Harjoitustehtäväkierros 3: Tietoturva ja verkkokerros
T-110.2100 kurssihenkilökunta deadline Torstai 7.4.2011 18:00
Johdanto
Ensimmäinen tehtävä on "klassikko"ja se tehdään kurssilla joka vuosi. IP- aliverkkorakenteen rajoitteiden hahmottaminen on valaisevaa ja auttaa ym- märtämään IP-pakettien reititystä.
Toisessa tehtävässä jatkokehitetään 2. tehtäväkierroksella toteutettua wget- kloonia lisäämällä tähän tuki HTTPS-protokollalle. Tehtävässä pääsee pohti- maan myös luottamuksen merkitystä nykyisessä tietoyhteiskunnassa.
Kolmas tehtävä on ajankohtainen, sillä kyseinen laki astui voimaan 15.3.2011.
Neljännessä tehtävässä pääset pohtimaan palomuurien toimivuutta ulospäin lähtevien yhteyksien valvonnassa. Samalla pääset harjoittelemaan suorittamiesi kongurointiaskelien raportointia ymmärrettävästi. Tehtävässä kuvatun kaltainen tunnelointi on hyvä osata tehdä jos haluaa käyttää esimerkiksi koulun verkos- sa olevia ulospäin suljettuja palveluita tai jos haluaa päästä käsiksi tieteellisi- in julkaisuihin kotoa. Useimpien lehtien artikkeleihin pääsee käsiksi suoraan jos ottaa yhteyttä Aallon IP-osoiteavaruudesta.
Tehtävä palautetaan Rubyric-järjestelmään kurssin Noppa-sivuilta löy- tyvien ohjeiden mukaisesti. Kiinnitä huomiota palautuksen formatointiohjeisi- in. Väärästä tiedostoformaatista tai merkistöstä sakotetaan pisteitä!
1 IP-aliverkotus (7p)
Olet kesäteekkarina labrassa. Olet saanut tehtäväksesi jakaa labrasi verkon uudelleen aliverkkoihin Aalto-yliopiston työasemapolitiikan
(https://inside.aalto.fi/download/attachments/3868256/AALTO+YLIOPISTON+
TYOASEMAPOLITIIKKA.pdf?version=1&modificationDate=1270539478000) mukaisesti. Jokainen koneryhmä tulee laittaa omaan aliverkkoonsa.
Labrassa on koneita seuraavasti:
1
• 8 ylläpitotyöasemaa
• 20 hallintotyöasemaa
• 39 akateemista työasemaa
• 45 kannettavaa työasemaa
• 32 palvelinta ja virtuaalikonetta
Olet saanut käyttöösi IP-aliverkon 130.233.194.0/24. Huomaa, että verkot on lueteltu suoraan labrainssin muistista, eli niiden järjestystä saattaa joutua rukkaamaan. Et myöskään voi tehdä vapaavalintaisen kokoista (esim. 15 os- oitteen) verkkoa, vaan joudut pyöristämään.
A Miten jaat verkon? Anna vastauksesi joko CIDR-notaatiossa tai Address- Netmask -notaatiossa. Kerro myös miten päädyit vastaukseen1. (5p) B /24-aliverkossa on laskennallisesti 256 IP-osoitetta. Ylläolevassa esimerkissä
on 144 konetta, joten verkossa pitäisi olla 112 vapaata IP:tä. Mikä on suurin aliverkko, joka jää jaossasi vapaaksi vai jääkö vapaita aliverkkoja ollenkaan? Miksi tilaa jää vähemmän vapaaksi? (2p)
2 HTTPS (7p)
Olet saanut tietää, että ilkeät reptiliaanit2 ovat kiinnostuneet toimistasi ja haluavat täten myös tarkkailla toimiasi Internetissä. Arvostat kuitenkin yksi- tyisyyttäsi ja nohevana tekniikan alan opiskelijana ryhdyt tutkimaan tapoja salata puuhasi.
A Toteat haluavasi hakea www-resursseja HTTPS-protokollaa käyttäen aina kun tämä on mahdollista. Epäilet kuitenkin reptiliaanien vaikutta- neen tunnetuimpien selainten kehitykseen, joten et luota niiden HTTPS- toteutuksiin.
Lisää tehtäväkierroksella 2 tekemääsi wget-klooniin tuki HTTPS-protokollalle.
Ohjelman tulee annetun osoitteen perusteella päätellä haetaanko halut- tu resurssi HTTP- vai HTTPS-protokollaa käyttäen - ohjelman ajami- nen komennolla wget https://server.com/folder/le merkitsisi siis tiedos- ton hakemista HTTPS:n yli.
1pelkästä verkkojaosta saa max 2p
2Kts. http://en.wikipedia.org/wiki/Reptilians.
2
Muiden vaatimusten lisäksi ohjelman tulee tulostaa käyttäjälle aina ti- eto siitä lähetettiinkö HTTP-resurssipyyntö selkokielisenä vai SSL:n/TLS:n yli (ilmoita jälkimmäisessä tapauksessa myös käytetty salausmenetelmä eli cipher). (5p)
B Epäilet reptiliaanieilla olevan kätyreitä tärkeimpien kaupallisten var- mentajien (VeriSign, Thawte, . . . ) palkkalistoilla. Pitäisikö tämän hor- juttaa luottamustasi nettiaktiivisuutesi salassa pysymiseen? Vastaa pe- rustellen.3 (2p)
3 WLAN (3p)
Lue rikoslain428. luvun 7 pykälän 3. momentti. Miksi tätä lisäystä on yleisesti pidetty positiivisena? Muista viitata lähteisiin jos käytät sellaisia.
4 Palomuurin kiertäminen (3p)
Lafkakesätöiden jälkeen päädyit osa-aikaiseksi todella ikävälle työnantajalle.
Työpaikkasi sisäverkossa kaikki portin 80 liikenne ohjataan sisältöä suodatta- van proxyn kautta. Työtävieroksuvana laiskimuksena haluat kuitenkin putkit- taa selailuliikenteesi SSH:n yli. Kuvaile miten saat joko OpenSSH:n tai Put- tyn konguroitua siten, että se toimii haluamassasi portissa SOCKS-proxyna selaimellesi. Kerro lisäksi miten konguroit selaimen käyttämään tätä prox- ya5 ja kuinka varmistut putkituksen toimivuudesta.
Yksi teknisessä ja akateemisessa raportoinnissa huomioitava aspekti on toistettavuus. Lukijan on tarvittaessa pystyttävä toistamaan käyttämäsi toimen- piteet lopputuloksen verioimiseksi. Kiinnitä tässä huomiota siihen, että doku- mentoit käyttämäsi alustan ja tekemäsi toimenpiteet sellaisella tasolla että assari pystyy tarvittaessa kokeilemaan samaa itse. Varo myös raportoimasta tarpeettoman tarkasti. Oikealla tarkkuudella dokumentointi voi olla yllät- tävän vaikeaa.
Materiaalia
• https://noppa.tkk./noppa/kurssi/t-210.1100/etusivuKurssin kotisivut
3Katso esim. Certied Lies: Detecting and Defeating Government Interception Attacks Against SSL http://files.cloudprivacy.net/ssl-mitm.pdf
4http://www.finlex.fi/fi/laki/ajantasa/1889/18890039001
5suosittelemme Firefoxia mielummin kuin Chromea tai IE:tä
3
• http://www.cse.tkk./Tietoliikenne/Opinnot/Ohjeet/ T-110 -kurssien yleisiä ohjeita
• http://opetuki2.tkk./p/top/ Teekkarin ohjauspakki
• Internetin hakupalvelut (jos et löydä, googlaa)
4
