soveltamisohjeissa [Tietosuojal988] käsitellään suojausvelvoitetta huomatta­

vasti yksityiskohtaisemmin. Henkilörekisterin pidossa vaaditaan mm. hal­

linnollisia toimia: riskianalyysiä ja työntekijöiden vastuualueiden tarkkaa määräämistä. Tiedot tulee suojata rekisteriteknisin keinoin ja tietoihin pää­

sy tulee estää aina, kun siihen ei ole selvää syytä. Myönnetyistä käyttöoi­

keuksista tulee pitää ajan tasalla olevaa luetteloa. Arkaluontoisia tietoja käytettäessä tulee käytön kiijaantua turvalliseen lokiin. Henkilörekisteri tulee suojata tuhoutumiselta esimerkiksi varmuuskopioin.

Vastuu henkilörekisterien asiallisesta ylläpidosta on aina ylimmällä orga­

nisaatiolla, ei esimerkiksi ATK-osastolla. Organisaation tulee valvoa ala­

yksiköiden hallussa olevia rekistereitä.

Ohjeiden mukaan pelkkä tietojäijestelmän suojaaminen ei riitä. Rekisterin käyttö on kokonaisuudessaan suunniteltava siten, ettei henkilötietoja tarpeet-

tornasti levitetä ja tietoja käytetä väärin. Vastuu ei voi kokonaisuudessaan olla teknisillä ratkaisuilla.

2.6 TURVALLISUUSPERIAATTEET

Turvallisuusjärjestelmän suunnittelussa on muutamia perusperiaatteita.

Seuraavat on kehitetty Multics-käyttöjäijestelmän kokemusten pohjalta:1 Oletuksena pääsyn esto

Järjestelmä suunnitellaan niin, että resursseihin päästään käsiksi vain, kun siihen annetaan erikseen lupa.

Julkiset suunnitteluperiaatteet

Kaikkien suunnitteluperiaatteiden tulee olla julkisia. Turvallisuuden tulee perustua avaimiin ja vahvaan suunnitteluun pikemminkin kuin tietojen luottamuksellisuuteen. Tämä pienentää henkilökuntaan liittyvää riskiä.

Mahdollisimman pienet oikeudet

Kaikki oikeudet tulee pitää aina täsmälleen niin pieninä kuin parhaillaan meneillään oleva tehtävä edellyttää.

Käyttiyien hyväksyntä

Järjestelmän tulee olla niin helppokäyttöinen, että käyttäjät käyttävät suo­

jauksia automaattisesti ja rutiininomaisesti. Toteutuneen suojauksen tulee vastata käyttäjän mielikuvaa tilanteesta.

Täydellinen valvonta

Jokaisen objektin jokainen käyttö on tarkastettava keskitetysti. Viittaukset tehdään vain valvontamoduulin välityksellä.

1 J.D. Saltzer, M.D. Shroeder, ”The Protection of Information in Computer Systems,”

PIEEE, Voi. 63, 9, March 1975. Ks. esim. [Hoganl988], [Hoffman 1977], [Seberryl989]

Yksinkertaisuus

Turvallisuusjärjestelmän tulee olla mahdollisimman yksinkertainen.

Käyttäjien on voitava hahmottaa se helposti. Turvallisuusjärjestelmä ei saa viedä niin paljoa resursseja, että syntyisi houkutusta jättää se pois käytöstä.

Erilliset oikeudet

Oikeuksien tulisi olla erillisiä. Esimerkiksi ylläpito-oikeudet tulisi jakaa erillisiin osiin, jotka ovat sisäkkäisiä. Yksittäisen ylläpito-oikeuden sala­

sanan antaminen vaatisi ensin yleistä oikeutta ylläpitoon. Harvat järjestel­

mät toteuttavat tämän, eikä sitä pidetä käytännössä mielekkäänä [Hogan- 1988, s. 12].

Käyttäjillä mahdollisimman vähän yhteyksiä

Käyttäjien välisten yhteyksien tulisi olla mahdollisimman vähäisiä. Esi­

merkiksi kahden tai useamman käyttäjän välinen kommunikaatio yhteisen tiedoston avulla tulisi olla mahdollista vain tarvittaessa. Mm. virukset le­

viävät avoimien kommunikaatiokanavien avulla.

TIETOLIIKENTEEN

TURVALLISUUSVAATIMUKSET

Tietoliikenteen on täytettävä monia ehtoja ollakseen turvallista. Seuraavat tavoitteet ovat artikkelista [Voydockl983]:

• viestin sisällön salaisena pysyminen

• viestien muuntelun havaitseminen

• viestien viivästyttämisen havaitseminen (denial of service)

• väärennettyjen yhteydenottojen havaitseminen

• liikenteen analysoinnin esto.

Liikenteen analysoinnilla tarkoitetaan sitä, että sivullinen saa selville yh­

teydessä olleet osapuolet ja niiden välittämän liikenteen määrän. Suojautu­

akseen siltä järjestelmän on jatkuvasti välitettävä merkityksettömiä vieste­

jä.

Väärennetty yhteydenotto voi tapahtua esiintymällä vääränä koneena tai käyttäjänä tai sitten aiempia yhteydenottoja jäljitellen. Kummastakin ta­

pauksesta on selviydyttävä.

Perustavia tietoliikenteen turvallisuustarpeita korkeammalla tasolla on ero­

tettavissa muitakin toimintoja. Seuraavat tarpeet on havaittu sähköpostin yh­

teydessä (X-400-standardi ja [Mitchell 1989]):

• viestin lähettäjän todistaminen vastaanottajalle

• todistus vastaanottajalle, että lähettäjä ei voi koskaan kiistää lähettäneensä viestiä (non-repudiation)

• viestin lähettäjän todistaminen välittäjille (laskutus) ilman, että sisältö paljastuu

• sisällön salaisena pysyminen

• sisällön muuttamattomuus

• todistus lähettäjälle siitä, että vastaanottaja on lukenut viestin muuttamattomana

• välittäjän antama kiistaton todistus, että viesti on toimitettu vastaanottajalle.

2.8 TIIVISTELMÄ

Palvelu on fyysisestä sijaintipaikasta riippumaton keskitetty toiminto, joka näkyy kaikille käyttäjille samalla tavalla. Palvelu muodostaa ylläpidolle käyttäjien rajapinnan, jonka alla toiminto on jäljestettävissä taloudellisim- malla käytettävissä olevalla tavalla.

Yksinkertainen palvelumekanismi vaatii kehittyneet turvallisuusabstrakti- ot. Parempia turvallisuusjäijestelyjä vaativat esimerkiksi levypalvelut, pos­

tipalvelut, tulostus, ylläpito, erikoistietokoneet ja kotona olevat työasemat. Or­

ganisaatioiden väliset palvelut edellyttävät erikoistoimenpiteitä.

Tunkeumisen syyksi oletetaan usein oman edun tavoittelu, esimerkiksi va­

koilu tai petos. Aina motiivit eivät ole ennalta arvattavia - väärinkäytön syynä voi olla myös vandalismi tai uteliaisuus.

Henkilörekisterilaissa ja sen soveltamisohjeissa käsitellään perusteellisesti henkilörekisterin suojaamista. Henkilörekisterin suojausvelvoitteen lai­

minlyönti johtaa rangaistuksiin.

Turvallisessa järjestelmässä pääsy estetään oletuksena, suunnitteluperiaat­

teet ovat julkisia, suojaukset ovat käyttäjien hyväksyttävissä, jokaisen objek­

tin käyttö tarkastetaan samalla tavalla, turvallisuusjärjestelyt ovat yksin­

kertaisia ja käyttäjien välillä on mahdollisimman vähän yhteyksiä. Tur­

vallinen verkkojärjestelmä kykenee estämään viestin sisällön paljastumi-

sen, liikenteen analysoinnin, viestien muuntelun, viestien viivästyttämisen ja väärennetyt yhteydenotot.

3 TEKNISET PERUSTEET

Tässä luvussa käsitellään tietokoneverkkojen turvallisuuden teknisiä perus­

teita. Aluksi esitellään tietokoneverkkojen turvallisuus, sitten yhden koneen sisäinen turvallisuus. Verkon turvallisuus on merkittävää vain luotettujen tietokoneiden välillä.

Virukset ja madot uhkaavat kaikkia ulkomaailmaan yhteydessä olevia tieto- konejäijestelmiä. Määritelmiä ja esimerkkejä esitellään luvussa 3.3.

Keinoja rajoittaa verkkoa tarkkailevan ulkopuolisen häirintämahdollisuuk- sia tarkastellaan luvussa 3.4. Tärkeänä apuna verkkoliikenteen turvaami­

sessa ovat salaus ja siihen perustuvat tunnistusprotokollat.

3.1 TIETOKONEVERKOT

Nykyaikaiset tietokoneet yhdistetään keskenään nopealla siirtotiellä — ver­

kolla. Tietokoneet kommunikoivat ja jakavat resursseja koneiden ja ihmis­

ten kesken verkon avulla. Resursseja voidaan monistaa (replication) rik­

koutumisien varalta.

Saman organisaation sisällä tietojenkäsittelyresurssit on tavallisesti yhdis­

tetty organisaation omalla lähiverkolla (LAN, local area network). Lähiver­

kot ovat hyvin nopeita (1-400 Mbit/s), vain hieman hitaampia kuin tietokonei­

den sisäiset hitaat väylät, esimerkiksi levyväylät. Näin jopa tiedostopalvelu­

jen järjestäminen lähiverkon yli on taloudellista.

Organisaatioiden välillä yhteydet ovat hitaampia ja epäluotettavampia kuin organisaation sisällä (WAN, wide area network). Vasta viime aikoina on päästy käytännön toimiin organisaatioiden välisen tiedonsiirron (OVT) hy­

väksikäytössä.

Tietoliikennettä voidaan tarkastella tasoista koostuvalla mallilla. Matalal­

la tasolla tietoliikenne muodostuu viestipaketeista; käyttäjien välillä kulkee lyhyitä osoitteellisia viestejä. Tämän tason päälle rakennetaan virheettö­

män yhteyden tarjoava tietoliikenneyhteys. Korkeimmalla tasolla tietoko­

neiden välinen liikenne voidaan usein nähdä palveluina.

Tässä esityksessä tarkastellaan aluksi OSI-mallia (Open Systems Inter­

connection), joka määrittelee tasojaon tarkemmin. Sitten tarkastellaan eri­

laisia pakettiverkkoratkaisuja: kaapelointikysymyksiä, Ethernet- ja Token Ring -verkkoa. Lopuksi tarkastellaan palvelujen toteuttamista: TCP/IP-pro- tokollan istukkaliitäntöjä (socket) ja tämän päälle rakennettua RPC-proto- kollaa (remote procedure call).

Jokaisella tasolla tarkastellaan ensin lyhyesti tiedon välitystä, sitten pohdi­

taan siihen liittyviä turvallisuuskysymyksiä. Kaapelointitasolla tarkastel­

laan tietokoneiden yhdistämiseen liittyvää turvallisuutta, erityisesti mahdol­

lisuutta fyysiseen salakuunteluun. Lähiverkkotasolla tarkastellaan osoit- teellisia paketteja, joiden katselu- ja häirintämahdollisuuksia tutkitaan.

Korkeimmilla tasoilla tarkastellaan ensisijaisesti tunnistamisominaisuuk- sia.

3.1.1 OSI

Tietoliikenne on järjestetty nykyisin erillisiin päällekkäisiin kerroksiin, joista jokaisella on omat tehtävänsä. Kerros tarjoaa palveluliitännän ylem­

mälle tasolle ja se toteutetaan käyttäen alemman tason palveluliitäntää.

välitin

Kuva 3.1. OSI-kerrosmalli. Kahden osapuolen kommunikaatio ja yksi välitin.

Taulukko 3.1. OSI-kerrosmallin tasot.

7 sovelluskerros application layer

sovellukset, esim. sähkö­

posti, pääteyhteys 6 esityskerros

presentation layer

tietojen esitystapakonversiot

5 yhteyskerros session layer

tiedonsiirtoyhteys kahden osapuolen välillä

4 kuljetuskerros transport layer

välittävä taso, joka osaa valita ylemmän tason palveluille so­

pivat alemman tason palvelut

16

3 verkkokerros network layer

pakettiverkko useiden konei­

den ja välittimien lävitse 2 siirtokerros

data Unk layer

kahden koneen välinen virheetön tiedonsiirto 1 peruskerros

physical layer

fyysinen kerros

Tason voidaan ajatella keskustelevan suoraan toisen koneen vastaavan ta­

son kanssa. Käytännössä se lähettää kaikki viestit seuraavaksi alemmalle kerrokselle.

Välitin voi olla päätepisteiden välillä oleva tietokone tai erikoislaite. Välitin voi toimia millä tahansa alimmista kolmesta tasosta. Ensimmäisen tason välitintä kutsutaan nimellä toistin, toisen tason välitin on silta ja kolman­

nen tason välitin on reititin.

Kirjassa [Blackl987] esitetään malliin liittyvää turvallisuuspohdintaa. Jär­

jestelmän turvallisuuden takaamiseksi katsotaan, että viestit on salattava.

Paras paikka salaukselle on taso 6 (esitystapakerros). Perusteluina tähän esitetään seuraavaa:

• Salauksen tulee tapahtua välittämistä riippumatta. Taso 4 on alin, jota minkään välittimen ei tarvitse ymmärtää.

• Mahdollisimman pieni osa ohjelmistosta tulisi olla luotettua. Salauksen tulisi siis tapahtua vielä tasoa 4 korkeammalla.

• Taso 6 muuttaa toteutuksesta riippuvat tietojen esitysmuodot koneiden välillä siirtyvään muotoon. Tätä ei voida tehdä enää salauksen jälkeen, koska salaus on purettavissa vain samaan bittiesitysmuotoon. Tason 6 on käsiteltävä siis selväkielisiä tietoja.

• Tason 6 alapuolella ei ole enää tietoa yksittäisistä tietokentistä. Salauk­

sen rajoittamista tiettyihin kenttiin ei siis voida tehdä enää tason 6 alapuolella.

• Salaus kannattaa tehdä vain yhdellä tasolla. Useammista salauksista ei ole merkittävää hyötyä.

Erilaisia turvallisuusjärjestelyjä ollaan kuitenkin määrittelemässä useille OSI-tasoille.

Käytännössä OSI-mallia ei vielä seurata täysin tarkasti. Täysin OSI-mallin mukaiset järjestelmät ovat vasta tulossa. Siksi tämäkään tarkastelu ei lähde varsinaisesti OSI-mallista. Seuraavassa kuvassa esitetään likimäärin myöhemmin tekstissä esitettävien käytännön jäijestelmien sijainti OSI- malliin verrattuna. Vastaavuus ei ole täysin yksikäsitteinen - monia OSI- tasoja ei yksinkertaisesti ole nykyisissä järjestelmissä.

sovellus­

prosessi 7

6

5

4

3

2

1 fyysinen

verkko

TELNET

RPC XDR

TCP IP

Ethernet

Kuva 3.2. Muutamien tekstissä esiintyvien käytännön järjestelmien likimääräinen suhde OSI-kerrosmalliin.

3.1.2 Kaapelointi

Fyysisesti tietokoneverkko koostuu kaapeloinnista. Useimmiten kaapeli kiertää väylänä tai renkaana rakennuksissa tietokoneiden läheltä. Verkko kulkee jokaisen tietokoneen lävitse tai tietokoneet liitetään kaapeliin haaroit- timella.

haaroittimet

tietokoneet tietokoneet

Kuva 3.3. Muutamia mahdollisuuksia järjestää tietokoneverkko. Väylä, johon kytkeydytään haaroittimilla ja tietoko­

neiden läpi kulkeva rengas.

Koaksiaalikaapelit

Tavallisimpia lähiverkkokaapeleita on koaksiaalikaapeli, jota käytetään ennen kaikkea Ethemet-verkoissa. Koaksiaalikaapeli muodostaa tavalli­

sesti väylän, joka kiertää rakennuksen päästä päähän jokaisen koneen lä­

hettyviltä.

18

Koaksiaalikaapelissa joudutaan pitämään huolta kaapelin signaaliominai- suuksista. Kaapelin tulee olla tietyn pituinen, se tulee päättää oikein ja liitän­

nät tulee tehdä täsmälleen tietyllä tavalla merkittyihin paikkoihin kaape­

lissa. Liitäntä tehdään poraamalla reikä eristeen läpi keskijohtoon. Tähän työnnetään liitäntäyksikön (MAU, media access unit) piikki.

Liittyminen ei kuitenkaan ole niin vaikeaa, ettei sitä voisi tehdä helposti sopivien ohjeiden avulla. Liitännän kustannukset ovat melko pienet. Nor­

maaliliikennettä tarkkailemalla verkon lisäyksiä ei huomata - asemien si­

jainti näkyy vain kalliilla johtotutkalla. Tavallisissa organisaatiossa näitä keinoja ei ole.

Koaksiaalikaapelin voi katkaista ja laittaa katkaisukohtaan työaseman vä- littimeksi. Tällainen työasema voi tehdä verkossa mitä tahansa, myös muu­

tella osia verkossa kulkevista paketeista. Verkossa kulkevaa liikennettä tä­

mä kuitenkin hidastaa todennäköisesti jopa häiritsevästi. Liitännän voi kui­

tenkin tehdä liittimillä, jolloin häirintätyöasema kytketään vain hiljaiseksi ajaksi kaapeliin.

NeliMerteet

Uusimmat verkkoratkaisut perustuvat usein ns. nelikierrekaapelin käyt­

töön. Syynä ei ole kaapelin tekninen ylivoimaisuus eikä halpuus, vaan se, et­

tä monissa paikoissa pääte- ja puhelinkaapelit on valmiiksi vedetty tällä kaa­

pelilla. Nelikierrettä käyttää esimerkiksi Token Ring ja lObaseT-Ethemet.

Nelikierteeseen liittyminen on fyysisesti yksinkertaisempaa kuin koaksiaa­

likaapeliin. Tämä pätee siis myös vakoilutyöaseman liittämiseen. Ne- likierteessä ei ole myöskään suojaavaa vaippaa, joten sen kuuntelu induktii- visesti on helpompaa kuin koaksiaalikaapelin.

Valokaapelit

Valokaapeli on uusin ja nopein tapa kytkeä tietokoneet toisiinsa. Valokaapeli kulkee nykyisissä lähiverkkoratkaisuissa aina tietokoneelta toiselle siten, että jokainen verkossa oleva tietokone käsittelee täydellisesti kaikki verkos­

sa kulkevat viestit. Valokaapeliin ei koskaan liitytä haaroittimella. Valo­

kaapeli on myös yksisuuntainen; se on yksinkertaisinta kytkeä renkaaksi.

Valokaapelissa jokainen asema voi muunnella verkossa kulkevaa liiken­

nettä haluamakseen. Sivullisen liittyminen valokaapeliin on kuitenkin huomattavasti hankalampaa. Valokaapelin katkaisu ja hiominen vaatii kalliita ja hankalia erikoislaitteita, ja liikenne on poikki huomattavan ajan.

Valokaapelin kuuntelu saattaa olla hyvin helppoa [Skyttäl989], Jos valokaa­

pelia taivuttaa, tästä pääsee karkuun mitattavissa oleva määrä valoa. Kuun­

telun havaitseminen on käytännössä mahdotonta.

Valokaapelia voidaan kuitenkin pitää melko luotettavana keinona vetää var­

sinkin pitkiä yhteyksiä, joihin kenenkään ei haluta voivan ainakaan kir­

joittaa väärennettyjä paketteja.

Paineistetut kaapeloinnit

Varmuus kaapeleiden koskemattomuudesta saadaan, jos kaapelit varuste­

taan paineistetulla vaipalla [Woodl985, s. 189]. Tietokonehuoneessa on antu­

ri, joka valvoo, että kaapelin paine pysyy vakiona. Paineistuksen sisällä on suojaukset sähkömagneettisen säteilyn vuotamista vastaan. Menetelmä on erittäin kallis eikä sitä tämän tutkimuksen kohdealueella voi pitää varteen­

otettavana vaihtoehtona.

Päätekaapeloinnit

Edellisissä kohdissa on tarkasteltu lähinnä tietokoneiden välisiä verkkoja.

Kuitenkin myös tietokoneiden päätteet yhdistetään tietokoneisiin helposti löy­

dettävissä olevalla kaapelilla. Usein nämä kaapelit kulkevat kaikkien naa­

purihuoneiden lävitse seinäkotelossa, jonka saa ruuvattua auki.

Kuka tahansa voi tarkkailla liikennettä, joka kulkee päätekaapelissa. Aino­

at tavat turvata liikenne (mm. salasanoineen) on joko paineistettu kaapeloin­

ti tai liikenteen salaus. Päätteeltä vaaditaan työaseman älyä.2

3.1.3 Ethernet

Ethernet on korkeakouluympäristössä yleisin lähiverkko. Se perustuu koko organisaation läpi vedettyihin koaksiaalikaapelisegmentteihin. Segmentte­

jä yhdistävät erilaiset välittimet. Yksinkertaisessa organisaatiossa voi olla vain yksi koaksiaalikaapeli, joka yhdistää kaikki organisaation tietoko­

neet.

Perinteinen Ethernet on kehitetty Xerox PARC -tutkimuskeskuksessa. Se on standardoitu (pienillä muutoksilla) [IEEE 802.3]. Pakettien lähetys perustuu satunnaisuuteen ja törmäysten havaitsemiseen (CSMA/CD, carrier sense multiple access with collision detection).

Ethernet on saatavissa kaikenkokoisiin tietokoneisiin; TKK:lla se on käy­

tössä IBM 3090 -tietokoneesta Mac-tietokoneisiin saakka. Liitännän voi saa­

da esimerkiksi PC-tietokoneeseen muutamalla tuhannella markalla.

2 Katso kuitenkin varoitukset PC:n käytöstä (luvussa ”Virukset ja madot”) ja vihjeet kertakäyttöisestä salasanasta (luvussa ”Käyttäjän tunnistaminen").

20

Jokainen Ethernet-viesti voidaan vastaanottaa kaikilla samaan kaapeliin kytketyillä asemilla. Kaapelissa ei voi erotella asemia, joille viestin lähet­

tää, eikä ole mahdollista saada varmasti selville, miltä asemalta jokin viesti todella tuli.

Ethemet-numero

Periaatteessa jokaisella valmistetulla Ethemet-liitäntäkortilla on oma yksi­

käsitteinen numero. Xerox jakaa Ethemet-osoitteita valmistajakohtaisesti.

Jokaisessa lähtevässä paketissa on tämä numero.

Käytännössä kuitenkin kaikissa jäijestelmissä Ethernet-numero on muutet­

tavissa. Liitäntäkortit pitävät numeron ROM- tai EEPROM-muistissa, josta se kopioidaan muunneltavissa olevaan RAM-muistiin. Esimerkiksi Sun- tietokoneissa jäijestelmää käynnistettäessä kysytään, halutaanko Ethemet- numeroa vaihtaa. Muissakin koneissa se on vaihdettavissa pienellä ohjel­

moinnilla. Mikäli numeroihin voitaisiin luottaa, se olisi melko helppo tapa estää harrastelijoiden väärinkäytökset. Huijaus edellyttäisi muunnettua laitteistoa.

Jotkut tietokoneet huomaavat, mikäli joku esiintyy samalla Ethernet-nume- rolla kuin se itse. Väärinkäytöstä tulostuu ilmoitus tietokoneen konsolille ja lokiin.

Kuinka petetään

Ethernet-paketteja voi kuunnella kytkeytymällä linjaan tavalliseksi ase­

maksi. Paketteja voi muutella katkaisemalla kaapelin ja toimimalla pahan­

tahtoisena välittimenä.

Pakettien muuntelu lienee mahdollista myös törmäyttämällä sopivasti paket­

teja. Valeasema voi lukea viestin ja lähettää verkkoon törmäyksestä kerto­

van signaalin. Muut asemat uskovat törmäykseen ja unohtavat tämän vies­

tin. Ethemet-määrittelyn mukaan alkuperäinen lähettäjä odottaa satunnai­

sen ajan uudelleenlähetystä. Valeasema ehtii siis lähettämään viestin muunneltuna ennen kuin alkuperäinen saapuu perille. Oikea viesti hylä­

tään kaksoiskappaleena, koska sillä on sama järjestysnumero (viestin kah­

dentuminen voi tapahtua täysin normaalissakin tilanteessa). Huijaus vaatii muunnellun laitteiston, eikä siten ole todennäköinen.

Vakoilu-PC:n kytkeminen verkkoon on yksinkertaista. Sopivia ohjelmia saa valmiina liikenteen analysointiin. Ohjelmia on saatavissa myös julki­

sina PD-ohjelmina (public domain) lähdekielineen. Näitä hieman muunte­

lemalla saadaan todella tehokkaita työvälineitä verkon väärinkäyttöön.

Ainoa keino estää Ethemet-verkon väärinkäyttö jo yksinkertaisilla menetel­

millä on käyttää salakirjoitusta viestien suojana. Tietoliikenneprotokolla ei anna suojaa muita asemia vastaan.

Välittimet

Ethemet-verkko voidaan segmentoida kolmen erityyppisen välittimen avul­

la: toistimen, sillan tai reitittimen. Erityisesti organisaatiot tulisi aina erot­

taa mahdollisimman korkeatasoisella välittimellä.

Toistin on pelkkä vahvistin, joka välittää törmäyksetkin. Silta pyrkii vä­

hentämään liikennettä. Se ei välitä pakettia, jos se tietää, että vastaanottaja on samassa segmentissä kuin lähettinä. Reititin on ainoa turvallisuudeltaan varma välitin. Sillä on oma osoite ja sille lähetetään paketti, kun lähettäjä tietää, että vastaanottaja on ko. reitittimen takana. Reitittimen ylitse työase­

ma ei voi esittää olevansa toisessa segmentissä. Se paikallistaa kaikki pake­

tit siihen segmenttiin, josta paketti todella on lähtöisin. Reititin itse asiassa ei ole Ethemet-tasoinen välitin, vaan se toimii esimerkiksi TCP/IP-protokol- lalla.

Siltaa väitetään usein yhtä turvalliseksi kuin reititintä. Se kuitenkin saa­

daan esittämään toisen segmentin asemaa toisen segmentin puolelta. Silta lähettää kaikki välittämänsä paketit esiintyen alkuperäisen lähettäjän Et- hemet-osoitteella. Sillalla on rajallisen kokoinen puskuri, jossa se pitää kir­

jaa, kummalta puolelta kunkin aseman viestit ovat tulleet.

työasema Y palvelu S

Щэ O

segmentti В

silta

mu is- ti segmentti A

Щз ЯВэ

työasema X

Kuva 3.4. Esiintyminen toisena tietokoneena sillan yli.

Jos työasema X haluaa esittää segmentin A puolelta asemaa Y segmentin В puolella, se voi vaihtaa Ethemet-numeroaan niin moneen kertaan, että tieto aseman Y sijainnista häviää sillan muistista. Tämän jälkeen silta voidaan saada uskomaan, että asema Y on segmentin A puolella ja silta alkaa esiin-

tyä segmentissä В asemana Y. Näin esimerkiksi opiskelijan työasema omassa sillalla erotetussa segmentissään voi muuttua tutkijoiden koneeksi toisessa segmentissä. Jos palvelu S luottaa salauksen sijasta segmenttinsä koskemattomuuteen, toisen verkon väärinkäyttäjä voi sillan yli huijata pal­

velulle henkilöllisyytensä. [Karilal989c]

Siltaa ei tulisi käyttää kahden organisaation erottamisessa. Myös saman or­

ganisaation sisällä saavutetaan huomattavasti parempi hallittavuus ja jälji­

tettävyys, jos käytetään reitittimiä. Silloin vastaanottaja voi olla aina var­

ma, mistä segmentistä viesti on tulossa.

Sillan ja reitittimen puolivälissä on ohjelmoitava silta. Isossa organisaatios­

sa sille on kuitenkin mahdotonta kertoa kaikkia koneita, joiden kesken yh­

teydet ovat sallittuja. Ohjelmoitava silta muodostaa ylläpito-ongelman. Yk­

sinkertainen muutaman työaseman segmentti, josta on saatava yhteys muu­

tamaan tietokoneeseen pääsegmentin puolella, on erotettavissa ohjelmoita­

valla sillalla melko turvallisesti.

Ethemet-segmenttejä voidaan yhdistää valokaapeleilla. Tällöin on mahdol­

lista käyttää välittimenä optista tähteä. Tämä vastaa toistinta useammalle optiselle verkon osalle. Optisen tähden käyttö on sekä ylläpidon että turvalli­

suuden kannalta huonoa. Se ei erota organisaatiota turvallisiin osiin.

Turvallisuutta ajatellen vain reititin on riittävä välitin. Ylläpidon kannalta verkko kannattaa jakaa segmentteihin, joiden välistä liikennettä voidaan hallita. Näin jokaisen paketin alkuperäsegmentistä on aina varmuus.

3.1.4 Valtuudenvälitysverkko Token Ring

Token Ring on IBM:n käyttämä lähiverkkoratkaisu. Se on rengasmuotoinen ja käyttää nelikierrekaapelointia (4 Mbit/s). Se on myös standardoitu nimel­

lä IEEE 802.5.

Token Ringissä kiertää token, valtuus tai eräänlainen poletti, jonka haltijal­

la on lähetysoikeus. Jokainen viesti kiertää asemalta toiselle kunnes se on perillä. Viesti jatkaa vielä eteenpäin renkaassa kunnes alkuperäinen lähet­

täjä poistaa sen.

Joskus kuulee väitettävän, että Token Ring olisi turvallisempi verkko kuin esimerkiksi Ethernet. Tähän ei kuitenkaan ole erityisiä perusteita. Verk­

koon liittyminen on vaikeampaa, mutta liittymiseen on saatavissa ohjelmia ja liitäntöjä. Jokainen viesti kiertää jokaisen aseman kautta; Token Ring on määritelty niin, että vasta lähettäjä poistaa viestinsä verkosta. Välittävät asemat joutuvat aktiivisesti käsittelemään viestiä ja lähettämään sen edel­

leen. Jokainen lähettäjän ja vastaanottajan välissä oleva asema voi muuttaa viestin sisältöä.

Tilanne Token Ring- ja Ethernet-verkossa on sama: suojaukset vaativat viestien osittaista tai kokonaista salausta.

3.1.5 TCP/IP

TCP/IP on Yhdysvaltain puolustusministeriön tuella kehitetty tietoliikenne­

protokolla, jota käytetään mm. läntisen maailman yliopistoja yhdistävässä Intemet-verkossa. TCP/IP määritellään RFC (Request for Comments) -stan­

dardeissa. Protokolla on tarkoitettu maailmanlaajuisten WAN-verkkojen käyttöön, mutta se on tällä hetkellä myös tavallisimpia Ethernet-verkoissa käytettyjä protokollia.

TCP/IP jakaantuu kahteen osaan, TCP-tasoon (transmission control protocol) ja IP-tasoon (Internet protocol). IP-taso tarjoaa yksinkertaisen pakettiverkon, jossa paketit löytävät tiensä perille maailmanlaajuisen Intemet-osoitteen pe­

rusteella (esimerkiksi 128.214.5.2). Osoite on yksikäsitteinen koko maail- massa;se sisältää organisaatio-osan ja koneen numeron organisaatiossa.

Paketti lähetetään suoraan vastaanottajalle tai reitittimelle, jonka tiedetään osaavan lähettää paketti eteenpäin.

TCP on IP:n päälle rakennettu yhteydellinen taso. TCP-protokollassa asia­

kas ilmoittaa haluavansa yhteyden tietyn koneen tiettyyn liittimeen, nume­

roituun istukkaan.socíeíiin. Muutamat istukat ovat ennalta tunnettuja, mm.

tiedonsiirtopalvelu FTP (file transmission protocol, istukka 20) ja päätepalve­

lu TELNET (istukka 23).

Istukassa on odottamassa koneen palveluprosessi (UNIX-terminologialla de­

moni, daemon). Tyypillisesti palvelupyyntö käynnistää oman palveluproses­

sin vastaanottajassa - samaan istukkaan voi olla yhtä aikaa kytkeytyneenä useita pyyntöjä. Palveluprosessilla ja asiakkaalla on yhteys, jossa he voivat keskustella.

kone 128.214.5.2

kone 128.214.5.3

socket socket

2456 123

/ \

asiakas palvelu

Kuva 3.5. TCP-yhteyden rakenne.

24

Myös asiakkaan yhteydelle annetaan asiakkaan koneessa yksikäsitteinen istukkanumero. Tällä erotetaan samasta koneesta tulevat palvelupyynnöt.

Yhteydellä on siten aina yksikäsitteinen tunnus, joka perustuu istukkanume- roihin.

UDP (user datagram protocol) on TCP:lle rinnakkainen protokolla. Se on yh­

teydetön epäluotettava pakettiverkko. Oikeastaan UDP-taso on IP-taso, jolla on TCP-protokollan kanssa samanlainen istukkamekanismi. UDP-istu- koilla on TCP-istukoiden kanssa päällekkäiset numerot. Esimerkiksi UDP- istukka 100 ei ole sama kuin TCP-istukka 100.

Taulukko 3.2. Tavallisimmat TCP/IP-verkon istukat (socketit).

palvelu TCP- istukka

UDP- istukka

kuvaus

ftp 20 tiedostojen siirto

telnet 23 pääteyhteys

smtp 25 sähköposti

sunrpc 111 111 etäproseduurikutsu

(RPC)

tftp 69 yksinkertainen FTP

finger 79 kertoo käyttäjistä

nntp 119 sähkökonferenssi

(news) -palvelu

rsh 512 komennon anto

naapurikoneeseen

rlogin 513 kirjoittautuminen

naapurikoneeseen tarvitsematta antaa salasanaa

printer 515 kirjoittimen käyttö

naapurikoneesta

Monet protokollista ovat täysin selväkielisiä ja interaktiivisia. Esimerkiksi ftp-, smtp-, finger- ja nntp-istukkaan voi ottaa interaktiivisen yhteyden TEL- NET-ohjelmalla. Komennot ovat selväkielisiä ja useimmiten jopa HELP-ko- mentoon vastataan.

TCP/IP E theme t-verkossa

Mikäli lähettäjä tietää, että vastaanottaja on samassa Ethernet-verkossa, sen täytyy selvittää vastaanottajan Ethemet-osoite. Tämä tapahtuu ARP-protokol- lalla (address resolution protocol).