Avainsanat: Verkonhallinta, tietoturva, tietoliikenne, reititin, suojaaminen, IP, IPSec
Tietoturva on noussut ajankohtaiseksi aiheeksi viime vuosien lukuisten tietokonevirusepidemioiden myötä. Tutkimuksien mukaan tietoturvahyökkäysten lukumäärä on kasvanut ja yhä useammin hyökkäykset kohdistuvat verkon runkolaitteisiin. Tulevaisuuden verkossa asiakkailla on mahdollisuus vaikuttaa saamaansa palvelun laatuun. Tämä luo uusia haasteita verkonhallinnan palveluille ja tietoturvalle. Tässä tutkielmassa kerrotaan verkonhallintaan liittyvän tietoliikenteen suojaamisesta, mietitään mitä uhkia siihen kohdistuu ja miten niitä voidaan estää toteutumasta. Täydellistä suojaa on lähes mahdoton tarjota, mutta tutkielmassa kuvataan keinoja, joilla riskit voidaan minimoida. Tutkielman pääpaino on verkonhallinta-aseman ja reitittimien välisen liikenteen turvaamisessa. Kokonaiskuvan muodostamiseksi tutkielmassa rakennetaan ensin malli organisaation verkon tietoturvalle ja käsitellään sitten tarkemmin verkonhallinnan osuus siitä. Mallissa hallintatieto liikkuu aina salattuna ja todennettuna, joten liikenne on turvassa passiivisilta hyökkäyksiltä ja tiedon muuntamiselta. Tutkielmassa esitetään eräs käytännön ratkaisu, jonka keskeisenä osana on tietoliikenteen salauksen ja todennuksen tekevä Internet Protocol Security -protokolla (IPSec). Käytännön ratkaisusta testataan hallinta-aseman ja reitittimien välistä yhteyttä suojattuna IPSecillä.
Information security has become an important issue during the last years. According to the latest researches, the number of attacks has grown and the attacks are focused more often on routers. In the future quality of service (QoS) will also be important in the network. Security and QoS create new challenges for network management. In this thesis the terms of information security and how security services can be implemented to network management are described. Model and solution for securing network management system are also presented in this thesis. IPSec is explained in theory and used for securing network management connections in the presented solution.
Tein graduani ja siihen liittyvää tutkimusta ajalla 1.6.2001-31.12.2002 Terabitti-projektissa Jyväskylän yliopistolla. Osittain Tekesin rahoittamassa projektissa oli mukana myös paikallisia ja valtakunnallisia yrityksiä. Lopullinen versio gradusta valmistui 28.10.2002 ja sen voi kopioida tästä ps-muodossa (suositeltava) ja pdf-muodossa itselleen. Jos lainaatte tekstiä siitä, muistakaa mainita lähde. Työ on hyväksytty arvosanalla eximia cum laude approbatur.
Olen moneen kertaan miettinyt graduni sisältöä. Nyt muutaman vuoden jälkeen moni asia on muuttunut, mutta pääperiaatteet ovat pysyneet samoina. IPSecin osuus gradussa on melko teoreettinen ja pohjautuu pitkälti RFC-dokumentteihin. Nyt kirjoittaisin huomattavasti käytännönläheisemmin, mutta nyt minulla onkin palomuureista ja virtuaalisista yksityisverkoista muutaman vuoden työkokemus. Myös itse IPSec on tullut tutuksi ohjelmoitaessa laajennuksia siihen. IKE versio 2 on ilmestynyt, mutta se on vielä hieman kehitysvaiheessa ja kestää kauan ennen kuin sen toteutus löytyy verkkolaitteista. IKE versio 1 -tuki on puolestaan tullut huomattavasti paremmaksi viime vuosina ja IPSec on edelleen oikein hyvä tapa suojata yhteyksiä. Lisää ajatuksia tulossa myöhemmin.
Pidän tietoturvakurssilla yhden luentokerran, jossa käsitellään myös IPSeciä. Materiaali on tulossa todennäköisesti jakoon tähän.