TCP/IP Tietoturva

Tik-110.350 Tietokoneverkot
9. Kotitehtävä 27.4.1997

Sisällysluettelo

1. Johdanto

2. Turvamekanismit

3. Yleisimmät tietoturvaongelmat

4 Turvaratkaisut: 4.1 Salakirjoitusmenetelmät; 4.2 Palomuuri

5. Yhteenveto

6. Lähde- ja lisätietoluettelo

1. Johdanto

Nykyisissä TCP/IP- systeemeissä on huomattavan paljon turvallisuusongelmia johtuen avoimmuusperiaatteesta jonka pohjalta järjestelmä on kehitetty. Pahimpia ongelmia ovat sisäisen salauksen puute mikä helpottaa salakuuntelua sekä hyökkäykset väärentämällä IP -osoitteensa tai viestien sieppaaminen reititystaulun muunnoksilla.

2. Turvamekanismit [1],[2]

IP -osoitteet ovat melko luotettava mekanismi. Lähettäjän IP -osoitetta käytetään aina vastaamiseen.Tosin tätäkin on onnistuttu kiertämään siten että paketteja saadaan kulkemaan aivan eri paikkaan kuin haluttu IP -osoite.

Sekvenssinumerot on tarkoitettu vuonohjaukseen , mutta ne ovat osoittautuneet tehokkaaksi turvaominaisuudeksi. Päästäkseen TCP -yhteydelle murtautujan tulee tietää mikä sekvenssinumero yhteydellä on menossa. Tämä onnistuu vain joko arvaamalla sekvenssinumero tai salakuuntelemalla lähetystä. Nämä ovat useissa tapauksissa vaikeita menetelmiä.

Porttinumeroiden käyttö turvallisuusmenetelmänä on standardoimaton turvallisuussysteemi jossa alle 1024:n porttinumeroita annetaan vain sellaisille prosesseille joilla on pääkäyttäjän (root) oikeudet. Tätä hyödynnetään toisinaan palomuureissa, mutta järjestelmä ei itsessään ole luotettava.

Perusturvamekanismeihin on odotettavissa parannusta IPv6:n myötä[2],[18]. Tässä IP -protokollan uudessa versiossa on lisätty kaksi uutta turvamekanismia: todennuskehys AH, jonka avulla voidaan todeta jokaisen kehyksen eheys ja alkuperä sekä ESP:n, Encapsulating Security Payload, jonka avulla voi salata koko IP-paketin tai sen hyötykuorman. Ipv6 :n kehitystyö ei ole vielä täysin valmis joten sitä tukevia ohjelmia on saatavissa niukasti.

3. Yleisimmät tietoturvaongelmat[1],[2],[3]

TCP/IP -protokollaperheessä on useita turvallisuusheikkouksia, joita ovat otollisia hyökkäyskohteita. näistä yleisimpiä ovat:

Verkon salakuuntelu, joka onnistuu helposti ,mikäli saadaan fyysinen yhteys siirtomediaan. Päästyään käsiksi kaapeliin liitettyyn koneeseen murtautuja voi kuunnella liikennettä vaikkapa diagnostiikkaohjelmaa käyttäen ja poimia liikenteestä käyttäjien salasanoja.

IP -osoitteiden väärennys tapahtuu lähettämällä UDP paketteja joiden IP -osoite on väärä. Tällöin vastaanottajan paluupaketit eivät tietenkään tule perille. Tätä voidaan käyttää mm. hyökkäyksessä Nfs:ää vastaan sekä IP -osoitteeseen perustuvan tunnistuksen kiertoon.

ICMP -hyökkäyksessä tunkeutuja uskottelee olevansa reititin käyttäen ICMP:tä . Hyökkääjä uskottelee laitteelle lyhyimmän tien tiettyyn osoitteeseen kulkevan itsensä kautta ja saa näin siepattua lähtevät paketit. Mikäli hyökkääjällä on myös väärennetty IP -osoite saa tämä haltuunsa myös paluupaketit.

ARP -kysely soveltuu myös tietoturvahyökkäyksiin. ARP , Addres Resolution Protocol -protokollalla voidaan selvittää samassa verkossa olevan laitteen Ethernet -osoite. ARP -kyselypaketissa kysytään mikä on tiettyä IP -osoitetta vastaava Ethernet -osoite. Normaalisti IP -osoitteen omakseen tunnistava laite vastaa Ethernet -osoitteellaan, mutta mikäli hyökkääjällä on laite samassa verkossa voi tämä vastata ennen oikeaa konetta ja uskotella olevansa tämä.

IP-lähdereititystä voidaan käyttää reitityksen muuttamiseen. Sitä on tarkoitus käyttää reititiystaulujen mennessä sekaisin. Lähdereitityksen avulla murtautuja voi laittaa oman IP -osoitteensa tilalle reitin, jossa hänen osoitteensa on. Vastaanottaja näkee lähettäjänä reitin viimeisen osoitteen, vaikka käytännössä paketit pysähtyvät jo murtautujan osoitteen kohdalla.

Sähköpostin väärennys on yksinkertainen toimenpide. SMTP -protokollassa viesti kulkee selväkielisenä, jolloin haluamillaan lähtötiedoilla varustetun postin saa lähtemään ottamalla yhteyttä telnetillä koneen SMTP porttiin ja naputtelemalla halutunlaisen viestin.

Käänteisnimipalvelun avulla voi muuttaa oman IP -osoitteensa. Nimipalvelu DNS muuttaa domain nimen vastaavaksi IP -osoitteeksi ja käänteisnimipalvelu tekee vastakkaisen toiminnon. Itse nimipalvelu on varsin varmatoiminen, mutta käänteisnimipalvelua voidaan huijata liittämällä IP -osoitteeseen haluamansa nimi. Useissa palvelimissa tämä on estetty nimikysely avulla, jolloin käänteisnimipalvelussa saatu nimi tarkistetaan suorittamalla sille nimipalvelukysely.

4. Turvaratkaisut

Turvaratkaisut voivat perustua joko kohde- tai aluesuojaukseen. Kohdesuojauksessa pyritään suoraan turvaamaan yksi erillinen kohde, esimerkiksi tietokone. Aluesuojauksessa pyritään suojaamaan tietty tietoliikennealue, esimerkiksi lähiverkko.

4.1 Kryptografiset menetelmät

Salakirjoitusmenetelmät pyrkivät paikkaamaan TCP/IP -protokollan yleiset turvallisuuspuutteet. Salakirjoitukseen voidaan käyttää monia menetelmiä:
SSH (Secure Shell )[6] parantaa telnet - ja rlogin-yhteyksien sekä X -ikkunoinnin turvallisuutta salausmenettelyllä.
PGP- [7] ja PEM -salausohjelmat parantavat sähköpostiyhteyksien tietoturvaa.
Kerberos turvapalvelu [23] perustuu DES -kryptaukseen sekä Kerberos -palvelimen käyttöön. Palvelu edellyttää kirjoittautumista salauspalvelimeen ja kerberisoituja sovellusohjelmia.
Salaavien reitittimien avulla voidaan saada suojattu yhteys kahden reitittimen välillä avoimen verkon yli. Tietoturvaa avoimesta verkosta se ei paranna.
IPv6 eli käyttöön tulossa oleva uusi IP -versio sisältää mahdollisuuden IP -pakettipohjaiseen salaukseen. Tämä tulee lisään tietoturvallisuutta huomattavasti.

4.2 Palomuuri [1],[2]

Palomuurilla tarkoitetaan tekniikoita ja laitteita joilla voidaan eristää jokin verkon osa rajoittamalla ulkopuolisten yhteyksien oikeuksia. Tyypillisesti palomuuri on aluesuojausmenetelmä jolla paikallisverkko eristetään ulkoisesta verkosta esim. internetistä, mutta sitä voidaan käyttää myös yksittäisen suurempaa turvallisuutta tarvitsevan koneen tapauksessa. Palomuurit tarkkailevat niitä läpäisevää liikennettä ja päästävät läpi vain annetut säännöt täyttävän liikenteen. Palomuurit voivat toimia IP-, TCP/UDP- tai sovellustasolla ja olla toteutustopologioiltaan yksin- tai moninkertaisia.

Matalammalla verkkokerroksella toimivat palomuurit vaativat vähemmän ohjelmistomuunnoksia ja ovat yksinkertaisempia ja läpinäkyvämpiä, mutta eivät pysty yhtä monipuoliseen tarkkailuun. Ylempitasoiset palomuurit pystyvät tutkimaan liikennettä tehokkaammin ja tarjoamaan monipuolisemman suojan ja tunnistuksen mutta vaativat vastaavasti enemmän tehoa ja ohjelmistomuunnoksia ja ne on huomattavasti vaikeampi tehdä sovelluksille läpinäkyviksi.

Yksinkertainen palomuuri on yksittäinen suojattoman ja suojatun verkon välissä sijaitseva tietokone tai reititin. Se on altis IP -huijaushyökkäykselle eikä riitä kovinkaan hyvään suojaan. Monikertaiset palomuurit perustuvat ns. bastionin, ulostyönnetyn puolustusaseman käyttöön. Kaksinkertainen palomuuri toteutetaan joko kahdella koneella ja yhdellä reitittimellä tai yhdellä reitittimellä ja kahdella koneella. Tällöin suoran IP-yhteyden saanti ja IP-huijauksen käyttö estyvät.

Palomuurit eivät anna täydellistä suojaa. Hyökkäysaltis alue rajoittuu, mutta itse hyökkäyksiä ei saada estettyä. Ongelmana on muurin kiertäminen ja liian tiukan suojauksen aiheuttama tietoliikenteen hankaloituminen.

5.Yhteenveto

TCP/IP -yhteydet aiheuttavat järjestelmälle lisääntyneen turvallisuusriskin. Riskin pienentämiseen on useita keinoja, mutta kokonaan sitä ei voida poistaa. Tärkeää erityisesti ulkoisten yhteyksien riskin kannalta on jatkuva valvonta sekä uusien turvallisuusriskien seuranta ja mahdollinen poistaminen . Yleisesti valvonta henkilöstön tulee seurata tärkeimpien ohjelmistovalmistajien tiedotteita ja kotisivuja[10] sekä turvallisuustekijöiden yleistä kehitystä[4][19][21]. Lisätietoluettelossa on esitetty tietolähteitä turvallisuustiedon lisäämiseen ja ylläpitoon, turvallisuusalan uutisryhmiin[15][16][17] sekä yleistä virustietoutta [8][12][13][14].

6. Lähde- ja lisätietoluettelo

Lähteet:

1. Nikander, Peltonen, Viljanen, Internet tietoturva, Gummerrus Kirjapaino Oy 1996

2. Douglas E. Comer,Interworking with TCP/IP, Volume I, 3 rd edition, Prentice Hall International 1995

3. Juha Palojärvi, Tietoturva osa 1, artikkeli Tekniikka & Talous s. 14-15, 20.2.1997

4. FUNET CERT,
http://www.cert.funet.fi/

Lisätietoja:

5. Valtionhallinnon tietotuvallisuussivut
http://www.tietotie.fi/vahti/vahti3.html
SISÄLTÖ: ****, Hyvä kokoelma tietoturvallisuustietoa.

6. Secure Shellin kotisivu
http://escert.upc.es/others/ssh/
SISÄLTÖ: ***, Paljon tietoa SSH :sta

7. PGP:n kansainvälinen kotisivu
http://www.ifi.uio.no/pgp/
SISÄLTÖ: ***, Paljon tietoa PGP :sta

8. Teknisen Korkeakoulun virusopas
http://www.hut.fi/Yksikot/ATK/oppaat/virukset/
SISÄLTÖ: ****, Hyvä virustietolähde

9. RSA:n sivut
http://www.rsa.com/
SISÄLTÖ: ***, Tietoa RSA -salauksesta

10. Netscapen turvallisuus
http://home.mcom.com/newsref/ref/netscape-security.html
SISÄLTÖ: **, Tietoa Netscapen tietoturvasta

11. Unix:n turvallisuus
http://www.alw.nih.gov/Security/security.html
SISÄLTÖ: ***, Kokoelmasivu erityisesti Unix:n tietoturvasta

12. Command -yhtiön virussivu
http://www.commandcom.com/
SISÄLTÖ: **, linkkejä eri virustorjuntaohjelmiin

13. Tampereen yliopiston virustutkimusyksikkö
http://www.uta.fi/laitokset/virus/index-sf.html
SISÄLTÖ: ****, ajankohtaista virustietoa ja linkkejä

14. AVP:n virustietosanakirja
http://www.avp.ch/avpve/
SISÄLTÖ: ****, laajalti perustietoa viruksista

15. Virusuutisryhmä
alt.comp.virus
SISÄLTÖ: ***, ajankohtaista viruskeskustelua ja uutisia

16. Uutisryhmä palomuureista
comp.security.firewalls
SISÄLTÖ: **, kesksustelua ja uutisia palomuureista

17. Uutisryhmä java:n turvallisuudesta
comp.lang.java.security
SISÄLTÖ: **, keskustelua ja uutisia Java:n tietoturvasta

18. RFC 1883: IPv6
www.globecom.net/(nobg,sv)/ietf/rfc/rfc1883.shtml
SISÄLTÖ: ****, IP versio 6:n ominaisuudet määrittelevä RFC

19. FIRST:n tietoturvasivut
www.first.org
SISÄLTÖ: ***, FIRST:n kokoelmasivu yleisestä tietoturvasta

20. NASIRC -turvasivut
www.hq.nasa.gov
SISÄLTÖ: ****, NASA:n erinomaiset tietoturvasivut

21. CERT:n RFC -sivut
www.cert.dfn.de/eng/resource/rfc
SISÄLTÖ: ****, kokoelma tietoturva-aiheisia RFC :ta

22. Tietoturva FAQ -kokoelma
www.tezcat.com/web/security/security_faq.html
SISÄLTÖ: ***, yleisimpiä tietoturvakysymyksiä vastauksineen

23. Yahoon Kerberos -sivut
www.yahoo.com/Computers_and_Internet/Security_and_Encryption/Kerberos
SISÄLTÖ: ***, kattava tietopaketti Kerbeos-ohjelmasta

Pekka Toppila
43068 S
ptoppila@cc.hut.fi

TCP/IP Tietoturva

Sivua päivitetty viimeksi: 27.4.1997