Tietojärjestelmän tietoturva

 Etusivu

Tietoliikenneturvallisuus

Tietoliikenneturvallisuus koostuu dataverkossa liikkuvasta tiedosta, joita suojataan eheyksellä, luottamuksellisuudella ja saatavuudella. Tällaiseen suojaamiseen on olemassa lukuisia keinoja ja tapoja. Nykyiset data-ympäristöt ovat riippuvaisia tietoliikenneyhteyksistä. Tietoliikenneturvallisuudella pyritään turvaamaan organisaatioiden tietoliikenteen jatkuvuus ja varmistaa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys. Nykyään käytössä on erilaisia ja erityyppisiä dataverkkoja ja se tuo omat haasteet turvallisuuteen, varsinkin kun mukana on älypuhelimia ja tabletteja. Näiden suojaaminen on yhtä tärkeää kuin tietokoneidenkin. Tietoliikenneturvallisuuteen liittyy tietoliikennelaitteiden fyysinen turvaaminen, sanomien alkuperäisyyden varmistaminen ja lähettäjien sekä vastaanottajien todentaminen. Tietoturvatuotteita ovat esimerkiksi reitittimet, kytkimet ja palomuurit. Näiden avulla voidaan rakentaa eri verkkoja ja rajoittaa niissä liikkuva dataa sekä niiden käyttäjiä. Langattomat tekniikat tuovat omat haasteensa ja tietoturvariskit.

Jotta tietoliikennettä voidaan turvata mahdollisimman hyvin, pitää se toteuttaa erilaisilla suojauskomponenteilla. Tärkeintä tietoliikenteen suojauksessa on kuitenkin fyysinen suojaus, eli estetään ulkopuolisten pääsy tiedonsiirtolaitteiden läheisyyteen. Laitteistoja sijoitetaan lukittuihin tiloihin ja ne suojataan murtohälytysjärjestelmillä. Laitteet ja palvelut voidaan tunnistaa ja niihin kohdistuva liikenne salata eri tekniikoilla. Verkon valvonnassa tulee huomioida verkon rakenne, liitetyt laitteet, varareititys, kuormitus, vikatilanteet, häiriötilanteet ja verkkoon kytkeytymisen estäminen.

Verkkoa voidaan suojata seuraavilla menetelmillä tai laitteilla:

Palomuuri
Palomuuri sisältää järjestelmän, joka ohjaa ja rajoittaa liikennettä usean verkon välillä, varsinkin internetistä lähiverkkoon. Nopea palomuuri, pakettisuodatin vertaa verkkotasolla otsikoita sääntöihin ja sen perusteella joko hyväksyy tai hylkää liikkuvan paketin. Yhteyksistä suodatetaan pois kaikki muu paitsi tarvittava data. Yhteyssuodatin on taas monimutkaisempi ratkaisu ja se estää liikenteen, jos se ei kuulu hyväksyttyyn istuntoon. Sovellusyhdyskäytävät, eli Proxy-palvelimet erikoistuvat määrättyjen sovelluksen tietoliikenteeseen. Proxyn tehtävä on valvoa liikenteen sisältöä, hyökkäyksiä ja käyttäjien tunnistusta. Proxy voi myös luoda yhdyskäytävän sisäisen ja ulkoisen koneen välillä. Palomuuri ei auta, jos verkkoon tunkeudutaan, vaikka lähiverkossa olevan langattoman verkon kautta tai tiloihin päästään fyysisesti sisään.

NAT (Network Address Translation)
NAT-palomuuri muuttaa osoitteet tulevassa IP-paketissa ja sisäverkossa näin ei käytetä samaa IP-osoitetta. Verkon sisällä käytetään yksityisiä IP-osoitteita, jotka taas ei toimi Internetissä. Vastaavasti NAT muuttaa yksityiset osoitteet Internetissä toimivaksi osoitteiksi ulospäin liikkuvassa datassa. IP-osoitteet muutetaan, jotta estettäisiin ulkoista valvontaa. Ulospäin näyttäisi siltä, kuin kaikki pyynnöt tulisivat samalta koneelta, eli palomuurilta. Näin tunkeilijan on vaikeaa kartoittaa sisäverkon laitteita ja avata yhteyksiä. NAT-toiminto voidaan luoda proxyllä ja sillä voidaan pysäyttää kiellettyä sisältöä.

DMZ (Demilitarized Zone)
DMZ on vyöhyke, joka luodaan oman verkon ja Internetverkon väliin. Vyöhykeen tarkoitus on lisätäips
ylimääräinen tietoturvataso lähiverkkoon. Tähän alueeseen voidaan asentaa julkisen verkon käyttäjille palveluita. Tänne voi asentaa esimerkiksi asiakaskäyttöön palvelimen, jonka ei haluta vaikuttavan sisäverkkoon. Näitä palvelimia voi olla www-palvelin, domain eli nimipalvelin, FTP-palvelin ja sähköpostipalvelin. Nämä laitteet sijoitetaan omaan aliverkkoonsa, jotta hyökkäyksen sattuessa muu verkko on suojassa.

IDS (Intrusion Detection System)
IDS on tietoverkkoon asennettava järjestelmä, jonka tarkoitus on tunnistaa ja havaita erilaisia tunkeutumisyrityksiä. Järjestelmä seuraa verkkoliikennettä ja etsii normaalin liikenteen seasta epäilyttäviä hyökkäyksiä ja hyökkäyksiltä vaikuttavaa tietoliikennettä. IDS eroaa IPS systeemistä siten, että sen tehtävä on vain ilmoittaa hyökkäyksiltä, ei suojata. Datavirrasta pyritään tunnistamaan tiettyjä kuvioita, joista oletetaan hyökkäyksen olevan päällä. Järjestelmä voi havaita hyökkäykset joko valmiiden sääntöjen pohjalta tai poikkeuksia havaiten.

IPS (Intrusion Prevention System)
IPS estää tunkeutumisyritykset, kiertoyritykset ja hyökkäykset, jotka tapahtuvat julkisen verkon kautta. IPS,n ero IDS,ään on se, että tämä järjestelmä osa reagoida katkaisemalla hyökkääjän yhteydet.

DLP (Data Loss Prevent)
DLP-ohjelmat estävät tahattomat tietovuodot omasta verkosta poispäin. DLP tarkkailee, suodattaa ja kontrolloi liikkuvaa dataa ja suojelee tietovarastoja. DLP on paketti erilaisia tietoturvatyökaluja, joiden tarkoitus on estää tietovuodot ulkomaailmaan. Ohjelma voi vaikka estää luottamukselliseksi merkattujen tiedostojen lähettämisen ulkopuoliseen verkkoon. DLP-ohjelmistoja käytetään silloin kun halutaan lisätä tietoturvatasoa entisestään.

Langattoman tietoliikenteen tietoturva
Tiedon siirrosta puhuttaessa langaton tiedonsiirto on turvattomampaa kuin kiinteät tiedonsiirrot. Langatonta voidaan helpommin salakuunnella. Avoin verkko on kuin radioaaltojen kuuntelu. Kuka tahansa voi kuunnella sitä, jos on oikeat "taajuudet" ja tähän tarkoitukseen tehdyt laitteistot ja ohjelmat. Muut käyttäjät voivat saada selville esimerkiksi salasanoja tai käyttäjätunnuksia. Verkkorikollinen lukee dataliikennettä ja saa sen kirjoitettua omalle koneelleen. Puhelimien kautta käytetty mobiilidata on turvallisempaa kuin wifi-verkko. Turvallisuutta voidaan parantaa VPN-palveluilla, suojatuilla verkoilla ja käyttämällä tervettä järkeä. Käyttämällä https-alkuisia nettisivuja, tieto salataan palvelimen ja selaimen välillä.

WLAN suojauskeinot:

VPN (Virtual Private Network)
VPN eli virtuaalinen erillisverkko on tekniikka, jolla tunnistetaan ja suojataan siirtyvää dataa lähettämispisteestä vastaanottajalle. Näin muodostetaan näennäisesti yksityinen verkko. Tällä voidaan liittää eri koneet tai verkot turvallisesti toisiinsa julkisen verkon kautta. Tämä varmistaa, ettei siirrettävä tieto muutu, kopioida tahattomasti tai häviä matkalla kohteeseensa. Lähtevä data varustetaan reitin tiedot sisältävällä tunnisteilla sekä purkuavaimen ja se lähetetään salattuna. VPN luo ikään kuin tunnelin verkon läpi, jottei tietoa pääse lukemaan välillä. VPN voidaan toteuttaa joko fyysisesti suljetulla verkolla tai julkisesti avoimessa verkossa salaamalla. Salattu yhteys on aina fyysistä verkkoa halvempi muodostaa.

TLS (Transport Layer Security, aiemmin SSL)
TLS on salausprotokolla, jolla voidaan suojata tietoliikenne IP-verkoissa. Tavallisin muoto on suojata www-sivujen siirtoa HTTPS-protokollaa hyödyntäen. Samaista salausta voidaan käyttää myös muihin TCP-yhteyksiin (Transmission Control Protocol), kuten sähköposti tai IRC-yhteyksiin. Protokolla perustuu salauksiin, jolla sivut osoittavat olevansa turvallisia. Varmenteen saa CA (Certificate Authority) yritykseltä, jotka varmistavat ja takaavat varmenteen hakijan identiteetin. Selaimen valmistajat taas listaavat varmenteiden myöntäjiä.
 

Video

 
 

Aiheeseen liittyvät linkit

Tietoturva
 - Palomuuri video
 - NAT video
 - DMZ video
 - IDS video
 - IPS video
 - VPN video
 - TLS video



 

 

Kysy neuvoa tai anna vinkki

 

Tiedotteet ja aikataulut

Tervetuloa kurssille
Thn tulee ilmoituksia kurssista

 

Tehtävät ja palautus

Tehtäviä

1. Kuvaa piirtämällä ja tekstiruuduilla miten toimii
a) palomuuri b) NAT c) DMZ d) IDS e) IPS f) VPN g) TLS

2. Asenna testikoneelle ilmainen palomuuri. Onko siinä käytössä NAT, IDS tai IPS-toimintoja? Dokumentoi asennus ja testaus kuvilla ja lyhyellä kertomuksella.

3. Laadi lista asioista, jotka on hyvä muistaa kun luot itsellesi langattoman verkon tai kun liityt johonkin tuntemattomaan WLAN-verkkoon.

4. Katso video Wifi Password Security ja kerro mitä eroa on WEP, WPA, WPA2 ja WPS koodauksilla.

Palauta vastaukset laatimalla OneDriveen kansio kurssin nimellä ja jakamalla se kurssin lopuksi opettajalle.