|
Tietoturva
Yleistä tietoturvasta
Johdanto
Tietojenkäsittelyn uskottavuudesta yleisesti
Turvallisuus
Tietoturvallisuuden käsite ja prosessi
Peruskäsitteiden määrittely
Peruskäsitteistä tietoturvan rakennusprosessiin
Millaisia tietoturvamekanismeja on olemassa
Tietoverkon olemus tietoturvan kannalta
Mistä verkoissa on kyse
Uhkakuvia
Turvamekanismeja verkossa
Yleistä kryptoprotokollista
Riskianalyysi
Turvapolitiikka
Tietoturvasuunnitelman laatiminen
Organisointi
Autentikointi
Salasanat
Kryptaus
Miksi tieto pitäisi salakirjoittaa?
Konventionaaliset menetelmät
"Julkisen avaimen" salaus
Tietoturvaluokitukset
Orange Bookin tietoturvaluokat
D - Minimal Protection
C - Discretionary Protection
B - Mandatory Protection
A - Verified Protection
Crakkerin motiivit
Kavereille rehvastelu
Taloudellinen hyöty
Hactivismi
Katkeruus esim. entistä (tai nykyistä) työnantajaa kohtaan
Teollisuus tai muu vakoilu
Palomuurin käyttäminen
Tunkeutuminen
Palvelun estäminen (Denial of Service)
Tietovarkaus
Virukset ja muut "pahat" ohjelmat (malware)
Virusten torjunta
Roskapostien torjunta
Tilastoiva suodatus
Todennäköistä roskapostia
Ohjelmaa opettamaan
Suodatin vaikea kiertää
Aluksi tarjolla ilmaisratkaisuja
Bayesin todennäköisyyslaskenta muistuttaa ihmisen ajattelua
Lisätiedot
Porttiskannaus
Turvataulukko yksityiskäyttäjän kannalta
Salausmenetelmät
Yksinkertaiset salaukset
Koodit
Caesarin salaus
ROT-13 -menetelmä
Korvausmenetelmä
Avaimen selvittäminen
Brute force ja loton täysosuma
Kertoma
Varma keino päävoittoon
Brute force ja Caesarin salaus
Frekvenssianalyysi
Vigenèren salaus
Vigenèren salauksen murtaminen
Yhteensattumaindeksi
XOR-salaus
Salasana suojaamaan salasanaa?
Murtamaton salaus: kertakäyttölehtiö
Symmetrinen salaus
Sotke ja hajauta
Lohko- ja jonosalaimet
Hyvän salaimen ominaisuudet
Vanhassa vara parempi
Kerkhoffsin periaate
Avaimen pituus ja brute force
40-bittisen salauksen murtaminen
Vahva salaus
Salauksen murto joukkovoimalla
DES
DESin toiminta
DESin hyvät ja huonot puolet
Kuinka turvallinen DES on?
Parannetut DES-versiot
DESin seuraajaa etsimässä
AES
Muut ehdokkaat
Muita salaimia
Lohkosalainten käyttömoodit
ECB
CBC
OFB
CFB
Merkki vai lohko kerrallaan?
Jonosalaimet
Linkit
Avainten vaihto ja eheys
Leikkaa-ja-liimaa -hyökkäys
Miksi avainta pitää vaihtaa?
Toisto voi myös lisätä turvallisuutta
Avaimen sieppaaminen
Turvallisen kanavan dilemma
Huonoja ja vähemmän huonoja tapoja
Modulaariaritmetiikka
Julkista salaisuutta etsimässä
Diffie-Hellman -protokolla
Mies keskellä -hyökkäys
Mies Internetissä
Miksi niin eksoottisia hyökkäyksiä?
Tiivisteet
Törmäykset
Yleisiä tiivistefunktioita
Tiivisteiden käyttömuotoja
MAC-koodit
Salasanojen hallinnointi
Linkit
Epäsymmetrinen salaus
Yksisuuntaiset funktiot ja salaluukku
Kaksi salaisuutta
Avainten vaihto
Julkisen avaimen tekniikan rajoitukset
Avaimen paljastuminen
Menetelmien yhdistäminen
RSA:n synty
Alkuluvut
Lukuteoria
RSA:n toiminta
RSA- menetelmä pähkinänkuoressa
Kuinka turvallinen RSA on?
Mikä on riittävä pituus?
Muita julkisen avaimen järjestelmiä
Rabinin kryptosysteemi
Elliptiset käyrät
Digitaalinen allekirjoitus
Digitaalinen kirjekuori
Aitous ja eheys
Kiistämättömyys
Avaimen allekirjoittaminen
DSA
Linkit
Varmenteet ja PKI
Mikä varmenne on?
Yksityisen avaimen säilytys
Erilaisia varmenteita
X.509-standardi
Varmenteista PKI-järjestelmään
PKI-peruspalvelut
Hierarkkiset varmenteet
Kuka varmentaa varmentajan?
Ristivarmenne
Varmenteet liiketoimintana
Laki sähköisistä allekirjoituksista
Laatuvarmenteet ja allekirjoitus
Sähköinen asiointi
Toimikortit
Prosessori
Muistit
Tiedostojärjestelmä
Käyttöjärjestelmä
Toimikortin käyttö
Kuinka turvallisia kortit ovat?
Varmenne matkapuhelimessa
Varmenteet ja Windows
Varmenneluokat
Varmenteen tietojen katsominen
Varmenteen siirto koneesta toiseen
Varmenteen poistaminen
Sulkulistan tarkastelu
Juurivarmenteen turvallinen jakelu
Linkit
Salaustekniikoiden sovelluksia
GSM
GSM-turvaelementit
Puhelimen ja liittymän todentaminen
GSM-salauksen turvallisuus
Heikkoutena autentikointi
GSM-turvallisuuden parantaminen
Pre-paid liittymät
VoIP-tekniikka
VIRVE-verkko
WLAN
Pritty Good Privacy (PGP)
Salaus
Allekirjoitus
Salauksen purku
Allekirjoituksen tarkistus
Avainparin generointi
Julkiset avaimet
PGP ja sähköposti
Mistä sitä saa?
Salausten murtaminen
Hyökkäysmenetelmät
Vain salateksti
Salateksti ja arkeologia
Tunnettu selväteksti
Enigman murtaminen
Valittu selväteksti
Valittu salateksti
Muita tekniikoita
Differentiaalinen kryptoanalyysi
Lineaarinen kryptoanalyysi
Ajanottohyökkäys
Sivukanavahyökkäys
Liikenneanalyysi
Toistohyökkäys
Hyökkäyksen torjuntakeinoja
10 keinoa suojata yritystäsi DoS-hyökkäyksiltä
Tunkeutumisen havaitseminen
Tapahtumat lokitiedostoihin
Rakenteen eheys ja kestävyys
Yksi käytännön ohjeisto hyökkäysten havaitsemiseen
Syntymäpäiväparadoksi
Kalojen laskeminen
Yhteys salaukseen
Satunnaisluvut
Satunnaisluvut tietokoneessa
Satunnaisuuden määrittely
Tasainen jakauma
Riippumattomuus
Satunnaisuuden vaikeus
Näennäissatunnaislukujen generointi
Netscape-ongelma
Parempi PRNG
Kryptografisesti vahva PRNG
Salasanojen vaarat
Salasanasta avaimeksi
Sanakirjahyökkäys
Suolaamalla lisää turvaa
Tiedostojärjestelmät ja tietoturva
FAT, FAT16, FAT
NTFS
EFS
UNIX FS
NFS, Samba
TCP/IP-verkon tietoturva
TCP/IP:n uhkakuvia
Johdanto
Tyyppillisiä TCP/IP-verkon tietoturvauhkia
Selväkielisyys
Liian heikko todentaminen
Verkkoon tunkeutuminen ja yhteyksien kaappaus
Kiusanteko
Yhteenveto
Joitain tunnettuja murtautumiskeinoja
Palvelunkieltohyökkäykset
Osoiteväärennökset (spooffaus) ja yhteyksien kaappaukset
Joitain riskipitoisia protokollia
Tietomurron vaiheet
Tietojen keräys
Tietojen hyödyntäminen
Kuinka suojautua?
Suojautumiskeinoja
Palomuurit
Pakettisuodatus (Packet filtering)
Välipalvelimet (Proxy servers)
Palomuuriratkaisuja
Palomuurikin saattaa olla tietoturvauhka
Pakettisuodatuspalomuuri
Piiritason yhdyskäytävä
Sovellustason yhdyskäytävä
Tilallinen suodatus
Demilitarisoitu alue (DMZ)
Verkon monitorointi
Asennekasvatus
Tietoturvaprotokollat ja applikaatiot
Secure Shell SSH
Mikä on ssh?
Miten ssh:ta käytetään?
Yhteyden muodostaminen
Lyhyesti asetuksista
Useita yhteyksiä
SSH-ohjelmistoja
SSHWin
PuTTY
Windows 95, 98, 2000/3 ja NT: TeraTerm + ttssh
scp
Secure FTP
SSL (Secure Socket Layer)
SSL:n rakenne
SSL Handshake Protokolla
SSL 3:n turvallisuuteen liittyvät parannukset
Sertifikaateista
Erikoismainintoja implementoinnista kiinnostuneille
VPN
IPSec
Kriittinen IPSec-arviointi
Radius
Autentikointi ja viestien suojaus
RADIUS:n heikkouksien analysointi
TACACS+
AAA-arkkitehtuuri
Autentikointi ja viestien salaus
TACACS+:n heikkouksien analysointi
Autentikointitapoja
Kerberos
Yleistä
Periaatteet
Turvallisuusriskit
Kerberoksen käyttö
Kerberos-server
Kerberos-client
Toimintaperiaate
Idea
Aliprotokollat
Sisään kirjautuminen (AS)
Avainten vaihto (TGS)
Lipun esittäminen palveluun (CS)
Lippujen ominaisuudet
Ominaisuuksia
Kerberos autentikointi Windows 2000:ssa
Kerberoksen etuja
Key Distribution Center (KDC)
Autentikoinnin delegointi
Kerberos Security Support Provider (SSP)
Valtuutus välimuisti (Credentials Cache)
Tietoliikenne asiakkaan ja KDC:n välillä
Kerberos käyttöoikeuksien valvonnassa
Windows 2000:sen verkkokirjautuminen
Yhteensopivuus
Yhteensopivuuden variaatiot
LDAP
Hakemistopalveluista
Mikä on LDAP?
Pintaa syvemmälle
Toteutuksia
Linkkejä
Sähköinen henkilökortti
HST-kortin historia
Pankit ja TUPAS
HST-kortin anatomia
Kortin käyttö
Palveluun kirjautuminen
Allekirjoittaminen
Varmenteiden etsiminen
Kortin uusiminen
HST-kortin turvallisuus
Kortin rajoitukset
Uhkakuvat
Linkit
Biometrinen tunnistus
Vanha ilmiö uudella tekniikalla
Tarkasti vai helposti
Toimivia järjestelmiä
Vielä on kehitettävää
Microsoft käyttöjärjestelmien tietoturva
Active Directory -hakemistopalvelun käyttäminen
Active Directory
Active Directory ja DNS
Tutustuminen Active Directoryyn
Toimialueen rakenteet
Perustietoja toimialueista
Toimialuemetsät ja -puut
Organisatoriset yksiköt
Palvelinjoukot ja aliverkot
Active Directory -toimialueiden hallinta
Windows Server 2003-, Windows XP- ja Windows 2000 -tietokoneiden käyttäminen Active Directoryn kanssa
Windows 95:n ja Windows 98:n käyttäminen Active Directoryn kanssa
Windows NT- ja Windows 2000 -toimialueiden käyttäminen Active Directoryn kanssa
Toimialueen ja metsän toimintatilan korottaminen
Hakemistorakenne
Tietovaraston tutkiminen
Yleisten hakemistojen tutkiminen
Universaalisten ryhmäjäsenyyksien paikallinen käyttö
Replikointi Active Directoryssa
Active Directory ja LDAP
Toimintopalvelinroolit
Active Directoryn hallinnan ydintoiminnot
Active Directoryn hallintatyökalut
Hallintatyökalut
Active Directoryn komentorivityökalut
Active Directoryn tukityökalut
Active Directory Users And Computers -työkalun käyttäminen
Työkalun käynnistäminen
Työkalun käyttäminen
Yhteyden muodostaminen toimialueen ohjauskoneeseen
Yhteyden muodostaminen toimialueeseen
Tilien ja jaettujen resurssien etsiminen
Tietokonetilien hallinta
Tietokonetilien luominen työasemalla tai palvelimella
Tietokonetilien luominen Active Directory Users And Computers -työkalulla
Tietokonetilien näyttäminen ja muokkaaminen
Tietokonetilien poistaminen, käytöstä poistaminen ja käyttöönotto
Lukittujen tietokonetilien vapauttaminen
Tietokonetilien siirtäminen
Tietokoneiden hallinta
Tietokoneen liittäminen toimialueeseen tai työryhmään
Toimialueen ohjauskoneiden, roolien ja hakemistojen hallinta
Toimialueen ohjauskoneiden asentaminen ja alentaminen
Toimialueen laajuisten roolien näyttäminen ja siirtäminen
Toimialueen nimeämispalvelimen näyttäminen ja siirtäminen
Mallipalvelinroolien näyttäminen ja siirtäminen
Roolien siirtäminen komentoriviapuohjelmien avulla
Roolien kaappaaminen komentorivin avulla
Yleisten hakemistojen määrittäminen
Universaalisten ryhmäjäsenyyksien käyttäminen paikallisesti
Organisatoristen yksiköiden hallinta
Organisatoristen yksiköiden luominen
Organisatorisen yksikön ominaisuuksien näyttäminen ja muokkaaminen
Organisatoristen yksiköiden uudelleennimeäminen ja poistaminen
Organisatoristen yksiköiden siirtäminen
Käyttäjä- ja ryhmätilit
Windows Server 2003:n suojausmalli
Valtuutusprotokollat
Saanninohjaus
Käyttäjä- ja ryhmätilien erot
Käyttäjätilit
Ryhmät
Oletuskäyttäjätilit ja -ryhmät
Sisäänrakennetut käyttäjätilit
Esimääritetyt käyttäjätilit
Sisäänrakennetut ja esimääritetyt ryhmät
Implisiitit ryhmät ja erikoisidentiteetit
Tilien ominaisuudet
Valtuudet
Kirjautumisoikeudet
Active Directoryn ryhmien sisäänrakennetut ominaisuudet
Oletusryhmätilien käyttäminen
Järjestelmänvalvojien käyttämät ryhmät
Implisiitit ryhmät ja ldentiteetit
Käyttäjä- ja ryhmätilien luominen
Käyttäjätilien määrittäminen ja organisointi
Tilin nimeämiskäytännöt
Salasana- ja tilikäytännöt
Tilikäytäntöjen määrittäminen
Salasanakäytäntöjen määrittäminen
Tilien lukituskäytäntöjen määrittäminen
Kerberos-käytäntöjen määrittäminen
Käyttäjäoikeuskäytäntöjen muokkaaminen
Yleisten käyttäjäoikeuksien määrittäminen
Paikallisten käyttäjäoikeuksien määrittäminen
Käyttäjätilin lisääminen
Toimialueen käyttäjätilien luominen
Paikallisten käyttäjätilien luominen
Ryhmätilin lisääminen
Paikallisen ryhmän luominen
Paikallisen ryhmän luominen ja jäsenten lisääminen
Yleisten ryhmien jäsenyyksien käsittely
Yksittäisten jäsenyyksien hallinta
Useiden jäsenyyksien hallinta ryhmässä
Ensisijaisen ryhmän määrittäminen käyttäjille ja tietokoneille
Olemassa olevien käyttäjä- ja ryhmätilien hallinta
Käyttäjän yhteystietojen hallinta
Yhteystietojen määrittäminen
Käyttäjien etsiminen ja osoitteistokohteiden luominen
Käyttäjien ympäristöasetusten määrittäminen
Järjestelmän ympäristömuuttujat
Kirjautumisskriptit
Kotihakemistojen asettaminen
Tilin asetusten ja rajoitusten asettaminen
Kirjautumistuntien hallinta
Sallittujen kirjautumistyöasemien määrittäminen
Sisäänsoitto- ja VPN-valtuuksien määrittäminen
Tilin suojausasetusten määrittäminen
Käyttäjäprofiilien hallinta
Paikalliset, palvelinpohjaiset ja pakolliset profiilit
Paikallisten profiilien hallinta System-apuohjelmalla
Käyttäjä- ja ryhmätilien päivittäminen
Käyttäjä- ja ryhmätilien uudelleen nimeäminen
Toimialueen käyttäjätilien kopioiminen
Käyttäjä- ja ryhmätilien poistaminen
Salasanojen muuttaminen ja asettaminen alkutilaan
Käyttäjätilien ottaminen käyttöön
Useiden käyttäjätilien hallinta
Sallittujen kirjautumisaikojen määrittäminen useille tileille
Sallittujen kirjautumistyöasemien määrittäminen useisiin tileihin
Kirjautumis-, salasana- ja vanhenemisasetusten määrittäminen useisiin tileihin
Kirjautumisongelmien selvittäminen
Active Directoryn lisäoikeuksien määrittäminen
Käyttäjän, ryhmän ja tietokoneen lisäoikeuksien ymmärtäminen
Tiedostojen ja kansioiden hallinta
Windows Server 2003 -tiedostorakenteet
FAT- ja NTFS-tiedostojärjestelmien pääominaisuudet
Tiedostojen nimeäminen
Pitkien tiedostonimien käsittely MS-DOSissa
Pikaohjeita tiedostojen, kansioiden ja levyasemien hallintaan
Piilotettujen ja pakattujen tiedostojen näyttäminen Windows Explorerissa
Useiden tiedostojen ja kansioiden valintavihjeitä
Resurssien kopiointi- ja siirtovihjeitä
Vihjeitä resurssien kopioimiseksi kohteisiin, jotka eivät ole näkyvissä
Tietojen jakaminen, suojaaminen ja valvonta
Kansioiden jakaminen paikallisissa ja etäjärjestelmissä
Jaettujen resurssien näyttäminen
Jaettujen kansioiden luominen
Jaettujen resurssien lisääminen olemassa olevaan jaettuun resurssiin
Jaetun resurssin käyttöoikeuksien hallinta
Jaetun resurssin käyttöoikeudet
Jaetun resurssin käyttöoikeuksien näyttäminen
Jaetun resurssin käyttöoikeuksien määrittäminen
Olemassa olevien jaetun resurssin käyttöoikeuksien muokkaaminen
Jaettujen resurssien käyttöoikeuksien poistaminen käyttäjiltä tai ryhmiltä
Jaettujen resurssien hallinta
Jaetut erikoisresurssit
Yhteyden muodostaminen jaettuihin erikoisresursseihin
Käyttäjä- ja tietokoneistuntojen näyttäminen
Tiedostojen ja kansioiden jakamisen lopettaminen
Varjokopioiden käyttäminen
Varjokopiot
Varjokopioiden luominen
Varjokopiolden poistaminen
Varjokopioiden poistaminen käytöstä
Yhteyksien muodostaminen verkkoasemiin
Verkkoaseman asematunnuksen valitseminen
Verkkoaseman yhteyden katkaiseminen
Objektien hallinta, omistus ja periytyminen
Objektit ja objektien hallinta
Objektien omistusoikeus ja sen siirtäminen
Objektien periytyminen
Tiedostojen ja kansioiden käyttöoikeudet
Perustietoja tiedostojen ja kansioiden käyttöoikeuksista
Tiedostojen ja kansioiden käyttöoikeuksien asettaminen
Järjestelmäresurssien valvonta
Valvontakäytäntöjen asettaminen
Tiedostojen ja kansioiden valvonta
Active Directory -objektien valvonta
Levykiintiöiden käyttäminen, määrittäminen ja hallinta
Levykiintiöt ja niiden käyttäminen
Levykiintiökäytäntöjen määrittäminen
Levykiintiöiden ottaminen käyttöön NTFS -asemissa
Levykiintiötietueiden näyttäminen
Levykiintiötietueiden luominen
Levykiintiötietueiden poistaminen
Levykiintiöasetusten vieminen ja tuominen
Levykiintiöiden poistaminen käytöstä
Tiedostojen varmuuskopiointi ja palauttaminen
Varmistus- ja palautussuunnitelman luominen
Varmistussuunnitelman laatiminen
Varmuuskopiointitavat
Differentiaalinen ja inkrementaalinen varmistus
Varmuuskopiointilaitteiston ja -tietovälineiden valinta
Yleiset varmuuskopiointiratkaisut
Nauhojen hankkiminen ja käyttäminen
Tietojen varmuuskopiointi
Backup-ohjelma
Backup-ohjelman oletusasetusten määrittäminen
Varmuuskopiointi ohjatulla toiminnolla
Tiedostojen varmuuskopiointi ilman ohjattua toimintoa
Tiedostojen palauttaminen ohjatulIa toiminnolla
Tietojen palauttaminen ilman ohjattua toimintoa
Active Directoryn palauttaminen
Etäjärjestelmien tietojen varmuuskopioiminen ja palauttaminen
Varmuuskopiointilokien näyttäminen
Salausten palautuskäytännön hallinta
Salaussertifikaatit ja palautuskäytäntö
EFS-palautuskäytännön määrittäminen
Salattujen tiedostojen ja sertifikaattien varmuuskopioiminen ja palauttaminen
Salaussertifikaattien varmuuskopioiminen
Salaussertifikaattien palautus
Katastrofitilanteisiin varautuminen ja niistä toipuminen
Järjestelmän korjauslevykkeen luominen
Järjestelmän käynnistäminen vikasietotilaan
Järjestelmän palauttaminen korjauslevykkeen avulla
Recovery-konsolin käyttäminen
Tietovälinevarantojen hallinta
Tietovälinevarannot
Tietovälineen valmistelu käyttöä varten Free-tietovälinevarannossa
Tietovälineen siirtäminen toiseen tietovälinevarantoon
Sovelluskohtaisten tietovälinevarantojen luominen
Tietovälinevarannon tietovälinetyypin vaihtaminen
Varaus- ja vapautuskäytäntöjen määrittäminen
Vaihdettavien tallennusvälineiden käyttöoikeuksien hallinta
Sovelluskohtaisten tietovälinevarantojen poistaminen
Työjonojen, pyyntöjen ja operaattoreiden hallinta
Työjonon käyttäminen
Odottavien tehtävien vianselvitys
Tehtävien suoritusjärjestyksen muuttaminen
Tehtävien poistaminen
Operaattoripyyntöjonon käyttäminen
Windows 2000 suojaukset paikallisesti ja verkossa
Julkiseen avaimeen perustuva salaus
Sertifikaattien merkitys
Sertifikaattien käyttötarkoituksia
Sertifikaattien hallinta
Tunnistaminen
Kertaalleen tapahtuva kirjoittautuminen (Kerberos)
Tunnistus toimikortilla
Kryptaava tiedostojärjestelmä
Tiedostojen kryptaaminen
Kryptattujen tiedostojen käyttäminen
Sitooko kryptaus käyttäjän yhteen koneeseen?
Kryptattujen tiedostojen pelastaminen
Virtuaalinen paikallisverkko
Internet Protocol Security (IPSec)
Unix/Linux-tietoturva
Unixin perussuojausmekanismi
Käyttäjätunnukset
Käyttäjien jaottelu
Tiedostojen oikeustyypit
Tiedoston oikeuksien katsominen
chmod - CHange permission MODe
Linuxin graafinen liittymä
umask - User MASK
Suid- ja skid-mekanismit
Lokijärjestelmä
Unix-spesifisiä tietoturvallisuuteen liittyviä sääntöjä
|