Työaseman ja palvelimen välisen TCP-liikenteen
salaaminen SSH/SSL-suojauksin
Internetin perustietoliikenneprotokollat turvattomia
nykytarpeisiin
Suojaus ssh:n avulla (lähinnä
päätekäytössä ja tiedostojen siirrossa)
Suojaus ssl:n avulla (postinlukemisessa, www-sivujen
tai tiedostojen latauksessa)
Internet-yhteydet turvattomia ellei liikennettä
salakirjoiteta
Internetin protokollat (niin verkkotason tcp ja udp kuin sovellustason
telnet, ftp jne) on tehty alunperin pieneen luotettavaan verkkoympäristöön,
jossa oleellista oli käyttäjiin luottaminen, samalla kun
protokollien keveys ja palveluiden ohjelmoinnin helppous oli tärkeää.
Internetin käytön tultua yleiseksi ja lisäännyttyä
räjähdysmäisesti erilaiset väärinkäytöt,
järjestelmiin tunkeutumiset ja vahingonteot ovat yhä yleisempiä
ja entistä vakavampia. Järjestelmiin koetetaan tunkeutua
erilaisin tavoin, myös liikennettä seuraamalla, jolloin
tunkeutuja yrittää löytää käyttäjien
selväkielisiä salasanoja tai vaikkapa pankkiavaimia.
Tietoverkoissa tapahtuvan toiminnan tärkeimpiä suojauskeinoja
on liikenteen suojaaminen murtamattomalla salakirjoituksella, mieluiten
päästä päähän eli koko matkalla työasemalta
palvelimelle ja takaisin. Liikenteen salakuuntelu tehdään
turhaksi kahdella tavalla, joko
- sovellusten välillä, jolloin asiakas- ja palvelin-ohjelman
välinen liikenne kuljetetaan liikenteen salakirjoittavan
ssh- tai ssl-tunnelin läpi tai
- verkkotasolla, jolloin työaseman ja palvelimen
tai kahden lähiverkon välinen kaikki liikenne
salakirjoitetaan IPSec-protokollan tavalla (ns. Virtual Private
Network, VPN).
Tietoliikenteen suojaaminen sovellustasolla on nykyisin yleisimmin
käytössä oleva tapa, mutta VPN-yhteyksien käyttö
voimakkaasti lisääntymässä.
Suojaus ssh:n avulla (lähinnä päätekäyttö ja
tiedostojen siirto)
Ssh (Secure SHell) on protokolla, jonka avulla työaseman
ja palvelimen välinen pääteyhteys salakirjoitetaan
eli telnet-toiminto korvataan salatulla yhteydellä. Ssh:n
avulla voidaan suojata muitakin tcp-palveluita ohjaamalla ne työaseman
ja palvelimen väliseen ssh-tunneliin siirrettäväksi.
Tällä forward-toiminnolla voidaan salakirjoittaa
mm. ftp, X-liikenne, pop, imap tai mikä muu tahansa tcp-palvelu.
SSH-ohjelmistoja on saatavissa usealta toimittajalta. Maksutonta SSH-ohjelmistoa tarjoaa mm.
OpenSSH.
HUOM!
Ssh versio 1 -työasemaohjelmat ja niitä tukevat palvelinohjelmat
on poistettava käytöstä kaikissa
yliopiston verkon koneissa niiden tuen loppumisen ja tietoturvaongelmien
vuoksi. Ssh-palvelimen tulee vastata vain version 2 protokollalla.
Ssh Unix-palvelimen ja työaseman välisessä
pääteliikenteessä
Yliopiston verkossa tulee kaikki salasanoja tarvitseva liikenne
suojata salakirjoituksella. Siksi jokaisessa yliopiston verkossa
olevassa Unix-palvelin-koneessa on oltava SSH-ohjelmisto. Unix-koneissa
tulee estää turvattomien tietoliikenneprotokollien käyttö,
eli palvelimet asennettu niin etteivät ota vastaan suojaamatonta
salasanaliikennettä (poistettu mm. telnet, pop, imap).
Kaikki yliopiston palvelimiin suuntautuva salasanaliikenne suojataan
salakirjoituksella. Jos työasemalta otetaan pääteyhteyksiä
Unix-palvelimeen, työasemassa on käytettävä siihen
SSH-ohjelmistoa.
Ssh saatavilla myös Windows-palvelimiin
Windows-palvelimen ja sen työaseman välillä tapahtuva
istunnon avausliikenne salakirjoitetaan Microsoftin omalla. Ehkä
osin tämän vuoksi SSH:n toteutuksia ei kiirehditty toteuttamaan
Windows-verkkoihin. Nykyisin Windows-palvelimen SSH-ohjelmiston
toimittajia ovat mm. SSH Security Comminucations ja OpenSSH.
Mistä Ssh:n saa?
Yliopiston henkilökunta ja opiskelijat voivat ladata Windows-
ja Macintosh-työasemilleen (myös kotona) SSH-ohjelmiston
maksutta tietohallinnon ohjelmistojakelusta. Suositeltava on käyttää
SSH V2-ohjelmistoja.
Yliopiston ja yliopistolaisten Unix-koneisiin (ei-kaupalliseen
käyttöön) SSH-ohjelmiston saa Funetin
ftp-jakelusta.
Ssh:n käyttö palomuurin läpi
Työasemien yhteydet yliopiston verkon ulkopuolelta yliopiston
verkossa olevaan palvelimeen tai päinvastoin toimivat SSH V2:lla
kaikin osin, myös tiedostojen siirrossa.
Unix-koneiden välinen SSH- ja SCP-liikenne toimii myös
palomuurin läpi. Unix-koneiden välillä käytetään tiedostonsiirtoon
aina SCP-ohjelmaa.
Ssh:n ja scp:n käyttöohjeita
SSH V2 Windows-työasemaohjelmiston
ohje
SSH Comminucations Security -sivut http://www.ssh.com/
OpenSSH-sivut
Helsingin
yliopiston tietoturvasivujen 'Käytäntöä'-ohjeissa:
Miksi suojata ja miten?
Ssh:n käyttö Linux-ja muilla
Unix-koneilla
Suojaus
ssl:n avulla (postinlukemisessa,
www-sivujen tai tiedostojen latauksessa)
Sähköpostin lukeminen suojatusti:
Ssl-suojauksen
asentaminen sähköpostiohjelmiin
Postin
lukeminen www:n kautta (webmail)
Ssl-suojattujen www-sivujen selaus:
Selaimissa on valmiina joukko kaupallisten varmentajien myöntämiä
varmenteita, SSL-sertifikaatteja, joiden avulla palvelun selaaja
voi varmistua että palvelin on se miksi itseään väittää.
Selaimesta tarvitsee vain varmistaa, että SSL-liikenteen tuki
on selaimessa valittuna käyttöön.
Oulun yliopiston omilla palvelimilla voidaan lähinnä
sisäiseen käyttöön tarkoitettujen sivujen ja
niiltä ladattavien tiedostojen siirto salata ja varmistaa myös
itse tehdyillä varmenteilla. Tietohallinto
ohjeistaa omien palvelintensa ssl-sertifikaatin lataamisen käyttäjän
selaimeen.
5.1.2002 / KR
14.12.2005 / MR
|
