« Takaisin

VPN-tietoja reissaajille ja erityisesti langattomien verkkojen käyttäjille

Tietokoneverkoissa tieto pilkotaan pienempiin paketteihin tiedon kuljetusta varten. Näistä paketeista voidaan melkein poikkeuksetta päätellä mistä paketti on tulossa ja mihin se on menossa. Paketin sisällä kuljetettava tieto on hyvin usein selkokielistä ja kuka tahansa paketin matkan varrella oleva taho pystyy näkemään tuon kuljetettavan tiedon sellaisenaan. Joskus tuo pakettien kuljettama tieto on salatussa muodossa, mutta salaus on tietyissä tapauksissa purettavissa. Mahdollisen salauksen purku onnistuu erityisesti silloin jos käyttäjä ei usko selaimen tai muun ohjelman antamaa varoitusta virheellisistä tunnistetiedoista, vaan jatkaa yhteyden muodostusta varoituksista huolimatta.

Varsinkin langattomien lähiverkkojen (Wifi) käyttäjät ovat salakuuntelijoillle melko helppoja kohteita. Jos langaton verkko ei käytä mitään salausta (salauksia ovat mm. WEP, nykyään WPA1/2), on kaikki siirretyt paketit kaapattavissa langattoman tukiaseman läheisyydessä. Mahdollinen salakuuntelija voi olla myös tukiaseman takana kiinteässä verkossa tai langaton tukiasema saattaa olla ns. “rogue access point”, jolloin tukiasema on luvattomasti pystytetty. Tällöin salakuuntelija on asentanut joko uskottavalla tai samalla tukiasemaverkon nimellä (BSSID) varustetun oman luvattoman tukiaseman hämätäkseen käyttäjiä.

Täysin salaamattomat Wifi-verkot ovat hyvin tavallisia Suomessa ja myös ulkomailla. Esimerkiksi PanOulu on salaamaton langaton verkko.

VPN-yhteyden idea on salata kaikki kuljetettavat paketit ja sisällyttää tuo salattu liikenne kuljetusta varten toisten pakettin sisälle. Paketit lähetetään VPN-palvelimelle, joka osaa purkaa salauksen ja välittää liikenteen sitten eteenpäin.

VPN mahdollistaa:

  • Organisaation tietojärjestelmien etäkäytön tunnistettuna ja turvallisesti
  • Voi käyttää omilla päätelaitteilla tuntemattomia verkkoyhteyksiä melko turvallisesti
  • Parantaa yksityisyyden suojaa

Tässä on esimerkiksi erilaisia tapoja, miten suojaamattomia yhteyksiä käyttäviä (etä)käyttäjiä huijataan:

  1. Matkustat Suomessa junalla ja vaunussa näyttää olevan tarjolla ilmainen nettiyhteys. Tukiasema saattaa olla VR:n asentama tukiasema nimellä “VR” tms tai jokin muu matkustaja pitää samalla “virallisella nimellä” tukiasemaa ja houkuttelee muita matkustajia käyttämään ko. nettiyhteyttä. Nyt tuota luvatonta tukiasemaa käyttävät käyttäjät ovat vaarassa koska luvattoman tukiaseman läpi kulkeva liikenne tallennetaan
  2. Nautiskelet viileää olutta kesäisellä torilla ja käytössäsi on PanOulu-verkko. Läheisellä patiolla joku kerää talteen puhelimesi ja PanOulu-tukiaseman välisen selkokielisen liikenteen!
  3. Käytät PanOulua työhuoneessasi kannettavalla mikrolla tai puhelimella. Läheissä luokassa joku opiskelija on pystyttänyt samalle nimelle luvattoman tukiaseman ja kannettava mikrosi/puhelimesi on liittynyt tuon (väärän) tukiaseman käyttäjäksi
  4. Olet käymässä Lontoossa ja käytät Heathrowin ilmaista Wifi-verkkoa. Samassa lähtöaulassa on tietoverkkorikollisia jotka keräävät kaiken selkokielisen langattoman liikenteen myöhempää käyttöä varten
  5. Olet vierailemassa Ranskalaisessa partneriyliopistossa ja kirjaudut heidän vahvasti suojattuun WPA2 langattomaan lähiverkkoonsa. Käytät tapahtumaa isännöivän henkilön tunnuksia. Langattoman lähiverkon takana kiinteässä verkossa on tietomurto tai muu ulkopuolinen taho, joka näkee tukisemilta tulevan liikenteen sellaisenaan
  6. Sama kun kohta 5. mutta olet hotellissa/b&b-majoituksesa ja langattoman verkon takana oleva liikenne nauhoitetaan

Salakuuntelu ja verkkoliikenteen kaappaus on käytännössä aina automaattisesti toteutettua, eikä vaadi reaaliaikaista ihmisohjausta.

Langattoman tukiaseman mahdollinen suojaus ei välttämättä kerro vielä juuri mitään yhteyden turvallisuudesta, koska tukiaseman omistajasta ei aina ole varmuutta, eikä käyttäjällä ole tyypillisesti tietoa mitä tukiaseman takana olevassa verkossa tapahtuu. Toimiva VPN-yhteys salaa kaiken siirretyn liikenteen, eikä ole merkittävää haittaa vaikka jokin vieras taho näkisikin nuo salatut paketit. Huomaa että voit käyttää VPN-yhteyksiä myös mobiili- ja lähiverkkojen tiedonsiirrossa.

Ohjeet VPN-yhteyden luomiseen

IT-palvelut on laatinut ohjeita VPN-yhteyksien muodostusta varten: ks. VPN-ohjeet opiskelijoille ja VPN-ohjeet henkilökunnalleErityisesti langattomien ja vierasverkkojen käyttäjien tulee aina kytkeä ensin VPN-yhteys päälle ja vasta sitten voit käyttää muita verkon palveluita.


Huomaa, että Oamkissa kaikissa olennaisissa palveluissa tietoliikenne on suojattua. Esimerkiksi Oamkin sähköposti, intrat, Moodle ja Peppi käyttävät suojattua tietoliikennettä (TLS, esim. HTTPS). Selain ilmoittaa, jos käytössä ei ole vahvistettu sertifikaatti: Tällöin käyttäjän on valittava, että jatkaako palveluun vai ei, tietoisena siitä, että on mahdollista, että joku välissä oleva taho tarjoaa väärää sertifikaattia huijausmielessä. Tällaisessa tilanteessa voit varmistaa helpdeskistä, että onko palveluun turvallista mennä vai ei, eli onko esim. sertifikaatti mennyt juuri umpeen ja sen uusiminen on vielä kesken. Ongelma voi koskea myös VPN-palvelua. Lisäksi – jos vedetään foliohattu oikein syvälle päähän – täytyy huomioida se, että TLS 1.2:sta vanhemmat versiot on alttiita parille hyökkäystavalle, joista ainakin “Beast”-hyökkäystapa ja sen variantit ovat aika hyvin tunnettuja, toimiviksi todettuja hyökkäystapoja. Huomaa sekin, että suojattu yhteys ei paljon auta, jos kohde on väärä, eli katso mitä selaimen osoiterivillä lukee ennen kuin kirjaudut!.

Suurin osa tyypillisesti käytetyistä palveluista muuallakin käyttää nykyisin suojattuja yhteyksiä, joten VPN on nähtävä lähinnä hyvänä lisäsuojana muiden suojausmenetelmien lisäksi. VPN auttaa nimipalveluväärennöksiä vastaan. Osa varusohjelmista kun ei käytä ollenkaan salattuja yhteyksiä päivityksien tarkastamiseen tai hakemiseen. Lisäinfoa tästä löytyy esim. hakusanalla “evilgrade” [ulkoinen linkki].


(Tiedotteen tekstin on kirjoittanut Oamkin tietoturvavastaava, jonka puolesta olen laittanut tämän tiedotteen it.oamk.fi:hin. -A-L)

« Takaisin

Tämä artikkeli julkaistiin kategorioissa henkilöstölle, Oamk, Ohjeet & tiedotteet, opiskelijoille, TIEDOTE, verkkoyhteydet and tagged , , , , . Lisää permalink suosikkeihisi. Seuraa tänne tulevia kommentteja RSS-feedin avulla. Jätä kommentti tai trackback: Trackback URL.
Kirjaudu sisälle kommentoidaksesi tätä artikkelia