Internet, TCP/IP ja tietoturva
Verkon tietoturva Kommetteja ja linkkejä
Sivut tehnyt
Pekka Savola
11.11.1999 22:03
![[Edellinen sivu]](larrw.gif)
![[Seuraava sivu]](rarrw.gif)
Verkon tietoturva
Ensimmäisessä kappaleessa annettiin hieman kärjistetty kuva tietoverkkojen salakuunneltavuudesta. Salakuuntelu (sniffing) on mahdollista, jos joku
- pääsee murtautumaan koneeseen jonka kautta salakuunneltava liikenne kulkee,
- pääsee liittämään omia koneitaan kaapeleihin joissa salakuunneltava liikenne kulkee tai
- pääsee tekemään jompaa kumpaa missä tahansa saman tietoverkon osassa jos tiedonsiirtomedia on jaettu
Kytkentäisessä verkossa verkkoliikennettä välittävät tietoliikennelaitteet osaavat päätellä, mihin koneeseen kukin on yhteydessä. Verkkoliikenne on vain lähettäjän ja vastaanottajan välistä. Salakuuntelu on erikoiskeinoin vielä mahdollista, mutta huomattavasti vaikeampaa. Ethernetistä saadaan kytkentäinen käyttämällä toistimien (repeater eli hub) sijasta kytkimiä (switch). Kytkentäiset verkot ovat yleistymässä.
Toinen salakuunneltavuuteen vaikuttava seikka on Internetin rakenne. Tietoliikenne lähtee omasta verkosta, liikkuu jopa useiden kymmenien eri verkkojen välillä ennen kuin saapuu vastaanottajan verkkoon. Periaatteessa kaikkialla liikenne on salakuunneltavissa, mutta käytännössä Internetiin päästyään vain tietoverkkojen ylläpitäjien ulottuvissa - jollei kyseisten verkkojen tietoliikennelaitteisiin murtauduta. Salakuuntelulta suojautumisessa kannattaakin kiinnittää huomiota lähinnä oman ja vastapään verkon turvallisuuteen.
Fyysinen tietoturva (ns. kuorisuoja) on kaiken perusta. Kulunvalvonnan on katettava kaikki tilat joihin on mahdollista kytkeä tietoliikennelaite. Liian usein kukaan ei noteeraa sähkö- tai puhelinasentajan haalareissa käytävillä tai tietoliikennelaitetiloissa liikuskelevaa henkilöä. Laitetilojen ja kaapeleiden sijoittelu ja lukittavuus on siten hoidettava kunnolla; hienoillakaan tietoturvaratkaisuilla ei voida välttyä vahingoilta jos avokonttorin kulmaan saattaa ilmestyä verkkoliikennettä salakuunteleva kannettava tietokone. Tietokoneissa ja tietoliikennelaitteissa on aina käynnissä ohjelmia. Niitä, jotka vastaavat TCP/IP-yhteydenottopyyntöihin sanotaan TCP/IP-palveluiksi. Melkein kaikissa käyttöjärjestelmissä on oletuksena päällä paljon myös sellaisia palveluita, joita ei yleensä tarvita. Osa näistä palveluista on tietoturvamielessä huonosti suunniteltuja tai ohjelmoituja ja osaava henkilö voi niiden kautta murtautua järjestelmään.
Tietomurtoja voidaan ennaltaehkäistä poistamalla turhat ja vaaralliset palvelut kaikista koneista ja päivittämällä käytettyjä ohjelmistoja riittävän usein. Suuressa organisaatiossa tälläinen jatkuva ylläpito on kuitenkin todella työlästä ja altista inhimillisille virheille (päivitysten unohtaminen, ajanpuute, ym.). Yhden koneen huono tilanne vaarantaa koko muun verkon jos joku pääsee murtautumaan tähän koneeseen.
Tälläisiä tilanteita välttämään on kehitelly palomuuri-ohjelmistot (Firewalls), jotka sallivat vain tietoturvapolitiikan mukaista verkkoliikennettä sisään ja ulos omasta verkosta. Tästä lisää seuraavassa kappaleessa.
