TKK | Tietoverkkolaboratorio | Opetus

Tietoturva Internetissä

Internet, TCP/IP ja tietoturva

Käyttäjän tietoturva

Verkon tietoturva Kommetteja ja linkkejä

Sivut tehnyt Pekka Savola
11.11.1999 22:03

Valid HTML 3.2!

[Edellinen sivu] [Seuraava sivu]

Käyttäjän tietoturva

Salatuista yhteyksistä

Salatuissa yhteyksissä ei ole kysymys liikenteen "piilottamisesta" vaan pikemminkin salakirjoituksesta eli kryptauksesta. Jos salakirjoitettua liikennettä salakuunnellaan, vastaanottaja ja lähettäjä kyllä selviävät mutta mistään muusta ei saa mitään selvää. Vakiintunutta termiä "salattu yhteys" käytetään tässä tarkoittamaan salakirjoitettua yhteyttä.

On aina pyrittävä siihen, että mitään salasanoja, tunnuksia, ym. tietoturvamielessä arvokasta tietoa ei lähetetä verkossa selväkielisenä. Vältä esimerkiksi näitä:

  • Kaikki Telnet-yhteydet (salaamattomat etäpääteydet toisiin koneisiin)
  • Sähköpostien lukeminen sähköpostiohjelmilla, joissa ei ole salaustoimintoa
  • Tunnukselliset FTP-tiedonsiirrot (usein esimerkiksi WWW-sivujen päivitys)
  • VISA, ym. maksut salaamattomilla WWW-sivuilla

SSH

Pääteyhteyksiin on syytä käyttää SSH-ohjelmaa. Se salaa kaiken pääteyhteyden tietoliikenteen. SSH:sta on saatavilla "kokeile-ennenkuin-ostat"-versioita Windowseille ja Maceille (F-Secure SSH), sekä myös täysin ilmaisia sovelluksia niin Windowseille kuin muillekin käyttöjärjestelmille. SSH:sta onkin tullut jo De Facto-standardi maailmalla, eikä ole oikeastaan mitään syytä miksi sitä ei käyttäisi Telnetin asemasta. Käyttöönottossa alkuun auttaa esimerkiksi Teknillisen Korkeakoulun ATK-Keskuksen SSH-pikaohje.

Sähköposti

Sähköpostien lukemista sähköpostiohjelmilla (esimerkiksi Eudora, Microsoft Outlook, Netscape Communicator) pitäisi välttää jos ei käytä salausta (SSL) yhteyden suojaamiseen. Outlook ja Communicator tukevat tätä ominaisuutta, mutta se pitää erikseen laittaa päälle.

Port forwarding: sähköpostiohjelma kommunikoi vain SSH:n asettaman proxyn ("välikäden") - ei suoraan palvelimen - kanssa (Data Fellows)
Toinen - edellistä hankalampi mutta yleisemmin toimiva - tapa on käyttää SSH-yhteyttä postien lukemiseen ja lähettämiseen (ns. port forwarding). Tällöin sähköpostiohjelma kommunikoi palvelimen kanssa vain salatun SSH-yhteyden läpi. Esimerkki Eudora-sähköpostiohjelman turvallisesta käytöstä TKK:n ATK-keskuksen koneilla. Sähköpostiohjelmien virittelyssä ATK-keskuksen sähköposti-opas tai Tampereelta löytyvä vastaava ohje voi olla avuksi.

Huomattavaa sähköpostista

WWW:hen perustuvien sähköpostijärjestelmien (esim. Hotmail) tietoturvataso ei ole yhtään sen parempi kuin sähköpostiohjelmienkaan - itse asiassa huonompi. Kaikki liikenne liikkuu selväkielisenä, eikä yhteyttä voi "virittää" toimimaan salatusti kuten yllä.

Erittäin olennainen asia on, että sähköposti ei kulje salattuna kuin omalle palvelimelle asti - tietoturvamielessä tärkein asia oli salasanan ja tunnuksen salaus. Palvelimelta se lähtee selväkielisenä kiertämään Internetissä. Tämän vuoksi sähköpostitse ei saa koskaan lähettää salasanoja, pankkikortin numeroita tai mitään mikä ei saa joutua vääriin käsiin. Ainoa järkevä tapa lähettää luottamuksellisia sähköposteja Internetissä käyttää ohjelmaa, joka salaa itse viestin, ei tietoliikennettä.

Esimerkki tälläisestä on PGP (Pretty Good Privacy) - ohjelma, josta on saatavissa ilmaisia ja kaupallisia versioita. PGP on ehdottomasti eniten käytetty tapa salata sähköposteja, mutta kaikesta huolimatta varsin harva Internet-käyttäjä käyttää sitä. Syynä tähän ovat lähinnä salausavainten hallinnointiin liittyvät ongelmat. Yksityiskohtainen toimintaperiaate löytyy The International PGP -sivuilta.

FTP

Tunnuksellisissa FTP-tiedonsiirroissa on sama ongelma kuin sähköpostien lukemisessa - tärkeä salasana kulkee selväkielisenä verkossa. Ongelma ratkeaa myös samalla tavalla: käyttämällä SSH:n Port forwarding -ominaisuutta. Tällöin vain tunnus ja salasana kulkee salattuna, varsinainen siirrettävä data on selväkielistä. Tarkempi ohje asennuksesta löytyy esimerkiksi Brookhavenin tutkimuslaboratoriosta; Data Fellowsillakin on aiheesta (F-Secure SSH ja FTP) lyhyt ohje. SSH2:ssa (joka ei ole yleistynyt erilaisten lisenssiehtojen takia) salattu FTP -ominaisuus on sisäänrakennettuna.

Huomaa, että yleensä suuri osa FTP-tiedonsiirroista on tunnuksettomia ns. Anonymous-yhteyksiä, jolloin salasanoja ja tunnuksia ei tarvitse suojata.

WWW

WWW-sivuilla esimerkiksi luottokorttitietoja annettaessa on syytä olla valppaana. Kannattaa aina varmistaa, että palvelin salaa tiedot; salaaminen tapahtuu SSL:llä. Tällöin sivun osoite on yleensä muotoa https://<osoite> ja selain ilmoittaa asiasta jotenkin, esimerkiksi suljetun lukon kuvalla alapalkissa. Vaara rahan menetyksestä saa ihmiset aina varoivaiseksi, ja tämä asia onkin melkein aina hoidettu asianmukaisesti.

[Edellinen sivu] [Seuraava sivu]

Tietoverkkolaboratorio on nyt osa Tietoliikenne- ja tietoverkkotekniikan laitosta. Tällä sivulla oleva tieto voi olla vanhentunutta.

Kurssien ajantasainen tieto on MyCourses-palvelussa.

Tämä sivu on tehty oppilaiden harjoitustyönä. Tietoverkkolaboratorio ei vastaa sivun oikeellisuudesta, ajantasaisuudesta tai ylläpidosta. Vakavissa tapauksissa yhteyshenkilöinä toimivat ja Webmaster.
Sivua on viimeksi päivitetty 11.11.1999 22:03.
URI: http://www.netlab.tkk.fi/opetus/s38118/s99/htyo/64/salyht.shtml
[ TKK > Sähkö- ja tietoliikennetekniikan osasto > Tietoverkkolaboratorio > Opetus ]