Difference: Valityspalvelimet (r4 vs. r3)

Arto Lindberg

Arto Lindberg

Välityspalvelimet tietoturvallisesta näkökulmasta

1. Johdanto

1. Johdanto

Työn tarkoituksena on tutustua välityspalvelimiin tietoturvallisesta näkökulmasta katsoen. Internetissä on lukemattomia välityspalvelimia ja välityspalvelimet koskevat meitä kaikkia Internetin käyttäjiä. Tämän takia on tärkeätä tietää, mikä välityspalvelin on ja miten sitä voidaan käyttää tietoturvallisesti.

2. Mikä on välityspalvelin?

Välityspalvelin eli proxy (engl.) on karkeasti ottaen tietokone/ohjelma, tietokone tai ohjelma, joka pystyy tallentamaan, muuttamaan, poistamaan, viivästämään, viivästämään sekä lähettämään eteenpäin verkossa liikkuvia tietoliikennepaketteja sekä sen kautta kulkevia tietoliikennepaketteja. pitämään lokeja [1]. Proxyt ovat ohjelmia, jotka tallettavat yleisesti myös lokitietoja sen kautta kulkevista tietoliikennepaketeista [1]. Välityspalvelimet sijaitsevat mahdollisesti hieman etäämpänä käyttäjästä, mutta asettuvat käyttäjän ja avoimen tietoverkon väliin välissä suodattaen tietoa suuntaan ja toiseen sekä näyttäen ulospäin mahdollisesti vain itsensä eikä käyttäjää [2].

3. Mihin välityspalvelimia yleisimmin käytetään?

Välityspalvelimen käyttötarkoitus riippuu monesti siitä, mitä välityspalvelin tekee sen kautta kulkevalle tietoliikennepaketille. Proxyja käytetään muuttamaan ja vahtimaan tiedonvälitystä, nopeuttamaan Internet-viestintää, toimimaan tulkkina selaimen ja erityispalvelun välillä sekä antamaan yksityisyyttä käyttäjälle.[3]

3.1. Suodattavat välityspalvelimet

Suodattava välityspalvelin kontrolloi sen läpi kulkevia tietoliikennepaketteja. Se antaa ylläpidolle mahdollisuuden rajoittaa Internet-liikennettä oman tietoturvapolitiikan suhteen. Suodatusta käytetään yleisesti työpaikoilla, kouluissa, lapsiperheissä ja sellaisissa paikoissa, joissa on tietynlainen turvapolitiikka Internetin käytön suhteen. Suodattavan välityspalvelimen toiminta pääpiirteittäin on sellainen, että Internetistä saapuva data kulkee proxyn kautta käyttäjän tietokoneelle. Mikäli välityspalvelimelle saapuva datapaketti on suodatusprotokollan vastainen, niin se päätyy datapaketti hylätään. roskiin. Jos datapaketti täyttää suodattavan välityspalvelimen asetuksien määrittämät kriteerit, niin data välittyy käyttäjän tietokoneelle. [1]

Suodattavalla välityspalvelimella luodaan turvallisempi käyttöympäristö käyttäjäkunnalle (yrityksen työntekijät, koulun oppilaat, perheen jäsenet, yms.). Ylläpidolla on mahdollisuus estää palomuurin tapaan pääsy haitallisille sivustoille, joista tietokone voi saada tartuntoja. Varsinkin Esto voidaan toteuttaa myös sellaisille sivustoille, jotka eivät sovi yhteen yrityksen tai yhteisön verkkopolitiikan kanssa. Esimerkiksi työpaikoilla on yleisesti käytettynä sosiaalisen median blokkaus. Politiikan tarkoituksena lienee yleisesti työtehon parantaminen, joista blokkaus, jolloin käyttäjät eivät pääse Facebookin kaltaisille sivustoille. tosin eri medioissa ollaan montaa eri mieltä [4]. Tämän kaltaisen sivustojen blokkauksen blokkaamisen voi hyvin helposti helpolla kiertää käyttämällä salattua välityspalvelinta (HTTPS Proxy) hyväkseen. Tällöin Salattua välityspalvelinta käyttäessä suodattava välityspalvelin välityspalvein ei pysty suodattamaan käyttäjän ja salatun välityspalvelimen välisiä datapaketteja. näkemään, mihin sivustoon käyttäjä on todellisuudessa yhteydessä.

3.2. Välimuistia käyttävät välityspalvelimet (Caching proxy)

Välimuistia käyttävän välityspalvelimen tarkoitus on nopeuttaa tiedon kulkua. Välityspalvelin pitää muistissaan tallettaa välimuistiinsa käyttäjien aikaisempia www-selainpyyntöihin saatuja vastauksia. Tämä nopeuttaa datan kulkua jos käyttämiä sivustoja, jolloin niiden uudelleenhakeminen on nopeampaa. Caching proxy tallettaa siis kaikkien sen kautta kulkevien käyttäjien web-sivustohaut, jolloin yksittäinen käyttäjä haluaa uudelleen mennä samalla sivustolle, missä aikaisemmin saa web-sivun päätelaitteeseensa välityspalvelimen välimuistista, vaikkei yksittäinen kävi tai jokin muu käyttäjä olisikaan aiemmin käynyt kyseisellä sivustolla aikaisemmin. Välityspalvelimella on käynyt. Tällöin välityspalvelin omat metodit, joilla lähettää suoraan käyttäjälle sivuston sisältämän datan, jolloin tiedon kulku nopeutuu. Välityspalvelin ei ole kuitenkaan ainoastaan yhteydessä käyttäjään, vaan välityspalvelin tekee tarkistusviestin halutun sivuston web-palvelimelle, että onko sen tallettamaa sivustoa muokattu tallentamisen jälkeen. Mikäli sivustoa ei ole muokattu, niin välityspalvelin lähettää sivuston suoraan käyttäjälle. Jos sivustoa on muokattu, niin välityspalvelin hakee uuden versiohaun web-palvelimesta. Tämän jälkeen se tallentaa itselleen uuden version ja lähettää kyseisen version varmistaa, että käyttäjä saa viimeisimmän päivityksen web-sivusta. [5] käyttäjälle.

Välityspalvelimen välimuistista ja lokitiedoista saattaa koitua tietoturvariski käyttäjälle. Dataliikenne kulkee välityspalvelimen kautta, joten välityspalvelin tallentaa lokitietoihinsa kohde IP-osoitteen ja sen sisältämän tiedon. datan. Näin ollen välityspalvelimelle tallentuu kaikki salaamaton tieto käyttäjän www-sivuista, hauista sekä keskusteluista. Tämän kaltainen tieto on ilman muuta henkilökohtaista ja luottamuksellista tietoa. Näiden tietojen väärinkäytön estämiseksi useissa eri maissa on säädeltynä lakeja, jotka suojaavat käyttäjien henkilökohtaisen tiedon leviämistä. [5] [6]

Vaikka väärinkäyttöihin on säädeltynä lakeja, niin herää kuitenkin kysymys; entä jos hakkeri murtautuu välityspalvelimeen ja onkii itsellensä järjestelmän lokitiedot? Kuinka suojautua siltä, ettei itsestänsä jää liikaa jälkiä Internetiin ja välityspalvelimiin? Vastauksena jälkimmäiseen kysymykseen on SSL/TLS ? protokollien käyttäminen yhteyksissä. Tällöin välityspalvelin ei näe selkokielistä dataa, jolloin ulkopuolinen ei tiedä mitä data sisältää [7]. Näin ollen suojatun yhteyden käyttäminen turvaa käyttäjää siltä, että käyttäjästä ei jää henkilökohtaisia tietoja välityspalvelimien muistiin.

3.3. Anonymiteetti

Välityspalvelimia voidaan käytetään yleisesti myös käyttää käyttäjän anonymiteetin takaamiseksi. turvaamiseksi. Käyttäjä voi suuntaa suunnata oman tietoliikenteen tietyn välityspalvelimen kautta kulkevaksi. Tällöin Välityspalvelin välityspalvelin muuttaa käyttäjän datapakettien lähde IP-osoitteen välityspalvelimen IP-osoitteeksi. Näin ollen ulkopuolinen taho ei voi paikantaa todellista käyttäjää, sillä näkyvä IP-osoite kuuluu välityspalvelimelle.

Internetissä on useita tämänkaltaisia välityspalvelimia, joilla voi tehdä vastaavaa. Käyttäjän kannalta suurin ongelma on löytää luotettava ja turvallinen välityspalvelin. Koska käyttäjän tietoliikenne kulkee välistyspalvelimen kautta, on tietoturvariski olennaisen suuri. Välityspalvelin voi tallettaa lokitietoja käyttäjästä sekä tarkastella käyttäjän hakuja, web-selailua jne. Mikäli välityspalvelin tallentaa lokitietoja, niin käyttäjä voidaan paikantaa. Esimerkiksi rikoksen tekijän löytämiseksi välityspalvelin voi luovuttaa lokitietoja viranomaisille. Tietojen luovuttaminen viranomaisille ei ole kuitenkaan pieni asia, koska maantieteellisesti välityspalvelin voi sijaita esimerkiksi Jamaikassa Jamaikalla samalla kun rikos on tehty Norjassa. Tämä asia vaikeuttaa viranomaisten toimia. Vaikeuttaakseen oman koneen IP-osoitteen paikantamista, käyttäjä voi ketjuttaa eri proxyja yhteen. Ketjuttamisen saa aikaan todella helposti niin, että etsii Internetistä muutaman välityspalvelimen ja syöttää ensimmäiselle välityspalvelimelle toisen välityspalvelimen URL:n, toiselle kolmannen välityspalvelimen URL:n ja kolmannelle varsinaisen kohdesivuston URL:n (Oma PC -> 1.Proxy -> 2.Proxy-> 3.Proxy -> varsinainen kohde). Ketjutusta voidaan tehdä monia kertoja, kertoja putkeen, mutta ymmärrettävistä syistä tiedonsiirron nopeus kärsii mitä enemmän ketjussa on välityspalvelimia.

Internetistä löytyy kuitenkin myös sellaisia välityspalvelimia, jotka eivät pidä lokitietoja. Tämän kaltaisia proxyja on vaikea sata prosenttisesti löytää, sillä käyttäjä ei pysty millään todentamaan sitä ettei välityspalvelin todellisuudessa pidä lokitietoja.

Päätelmät / yhteenveto

Välityspalvelimet ovat hyödyllisiä käyttäjille. Niillä voidaan saadaa paljon hyvää käyttäjän näkökulmasta aikaan, kuten esimerkiksi anonymiteetin luominen, Internetpakettien suodattaminen ja tietoliikenteen nopeuttaminen. Kuitenkin välityspalvelimien tuoma hyöty voi kääntyä varomatonta käyttäjää vastaan, sillä kokematon käyttäjä ei ole tietoinen välityspalvelimien piilevistä tietoturvauhista.

Lähteet

[1] A general purpose proxy filtering mechanism applied to the mobile environment - Bruce Zenel

[2] http://sec.cs.tut.fi/maso/materiaali.php?id=154 (22.10.2012 klo 13:03)

[3] http://help.opera.com/Linux/9.61/fi/network.html (22.10.2012 klo 13:29)

[4] http://yle.fi/uutiset/facebook_puhuttaa_tyopaikoilla/5734347 (29.10.2012 klo 11:07)

[7] Secure Socket Layer, M S.Bhiogade Patni Computer Services, Mumbai, India

SivuTiedotLaajennettu edit
Vaativuus Jatko
Valmius Valmisteilla
Tyyppi Esitys
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Useita
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa

View topic | View difference side by side | History: r4 < r3 < r2 < r1 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback