En päivitä tätä dokumenttia (paitsi satunnaisesti).
Haluaisitko ylläpitää s.a.turvallisuuden VUKKia?
sfnet.atk.turvallisuus.kotikoneet ja
sfnet.atk.turvallisuus: epävirallinen VUKK (FAQ)
Tässä dokumentissa on Vastauksia ryhmissä sfnet.atk.turvallisuus.kotikoneet
ja sfnet.atk.turvallisuus
Usein Kysyttyihin
Kysymyksiin.
Sisällys
Tietojenkäsittelyn tietoturvakysymysten käsittelyyn on kaksi
ryhmää: sfnet.atk.turvallisuus.kotikoneet ja
sfnet.atk.turvallisuus. Lue ryhmien kuvaukset ennen
artikkelin kirjoittamista ja lähetä artikkelisi ryhmään, johon se
sopii parhaiten.
Ryhmän
sfnet.atk.turvallisuus.kotikoneet kuvaus:
sfnet.atk.turvallisuus.kotikoneet Kotikoneisiin
liittyvät tietoturvakysymykset
Kotikoneiden ja -verkkojen käyttöön ja suojaamiseen liittyviä
tietoturvakysymyksiä, -vastauksia ja -havaintoja. Ryhmä on
tarkoitettu erityisesti käyttäjien ongelmien ja ideoiden
käsittelyyn, ei vain tietoturvagurujen kanavaksi. Työasemakohtaisia
virusskannereita, "softapalomuureja" yms. apuohjelmia koskeva
keskustelu kuuluu tähän ryhmään.
Ryhmän
sfnet.atk.turvallisuus kuvaus:
sfnet.atk.turvallisuus Tietoturvakysymykset
tietojenkäsittelyssä
Tietoturva: tekniikka, lainsäädäntö, fyysinen tietoturva,
organisaatioiden asennoituminen tietoturvaan, käytännön kokemukset
tietoturvasta ja -ongelmista sekä esilletulleista
haavoittuvuuksista, aukoista ja niiden korjauksista ja
kiertämisistä keskustelu. Tiedottaminen ja varoittaminen
havaituista tietokoneviruksista, tunkeutujista verkossa ja
turvallisuuteen vaikuttavista virheistä ohjelmissa.
Tietoturva-ongelmissa, joiden ei katso soveltuvan
julkistettavaksi kannattaa ottaa yhteyttä paikalliseen
tietoturvasta vastaavaan henkilöön ja harkita etenemisvaihtoehtoja.
Erityisesti aukkojen, joiden paikkaamiseen ei vielä ole järkeviä
vaihtoehtoja, yksityiskohtainen julkistaminen ei ole suotavaa.
Tietoturvaongelmia käsittelemään on myös perustettu ns. Computer
Emergency Response Teamien verkosto, jotka koordinoivat ongelmien
selvityksessä ja tiedottavat tietoturva-aukoista ja niiden
korjaamisesta mm. ryhmässä comp.security.announce.
Tietojenkäsittelyn riskeistä kiinnostuneille on ryhmä comp.risks,
joka jakelee ACM:n Risks Digestiä varmasti tutustumisen
arvoinen.
Lue ennen nyysseihin postaamista ainakin Jaana
Heinon Seitsemän
ohjetta nyyssihin kirjoittajalle tai Jukka Korpelan Seitsemän kieltoa
nyysseihin kirjoittajalle, jotta vältät tavallisimmat
netikettivirheet.
Tarkista tästä VUKKista ja Google Groupsista, että
kysymykseesi ei ole vastattu tyydyttävästi aikaisemmin tai että
argumenttiasi ei ole käsitelty puhki viimeksi edellisessä kuussa
(Googlen Usenet Advanced
Search). Jos saat esimerkiksi sähköpostiviestin, jota epäilet
haittaohjelman lähettämäksi, tai jos webbipalvelimen lokiin
ilmestyy outo skannaus tai jos "henkilökohtainen palomuurisi"
hälyttää, niin asiasta on mitä todennäköisemmin keskusteltu
ryhmässä jo aikaisemmin.
Ennen kysymyksen esittämistä asiasta kannattaa tehdä myös
webbihaku Googlella. Jos
esimerkiksi haluat tietoja jostain ohjelmistosta, niin se onnistuu
kätevimmin seuraavalla webbihaulla:
Jos kysyt jotakin, niin pyri antamaan riittävät
tiedot, jotta kysymykseen voidaan vastata. Finnish Linux
User Group on tehnyt ohjeen hyvän kysymyksen
laatimiseen Linux-käyttöjärjestelmään liittyvästä ongelmasta.
Eric Raymond on tehnyt samantapaisen kirjoituksen kysymysten
esittämisestä teknisissä nyyssiryhmissä.
Usein webbipalvelimen lokiin tulevat oudot merkinnät tai
sähköpostiviestit ovat jonkin haittaohjelman aiheuttamia. F-Securen sivulla on lueteltu
uusimmat ja yleisimmin liikkeellä olevat haittaohjelmat.
F-Securella on myös kattava viruskuvaustietokanta,
joka sisältää haittaohjelmien kuvaukset ja poisto-ohjeet.
Katso myös seuraavaa
kysymystä.
Palomuuri voi hälyttää tai lokiin voi tulla merkintöjä
ulkoverkosta tulevista yhteydenottoyrityksistä. Tällaisissa
yhteydenttoyrityksissä ei ole mitään erikoista. Osa niistä liittyy
verkon normaaliin toimintaan, osa tietomurtoyrityksiin. Tavallisia
verkon normaaliin toimintaan liittyviä yhteydenottoja ovat muun
muassa porttiin 113 (auth) tulevat ident-pyynnöt ja porttiin 137
(netbios-ns) tulevat NetBIOS-pyynnöt.
Kun palomuuri hälyttää, tarkoittaa se sitä, että palomuuri toimii
kuten pitääkin ja estää yhteydenottoyritykset. Palomuurin
hälytyksistä ei siis kannata hermostua. Jos hälytykset
hermostuttavat, niin ne kannattaa kytkeä pois päältä.
Jos on todennäköistä, että yhteydenottoyritykset
johtuvat tietomurtoyrityksistä, niin asiasta voi ilmoittaa sille
Internet-palveluntarjoajalle, jonka verkosta yhteydenottoyritykset
tulevat. Nyysseihin ulkoverkosta tulevista yhteydenottoyrityksistä
ei yleensä kannata ilmoittaa.
Robert Graham on kirjoittanut ohjeen
palomuurin logien tulkintaan. Palveluja ja niitä vastaavia
portteja on lueteltu unix-tyyppisissä käyttöjärjestelmissä /etc/services-tiedostossa.
Yhteenotto joihinkin palveluihin voi aiheuttaa ident-kyselyn.
Käytännössä tämä tarkoittaa sitä, että jos esimerkiksi otat
ssh-yhteyden palveluntarjoajasi koneeseen tai jos pyydät WWW-sivua
webbipalvelimelta, ottaa palvelinkone yhteyden koneesi porttiin 113
(auth) ja kysyy tietoja yhteydenottajan henkilöllisyydestä. Jos
palomuurisi on konfiguroitu siten, että auth-porttiin tulevat
yhteydenotot jätetään kokonaan huomiotta (DROP), niin yhteyden
muodostamiseen voi aiheutua viive, kun palvelinkone odottaa turhaan
vastausta auth-porttiisi lähetettyyn ident-kyselyyn.
Tämän vuoksi auth-porttiin tulevaa liikennettä ei pidä jättää
kokonaan huomiotta, vaan kyselyihin on joko vastattava tai niihin
on lähetettävä vastauksena virheviesti (REJECT). Esimerkiksi
Linuxin iptables-palomuurilla tämä onnistuu seuraavan kaltaisella
säännöllä:
iptables -A INPUT -p tcp --dport auth -j REJECT --reject-with tcp-reset
Yhteyksiä voi hidastaa myös esimerkiksi ICMP-pakettien agressiivinen
suodattaminen (mitä
muuta ei pidä suodattaa).
Palomuuri on järjestelmä, joka valvoo ja rajoittaa paikallisverkon
tai oman koneen ja ulkoisen verkon (Internetin) välisiä yhteyksiä.
Palomuurilla voi muun muassa rajoittaa ulkoisesta verkosta tulevia
yhteydenottoyrityksiä paikallisiin palveluihin tai estää sisäverkon
ohjelmien viestintää ulkoisen verkon kanssa (mm. erilaiset
vakoiluohjelmat, "spyware").
Vaikka palomuuri onkin oikein käytettynä hyödyllinen, ei se
kuitenkaan ole välttämätön tietoturvan kannalta. Jos oma kone ei
tarjoa turhia palveluita eikä käyttäjä aja vahingossakaan haitta-
tai vakoiluohjelmia, ei palomuurista ole sanottavaa hyötyä.
Palomuuri ei myöskään voi estää varmasti haittaohjelmien
kommunikointia ulkomaailman kanssa (esimerkkejä: miten ohitetaan palomuuri käyttäen
webbiselainta, miten
kierretään palomuuri HTTP-tunneloinnilla,
miten lähetetään tiedostoja Internettiin Opera-selaimen avulla
"henkilökohtaisen palomuurin" estämättä, muita tapoja
kiertää palomuuri: "Covert Channels in the TCP/IP Protocol
Suite, miksi jaetussa
verkossa on käytännössä aina piilokanavia, miten
ohitetaan Zone Alarm). Palomuurilla
ei välttämättä voi piilottaa konetta, toisin kuin jotkut
mainokset antavat ymmärtää ("stealth-mode"). Haittaohjelma voi
kytkeä samaan Windows 9x/ME -koneeseen asennetun palomuurin pois
päältä tai ohittaa sen. Lisäksi varsinkin "henkilökohtaiset"
Windows-palomuurit voivat tehdä nettiyhteydestä epäluotettavamman -
onhan palomuuri yksi vikaantuva komponentti lisää. Väärin
konfiguroitu palomuuri voi hidastaa
tai estää yhteyksien muodostamista. Palomuuri voi jopa
heikentää tietoturvaa, jos se antaa käyttäjälle väärää
turvallisuudentunnetta. Palomuuri ei siis yksinään takaa
täydellistä turvaa murtautujia tai haittaohjelmia vastaan, mutta
oikein käytettynä se auttaa vähentämään riskejä joutua tietomurron
kohteeksi.
Linux-kernel sisältää vakioasennuksessa monipuolisen
ja luotettavan palomuurin (2.4-sarjan
kernelien mukana tulevan iptables-palomuurin
dokumentaatiota).
Palomuurin voi kasata halvalla vanhasta koneesta ja asentamalla
siihen ilmaisen Linux- tai BSD-pohjaisen (NetBSD, FreeBSD, OpenBSD) käyttöjärjestelmän. Sekä
Linuxin että BSD-pohjaisten käyttöjärjestelmien ytimet sisältävät
monipuoliset ja luotettavat palomuuritoiminnot. Ammattikättöön
valmiit luotettavat ja helposti konfiguroitavat palomuuriratkaisut
voivat olla hyvä vaihtoehto (
esimerkki).
Microsoft Windows -käyttöjärjestelmälle on saatavana esimerkiksi
seuraavia maksuttomia "henkilökohtaisia palomuureja":
Firewall Guide on
koonnut linkkejä Windows-palomuurien
arviointeihin ja vertailuihin. Mutta ainakin ennen kuin maksaa
mitään niin sanotusta henkilökohtaisesta palomuurista, kannattaa
lukea Steve Atkinsin artikkeli "Personal Firewalls"
are mostly snake-oil.
Tämä dokumentti ("sfnet.atk.turvallisuus: epävirallinen VUKK
(FAQ)") on Public Domainia, seuraavin ehdoin:
Copyright-Only Dedication (based on United States law)
The person or persons who have associated their work with this
document (the "Dedicator") hereby dedicate the entire copyright in
the work of authorship identified below (the "Work") to the public
domain.
Dedicator makes this dedication for the benefit of the public at
large and to the detriment of Dedicator's heirs and successors.
Dedicator intends this dedication to be an overt act of
relinquishment in perpetuity of all present and future rights under
copyright law, whether vested or contingent, in the Work. Dedicator
understands that such relinquishment of all rights includes the
relinquishment of all rights to enforce (by lawsuit or otherwise)
those copyrights in the Work.
Dedicator recognizes that, once placed in the public domain, the
Work may be freely reproduced, distributed, transmitted, used,
modified, built upon, or otherwise exploited by anyone for any
purpose, commercial or non- commercial, and in any way, including
by methods that have not yet been invented or conceived.
Ajantasalla oleva versio (alkuperäisestä) sivusta löytyy aina
osoitteesta: http://www.iki.fi/kaip/turva/
$Id: index.html,v 1.7 2003/11/22 19:48:56 kaip Exp $
http://www.iki.fi/kaip/turva/
Kai Puolamäki (Kai.Puolamaki@iki.fi)